專利名稱:基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����,且特別涉及一種基于協(xié)同多個移動代 理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)�,主要應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全防御系統(tǒng)的關(guān)鍵技術(shù)����,可 有效地 解決網(wǎng)絡(luò)安全漏檢和誤報(bào)率高、實(shí)時交互協(xié)同聯(lián)動性差等問題�,進(jìn)一步提高網(wǎng)絡(luò)的檢測辨 識阻斷決策準(zhǔn)確性和整體智能協(xié)同防御能力。
背景技術(shù):
國內(nèi)外使用的入侵檢測系統(tǒng)(Intrusion Detection System�,IDS),主要通過網(wǎng)絡(luò) 數(shù)據(jù)包事件行為進(jìn)行分析��、監(jiān)視����、檢測和識別系統(tǒng)中未授權(quán)或異?����,F(xiàn)象����。注重的是網(wǎng)絡(luò)監(jiān) 控、審核跟蹤�,在發(fā)現(xiàn)異常時只報(bào)告不能防范��,只能通過與防火墻等安全設(shè)備聯(lián)動的方式進(jìn) 行防護(hù)�。目前存在嚴(yán)重缺陷一是網(wǎng)絡(luò)缺陷���,用交換機(jī)代替可共享監(jiān)聽的HUB使IDS的網(wǎng)絡(luò) 監(jiān)聽帶來麻煩��,并且在復(fù)雜的網(wǎng)絡(luò)下精心地構(gòu)造與發(fā)送數(shù)據(jù)包也可繞過IDS的監(jiān)聽�。二是 誤報(bào)量大且出現(xiàn)漏報(bào)�,報(bào)警不斷。入侵防御系統(tǒng)(Intrusion Prevention System, IPS)可以對全部數(shù)據(jù)包認(rèn)真檢 測����,實(shí)時決策是否許可或禁止訪問。IPS具有一些過濾器��,能夠防止系統(tǒng)上各種類型的弱點(diǎn) 受到攻擊�。當(dāng)新的弱點(diǎn)被發(fā)現(xiàn)之后會創(chuàng)建一個新過濾器并納入管轄,試探攻擊這些弱點(diǎn)的 任何操作行為都會受到阻攔���。IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進(jìn)行多層����、深層����、主動的防護(hù)以有效保證 企業(yè)網(wǎng)絡(luò)安全����。IPS相當(dāng)于防火墻與入侵檢測系統(tǒng)IDS結(jié)合�,但并不能代替防火墻或IDS。 防火墻在基于TCP/IP協(xié)議的過濾功能突出�����,IDS提供的全面審計(jì)資料對于攻擊還原�����、入侵 及異常操作取證���、異常事件識別����、網(wǎng)絡(luò)故障排除等都有很重要的功效�����。但是仍然存在對計(jì) 算機(jī)網(wǎng)絡(luò)安全單一檢測誤報(bào)率高���、錯誤報(bào)警率多����、漏報(bào)��、聯(lián)動性智能性和整體防御性差等問 題��。網(wǎng)絡(luò)性能��、安全精確度和安全效率是計(jì)算機(jī)網(wǎng)絡(luò)安全面臨的主要問題?���,F(xiàn)有的傳 統(tǒng)式的基于網(wǎng)絡(luò)的入侵防御系統(tǒng)(Network Intrusion Prevention System, NIPS)具有難 以智能主動阻斷可疑數(shù)據(jù)包、監(jiān)控受限����、檢測分析方法單一、實(shí)時性差���、聯(lián)動協(xié)同性差�����、漏誤 報(bào)率高����、異構(gòu)系統(tǒng)難互操作、體系結(jié)構(gòu)不能滿足分布及開放的要求等缺點(diǎn)����。致使計(jì)算機(jī)網(wǎng)絡(luò) 安全隱患和威脅不斷增加,網(wǎng)絡(luò)資源利用及共享服務(wù)的效能降低�,同時也加重了網(wǎng)絡(luò)管理 員和網(wǎng)絡(luò)安全員的人工輔助處理與管理決策的負(fù)荷。嚴(yán)重地影響計(jì)算機(jī)網(wǎng)絡(luò)安全防御和檢 測的關(guān)鍵技術(shù)精確度�����、安全效率�、智能性、實(shí)時聯(lián)動協(xié)同性和安全防御的整體性能���。因此�,對 其關(guān)鍵技術(shù)的研究成為國內(nèi)外倍受矚目的高新技術(shù)����。
