基于移动主体的分布式入侵检测系统关键技术研究

作     者：史亮 

作者单位：中国科学技术大学 

学位级别：博士

导师姓名：庄镇泉

授予年度：2004年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：分布式入侵检测 移动主体 安全检查技术 通讯机制 报警关联分析技术 

摘      要：入侵检测作为一个迅速发展的新领域,已经成为网络安全研究中一个极为重要的研究方向.随着计算机和网络技术的发展、Internet覆盖范围的不断扩大,攻击工具与手法日趋复杂多样,改进入侵检测技术、维护网络安全已刻不容缓.移动主体(Mobile Agent,MA)技术是一种新的软件设计模式,具有自主性、交互性和移动性等特性.移动主体技术为包括入侵检测在内的基于网络的应用提供了一种全新而且可行的设计方案.研究基于移动主体的分布式入侵检测技术具有重要的理论意义和实际应用价值.该论文对目前基于移动主体的分布式入侵检测技术中所存在的问题进行了研究,将工作的重点放在若干急需解决的关键问题上,包括系统模型设计及分布式入侵检测技术研究等.论文的主要工作和创新之处如下:(1)针对现有分布式入侵检测系统所存在的问题,该文提出了一个新的基于移动主体技术的分布式入侵检测系统模型MADIDS.(2)提出了一种移动主体系统的整体安全解决方案.(3)针对目前入侵检测系统普遍存在的误报率高的缺陷,设计了一种基于入侵事件的检测分析方法.(4)提出了一种基于入侵意图的报警信息关联分析方法.(5)根据移动主体所具有的特性以及入侵检测各个环节中的具体要求和存在的问题,分析了移动主体技术在入侵检测领域中的应用原则和适用范围,并提出了一种基于移动主体的安全检查技术,该技术利用移动主体远程实时地执行基于主机的安全检查任务,提高了系统的安全检查效率.(6)设计了一种用于入侵检测主体之间进行入侵信息交互的通讯语言IDACL,并在此基础上提出了一种基于XML的、适用于入侵检测主体间协作和信息交换的通讯机制X-IDACM,以满足基于主体技术的分布式入侵检测系统中各个主体间的通讯需求.