日韩床上生活一级视频|能看毛片的操逼网站|色悠悠网站在线观看视频|国产免费观看A淫色免费|国产av久久久久久久|免费A级视频美女网站黄|国产毛片av日韩小黄片|热久久免费国产视频|中文字幕无码色色|成人在线视频99久久久

數(shù)據(jù)收集agent有三類：主機日志收集代理、網(wǎng)絡數(shù)據(jù)收集代理和其它IDS數(shù)據(jù)收集代理。它們各自是一個獨立運行實體,監(jiān)控主機某一方面并負責向相應分析器報告異常行為或者可疑行為。例如,有這樣一個簡單的Agent,它檢查telnet連接數(shù)量,當在一定時間內(nèi)有大量的連接（可以基于某個閾值來定）發(fā)生時,就認為是可疑事件發(fā)生。這個Agent就會向其上級分析器發(fā)出一個報告。但是Agent本身無權直接產(chǎn)生警報。通常情況下,對一到多個由Agent產(chǎn)生的報告,分析器會向用戶發(fā)出一個警告。依靠對所控制的各個事件Agent的報告進行綜合,檢測部件可以了解到所在主機系統(tǒng)當前的安全狀態(tài),而協(xié)調部件可以了解到所監(jiān)控網(wǎng)絡的安全狀態(tài)。

事件收集Agent之間并不直接進行通信。相反,Agent將所有的消息都發(fā)送給其控制者——分析器,由分析器根據(jù)Agent的配置信息來決定將如何處理這些信息。

對Agent本身而言,它可以使用以下技術來增強其處理能力：

1．Agent可以使用遺傳程序設計技術,這樣隨著使用時間的增加,Agent本身可以逐漸學習,逐漸積累經(jīng)驗,從而可以進化。

2．Agent可以使用狀態(tài)保持技術來記憶每次運行時獲得的信息,這樣可以使Agent能夠檢測到持續(xù)很長時間的入侵行為,也能夠檢測以行為模式的改變。由于在基于主機的異常入侵檢測中,使用了歷史行為統(tǒng)計模式,而為了更好地適應用戶的全法行為模式,就需要將歷史行為統(tǒng)計模式進行更新,而Agent在運行中所檢測的事件正是更新統(tǒng)計數(shù)據(jù)的絕好材料。

3．3．2 移動代理（mobile agent）

mobile agent由協(xié)調部件管理,可以在系統(tǒng)內(nèi)向下層或者在同一層次移動,作用是跟蹤入侵路徑和收集信息。

移動代理跟蹤入侵路徑,并且確定它的起點,即入侵用戶留下被目標主機日志記載的有入侵嫌疑的地方。

協(xié)調部件、檢測部件和移動代理以下列方式協(xié)同工作：首先,檢測部件檢測到一個嫌疑事件,并將其報告給協(xié)調部件,要求協(xié)調部件跟蹤處理;協(xié)調器件利用ATP（agent transfer protocol）協(xié)議分派一個移動代理負責跟蹤到目標系統(tǒng);這個移動代理自動在每一臺機器之間進行遷移,為此不需要協(xié)調部件引導而能獨立跟蹤入侵。

當某一個目標系統(tǒng)在短時間內(nèi)被發(fā)現(xiàn)有我個嫌疑事件時,協(xié)調部件將分派多個移動代理到目標系統(tǒng)中收集所有的嫌疑事件的信息。單獨的一個移動代理不會對入侵作出判斷,也無法確定是否發(fā)生了入侵,多個移動代理結合起來才能夠供協(xié)調部件作出判斷。由于移動代理可以轉移到安裝了agent執(zhí)行環(huán)境中的任何系統(tǒng)中,因此它能夠智能地進行入侵路由跟蹤。

3．3．3 代理之間的消息協(xié)作

代理之間通訊的協(xié)作消息按照傳播的方式不同,可以分為點對點消息和廣播消息。點對點消息用于低層代理向高層代理提供的信息,低層代理由于時間和空間的局限性,根據(jù)現(xiàn)有的信息無法判斷是否是攻擊,就將可疑事件提交給高層代理。例如,當攻擊者進行FTP Bounce攻擊時,由于這種攻擊是在三臺機器間進行的,單臺機器上的檢測代理是無法確定攻擊的,必須同時提交給高一級的代理才能作出判斷。由于某些攻擊（或者潛在的攻擊）在空間上或時間上具有一定的連續(xù)性,當某個代理檢測出攻擊時,可以讓其它的代理獲得先驗知識,來提高檢測效率,這時代理就會用廣播消息來通知其它代理。例如攻擊者攻擊某個網(wǎng)絡時,往往是先掃描該網(wǎng)絡中的主機所開啟的服務,從中找突破口。當一個代理探測出是端口掃描時,可以將消息廣播給同一級的代理,使它們能提前預防,當攻擊者再掃描時,無法知道系統(tǒng)開啟的服務。

入侵檢測作為一種信息安全措施,在現(xiàn)階段的中國還處于初步研究和探索階段。本文就是在這一社會背景下開展研究和探索的。經(jīng)過研究、探索、分析和設計后,本文對agent這一新興的技術在入侵檢測系統(tǒng)中應用的優(yōu)勢進行探討,提出了較完整的MADIDS的體系結構,并將這一技術引入MADIDS。MADIDS系統(tǒng)能夠滿足分布式環(huán)境下對入侵檢測系統(tǒng)的要求,能檢測分布式攻擊,這也是目前入侵檢測系統(tǒng)發(fā)展的一個方向。

盡管采取了先進了技術和平臺,但是正如攻擊技術不斷發(fā)展一樣,入侵的檢測也會不斷更新、成熟。同時,網(wǎng)絡安全需要縱深的、多樣的防護。MADIDS系統(tǒng)還需要在檢測方法上進一步改進,提高檢測的準確率和檢測速度,加強系統(tǒng)自身安全性。另外,同防火墻、網(wǎng)絡管理工具結合,構成立體式的防衛(wèi)城墻也是MADIDS進一步研究的方向。