發(fā)明內(nèi)容
本發(fā)明專利的目的在深入分析基于網(wǎng)絡(luò)的入侵防御系統(tǒng)NIPS、移動代理 (Agent)技術(shù)和協(xié)同技術(shù)的特點(diǎn)和優(yōu)勢的基礎(chǔ)上�����,將協(xié)同技術(shù)����、移動代理技術(shù)與入侵檢測防 御技術(shù)結(jié)合與集成,在構(gòu)建一種新型的基于協(xié)同式多移動Agent模型(COMAM)的基礎(chǔ)上�����,設(shè) 計(jì)出基于協(xié)同多個移動代理(Multi-MA)的智能NIPS (C0MANIPS)新結(jié)構(gòu)��。以一個新設(shè)計(jì)思想和角度將人工智能與網(wǎng)絡(luò)入侵防御技術(shù)結(jié)合���。利用移動Agent的新技術(shù)特點(diǎn)����,結(jié)合協(xié)同 技術(shù)所具有的實(shí)時提取��、交互協(xié)同聯(lián)動和辨識異常信息的優(yōu)勢����,提高了檢測與辨識精度和 智能阻斷決策性能,避免誤報(bào)和漏報(bào)率高����,很好地解決計(jì)算機(jī)網(wǎng)絡(luò)安全防御和檢測的關(guān)鍵 技術(shù)和核心問題�,從而提高計(jì)算機(jī)網(wǎng)絡(luò)安全可靠性和整體協(xié)同防御能力����。 為了達(dá)到上述目的,本發(fā)明提出一種基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御 系統(tǒng)����,包括協(xié)同式移動代理模型、聯(lián)動模塊����、代理服務(wù)器模塊、數(shù)據(jù)采集代理模塊�、入侵防 御代理模塊、狀態(tài)檢測代理模塊�、移動代理知識庫模塊、策略規(guī)則庫模塊��,其中所述協(xié)同式 移動代理模型與所述聯(lián)動模塊相互連接�����,所述協(xié)同式移動代理模型與所述代理服務(wù)器模塊 中的狀態(tài)檢測代理模塊相互連接����,所述聯(lián)動模塊與所述代理服務(wù)器模塊中的策略規(guī)則庫模 塊相互連接�����,所述數(shù)據(jù)采集代理模塊與所述入侵防御代理模塊相互連接,所述移動代理知 識庫模塊與所述策略規(guī)則庫模塊����。進(jìn)一步的,所述協(xié)同式移動代理模型連接于數(shù)據(jù)源或信息流��,所述代理服務(wù)器模 塊連接于通信層���。進(jìn)一步的�,所述協(xié)同式移動代理模型包括第一協(xié)同式移動代理虛擬機(jī)和第二協(xié)同 式移動代理虛擬機(jī)���,兩者通過通信層相互連接����。進(jìn)一步的��,所述第一協(xié)同式移動代理虛擬機(jī)具有分布式事件模塊����,第二協(xié)同式移 動代理虛擬機(jī)具有事件服務(wù)程序模塊�����,所述分布式事件模塊和事件服務(wù)程序模塊分別連接 于協(xié)同移動支持模塊��,辨識子系統(tǒng)以及代理運(yùn)行環(huán)境模塊��。進(jìn)一步的�����,所述辨識子系統(tǒng)包括事件發(fā)生器����、事件分析器���、事件數(shù)據(jù)庫��、通信交換 單元和響應(yīng)辨識單元���。本發(fā)明專利在深入分析NIPS、協(xié)同技術(shù)和移動代理(Mobile Agent,ΜΑ)技術(shù)特點(diǎn) 和優(yōu)勢的基礎(chǔ)上����,在構(gòu)建一種新型的基于協(xié)同式多移動Agent模型(COMAM)�����,以支持Agent 之間的動態(tài)數(shù)據(jù)交換與協(xié)作���、可復(fù)用與可擴(kuò)展的體系結(jié)構(gòu)���,將協(xié)同式Agent技術(shù)的移動性�����、 協(xié)同性和自主性與檢測防御機(jī)制結(jié)合���,可以為NIPS技術(shù)提供通用、靈活�、高效的支持結(jié) 構(gòu),利用動態(tài)集成技術(shù)實(shí)現(xiàn)Agent之間的通信機(jī)制���,在此基礎(chǔ)上設(shè)計(jì)出基于協(xié)同式多移動 Agent 的 NIPS (C0MANIPS)結(jié)構(gòu)���。從一個新設(shè)計(jì)方式將人工智能與網(wǎng)絡(luò)防御技術(shù)結(jié)合�����。從而提高了網(wǎng)絡(luò)智能檢測辨 識決策和多深層����、主動性����、整體協(xié)調(diào)的防御能力。并具有以下技術(shù)特點(diǎn)協(xié)同移動Agent與IPS結(jié)合是一種新的設(shè)計(jì)思想���,通過數(shù)據(jù)采集協(xié)同��、數(shù)據(jù)分析協(xié) 同���、響應(yīng)協(xié)同,可使監(jiān)測引擎協(xié)同兼顧各種異常行為特征和網(wǎng)絡(luò)安全的整體性與動態(tài)性�。通 過建立共享、交互和協(xié)同工作的安全體系��,實(shí)現(xiàn)防火墻�、監(jiān)測引擎的互通與聯(lián)動,才能真正 實(shí)現(xiàn)整體智能安全防御���。其中的聯(lián)動包括監(jiān)測引擎與防火墻的聯(lián)動�����,可阻斷源自外部網(wǎng)絡(luò) 的入侵與攻擊��;監(jiān)測引擎與網(wǎng)絡(luò)管理系統(tǒng)的聯(lián)動�,可阻斷被利用的網(wǎng)絡(luò)設(shè)備和主機(jī);監(jiān)測 引擎與操作系統(tǒng)的聯(lián)動��,可阻斷非授權(quán)惡意用戶賬號等���。通過構(gòu)建協(xié)同式移動Agent模型(COMAM),設(shè)計(jì)出基于協(xié)同式多移動Agent的 NIPS(COMANIPS)新結(jié)構(gòu)�,探索了一種先進(jìn)而有效的網(wǎng)絡(luò)安全檢測防御新技術(shù),更好地構(gòu)造 具有高效檢測辨識能力�����、智能性����、適應(yīng)性和可擴(kuò)展性的新型NIPS。采用將計(jì)算機(jī)支持的協(xié)同 工作(Computer Supported Cooperative Work, CSCff)技術(shù)�����、MA 技術(shù)與 NIPS 集成技術(shù)集成 動態(tài)結(jié)構(gòu),實(shí)時地采集基于主機(jī)與網(wǎng)絡(luò)的交互數(shù)據(jù)�����,利用承擔(dān)多任務(wù)的MA特性和優(yōu)勢�,實(shí)時提取、檢測和辨識異常信息��,提高了策略規(guī)則庫準(zhǔn)確性和涵蓋面�,解決了收集數(shù)據(jù)單一的不足和片面性,可有效地解決傳統(tǒng)IPS網(wǎng)絡(luò)安全檢測漏檢誤報(bào)和檢測辨識不準(zhǔn)確等問題�����, 可極大地提高網(wǎng)絡(luò)安全的整體防護(hù)能力和檢測水平���。
圖1所示為本發(fā)明較佳實(shí)施例的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系 統(tǒng)結(jié)構(gòu)示意圖����。圖2所示為本發(fā)明較佳實(shí)施例的協(xié)同式移動代理模型結(jié)構(gòu)示意圖���。
具體實(shí)施例方式為了更了解本發(fā)明的技術(shù)內(nèi)容���,特舉具體實(shí)施例并配合所
如下����。請參考圖1�,圖1所示為本發(fā)明較佳實(shí)施例的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò) 入侵防御系統(tǒng)結(jié)構(gòu)示意圖。本發(fā)明提出一種本發(fā)明提出一種基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系 統(tǒng)����,包括協(xié)同式移動代理模型(Cooperative Mobile Agent Model, COMAM) 100、聯(lián)動模塊 200����、代理服務(wù)器模塊(Agent Server) 300、數(shù)據(jù)采集代理模塊(Data Collection Agent, DCA) 400�、入侵防御代理模塊(IntrusionPrevention Agent, IPA) 500、狀態(tài)檢測代理模塊 (State Agent�,SA) 600����、移動代理知識庫模塊(Mobile Agent R印ository,MAR) 700�、策略規(guī) 則庫模塊(StrategyRules Repository, SRR)800,其中所述協(xié)同式移動代理模型100與所 述聯(lián)動模塊200相互連接,所述協(xié)同式移動代理模型100與所述代理服務(wù)器模塊300中的 狀態(tài)檢測代理模塊600相互連接�,所述聯(lián)動模塊200與所述代理服務(wù)器模塊300中的策略 規(guī)則庫模塊800相互連接,所述數(shù)據(jù)采集代理模塊400與所述入侵防御代理模塊500相互 連接����,所述移動代理知識庫模塊700與所述策略規(guī)則庫模塊800。進(jìn)一步的��,所述協(xié)同式移動代理模型100連接于數(shù)據(jù)源或信息流900���,所述代理服 務(wù)器模塊300連接于通信層910�。協(xié)同式移動代理模型(COMAM)支持代理之間的動態(tài)數(shù)據(jù)交換與協(xié)作�����、可復(fù)用與可 擴(kuò)展的體系結(jié)構(gòu)����,將協(xié)同式代理技術(shù)的移動性����、協(xié)同性和自主性與檢測防御機(jī)制結(jié)合,可以 為NIPS技術(shù)提供通用�����、靈活、高效的支持結(jié)構(gòu)����,利用動態(tài)集成技術(shù)實(shí)現(xiàn)代理之間的通信機(jī) 制,在此基礎(chǔ)上可構(gòu)建基于協(xié)同式多移動代理的NIPS (C0MANIPS)體系結(jié)構(gòu)���。其中�,COMAM和 聯(lián)動模塊可以通過各多種Agent����,利用代理服務(wù)器與MAR和SRR檢測、分析�、辨識判斷、阻斷 決策等����,對多移動Agent進(jìn)行協(xié)同聯(lián)動、交互通信�����。再請參考圖2�����,圖2所示為本發(fā)明較佳實(shí)施例的協(xié)同式移動代理模型結(jié)構(gòu)示意圖���。 利用CSCW技術(shù)與移動代理技術(shù)的優(yōu)勢���,通過分析設(shè)計(jì)與集成,可以構(gòu)建一種新型的協(xié)同式 移動代理模型(Cooperative Mobile Agent Model, COMAM)�。所述協(xié)同式移動代理模型包 括第一協(xié)同式移動代理虛擬機(jī)10和第二協(xié)同式移動代理虛擬機(jī)20,兩者通過通信層相互 連接�����。進(jìn)一步的�����,所述第一協(xié)同式移動代理虛擬機(jī)10具有分布式事件模塊11�,第二協(xié)同 式移動代理虛擬機(jī)20具有事件服務(wù)程序模塊21,所述分布式事件模塊11和事件服務(wù)程序 模塊21分別連接于協(xié)同移動支持模塊30��,辨識子系統(tǒng)40以及代理運(yùn)行環(huán)境模塊50����。
進(jìn)一步的���,所述辨識子系統(tǒng)40包括事件發(fā)生器、事件分析器��、事件數(shù)據(jù)庫�����、通信 交換單元和響應(yīng)辨識單元���,主要用于各種事件及服務(wù)的響應(yīng)辨識和通信���。協(xié)同移動代理虛擬機(jī)(VPN)運(yùn)行分布式事件和事件服務(wù)程序,生成的代理 (Agent)由協(xié)同移動支持模塊(COMSM)向服務(wù)方提出移動請求�����,經(jīng)過響應(yīng)等待狀態(tài)����,建立一 個雙方代理移動通道。當(dāng)協(xié)同代理在執(zhí)行中需要移動時���,利用協(xié)作機(jī)制���,先向本地的COMSM 提出請求和協(xié)作條件、移動目的地址等信息����,代理運(yùn)行環(huán)境作出相應(yīng)處理后將協(xié)同代理傳 送 COMSM。在此模型中�,各組件之間既獨(dú)立又相互協(xié)作,共同完成檢測任務(wù)���。通過通信機(jī)制進(jìn) 行協(xié)作���,各代理之間可收集數(shù)據(jù)并交流異常信息。并在防火墻中駐留的一個代理�����,接收來自 監(jiān)測引擎的控制消息����,增加防火墻的過濾規(guī)則,可實(shí)現(xiàn)監(jiān)測引擎與防火墻的協(xié)同聯(lián)動�。
基于多MA技術(shù)的NIPS,主要將收集到的事件序列和數(shù)據(jù)進(jìn)行多層次深入挖掘和 檢測辨識�,將構(gòu)建的模式或知識發(fā)現(xiàn)形成結(jié)果轉(zhuǎn)入事件庫���,可使檢測規(guī)則庫實(shí)時更新,并可 如下進(jìn)行實(shí)現(xiàn)1)多技術(shù)集成整體結(jié)構(gòu)�����。利用協(xié)同式MA模型C0MAM����,可將CSCW技術(shù)、MA技術(shù)與 NIPS集成��。采用協(xié)同式MA結(jié)構(gòu)����,根據(jù)MA可自主遷移的特性,以MA為組織單元�����,按照安全策 略�,配置在被監(jiān)控的主機(jī)上,各Agent可在局域網(wǎng)內(nèi)運(yùn)行代理服務(wù)器與主機(jī)自主遷移�����,通過 聯(lián)動交互實(shí)現(xiàn)整體智能動態(tài)檢測辨識與防御功能。2)代理服務(wù)器(AS)���。為整個體系結(jié)構(gòu)的提供基礎(chǔ)平臺和運(yùn)行環(huán)境���,進(jìn)行Agent的 移動����、建立、注銷等基本服務(wù)���。DCA對監(jiān)控主機(jī)進(jìn)行各種數(shù)據(jù)采集和預(yù)處理��,發(fā)送給IPA后 進(jìn)行分析與判斷�����,并通過運(yùn)行SA檢測本機(jī)上各Agent及AS狀態(tài)���。MADB存儲在本機(jī)運(yùn)行的 Agent及其運(yùn)行狀態(tài)和產(chǎn)生其目標(biāo)主機(jī)地址等信息。利用SRR具有一些特定事件的處理函 數(shù)����,可對移動Agent檢測的異常行為自動響應(yīng)��、進(jìn)一步分析或添加新事件�����,AS可將SRR中的 事件處理函數(shù)自動封裝生成MA�,派遣到相應(yīng)的節(jié)點(diǎn)實(shí)現(xiàn)檢測辨識與防御阻斷�����。3)數(shù)據(jù)采集Agent (DCA)�。主要采集各種原始數(shù)據(jù),包括主機(jī)系統(tǒng)日志��、審計(jì)日志 和各種不同原始數(shù)據(jù)源信息�����。DCA分為數(shù)據(jù)采集和數(shù)據(jù)預(yù)處理兩層���,在數(shù)據(jù)采集中加入預(yù)處 理功能���,減少無用信息流入SA可提高系統(tǒng)性能,減少處理的復(fù)雜度。 4)移動代理知識庫(MAR)�����。包括多種MA的特征和規(guī)則����,可根據(jù)網(wǎng)絡(luò)狀況和配置由 AS及COMAM進(jìn)行對比,選取相應(yīng)的Agent����,經(jīng)過自學(xué)習(xí)實(shí)例化發(fā)布����,還可修改規(guī)則庫或添加 新MA實(shí)現(xiàn)系統(tǒng)升級。5)狀態(tài)檢測代理(SA)��?�?膳cCOMAM協(xié)同工作����,對系統(tǒng)運(yùn)行及行為事件的狀態(tài)特征 進(jìn)行多層次深入檢測和分析,以及各IPA�����、DCA和AS的狀態(tài)檢測,進(jìn)行分析���、判斷和決策���,對
異常信息自動報(bào)警與阻攔。6)入侵防御Agent (IPA)�。與COMAM、SRR和聯(lián)動模塊構(gòu)成整個系統(tǒng)的核心���。由擔(dān) 任不同任務(wù)的IPA構(gòu)成���,用于各種事件的檢測辨識與防御。不同的Agent響應(yīng)不同的事件 觸發(fā)��、執(zhí)行檢測辨識與阻斷任務(wù)���,并可通過COMAM����、SRR和聯(lián)動模塊相互協(xié)作完成復(fù)雜的檢 測辨識與阻斷����。體系結(jié)構(gòu)的實(shí)現(xiàn)可以利用IBM Aglets��,將基于Java的MA平臺為MA提供運(yùn)行環(huán) 境����,可按照具體的遷移機(jī)制在被監(jiān)控主機(jī)之間移動并執(zhí)行檢測辨識與防御任務(wù)����。將CSCW技 術(shù)、MA技術(shù)與NIPS集成����,采用協(xié)同式MA結(jié)構(gòu),并利用具有強(qiáng)大的網(wǎng)絡(luò)功能���,通用的應(yīng)用程序級代理傳輸協(xié)議(Agent TransferProtocol,ATP)可實(shí)現(xiàn)不同系統(tǒng)中各種MA之間的通信����, 以完全兼容的Agent移動性庫中已預(yù)定義好的庫完成消息傳遞。其中�����,聯(lián)動模塊可以利用 代理通信語言ACL、通信流和代理遷移數(shù)據(jù)流��,通過檢測模塊與策略規(guī)則庫分析判斷���,對多 移動Agent進(jìn)行協(xié)同聯(lián)動�����、交互通信��。
按照圖1及圖2所示��,將多MA�、協(xié)同技術(shù)和NIPS技術(shù)進(jìn)行集成�,主要將多個功能模 塊、代理服務(wù)器�����、聯(lián)動模塊��、移動代理知識庫(Mobile AgentRepository, MAR)�、策略規(guī)則庫 (Strategy Rules R印ository,SRR)和圖 2 的協(xié)同式移動Agent模型(Cooperative Mobile Agent Model, COMAM)等集成�,即可設(shè)計(jì)構(gòu)建成“基于協(xié)同多MA的智能NIPS結(jié)構(gòu)”�。最后�, 可以通過對其進(jìn)行模擬測試的方法,對比其效果�,可采用來源于全球信息安全認(rèn)證中心的 數(shù)據(jù),分別選取20個正常和異常數(shù)據(jù)�,對新模型采用CURE和RIPPER算法,并對正常用戶訓(xùn) 練數(shù)據(jù)和實(shí)時用戶數(shù)據(jù)進(jìn)行挖掘��,分別比較判斷用戶的歷史和當(dāng)前行為模式���。經(jīng)過10次是 否異常的模擬測試����,每次測試均進(jìn)行20次正常訪問和20次攻擊訪問��,即可得到模擬系統(tǒng)的 檢測結(jié)果及新專利技術(shù)的效果評價��。雖然本發(fā)明已以較佳實(shí)施例揭露如上���,然其并非用以限定本發(fā)明。本發(fā)明所屬技 術(shù)領(lǐng)域中具有通常知識者�,在不脫離本發(fā)明的精神和范圍內(nèi),當(dāng)可作各種的更動與潤飾�。因 此���,本發(fā)明的保護(hù)范圍當(dāng)視權(quán)利要求書所界定者為準(zhǔn)。
權(quán)利要求
一種基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)���,其特征在于�����,包括協(xié)同式移動代理模型����、聯(lián)動模塊���、代理服務(wù)器模塊��、數(shù)據(jù)采集代理模塊�����、入侵防御代理模塊�����、狀態(tài)檢測代理模塊����、移動代理知識庫模塊、策略規(guī)則庫模塊�����,其中所述協(xié)同式移動代理模型與所述聯(lián)動模塊相互連接����,所述協(xié)同式移動代理模型與所述代理服務(wù)器模塊中的狀態(tài)檢測代理模塊相互連接,所述聯(lián)動模塊與所述代理服務(wù)器模塊中的策略規(guī)則庫模塊相互連接�����,所述數(shù)據(jù)采集代理模塊與所述入侵防御代理模塊相互連接��,所述移動代理知識庫模塊與所述策略規(guī)則庫模塊��。
2.根據(jù)權(quán)利要求1所述的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)�,其特征在 于,所述協(xié)同式移動代理模型連接于數(shù)據(jù)源或信息流���,所述代理服務(wù)器模塊連接于通信層。
3.根據(jù)權(quán)利要求2所述的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)��,其特征在 于,所述協(xié)同式移動代理模型包括第一協(xié)同式移動代理虛擬機(jī)和第二協(xié)同式移動代理虛擬 機(jī)��,兩者通過通信層相互連接�。
4.根據(jù)權(quán)利要求3所述的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng),其特征在 于����,所述第一協(xié)同式移動代理虛擬機(jī)具有分布式事件模塊,第二協(xié)同式移動代理虛擬機(jī)具 有事件服務(wù)程序模塊��,所述分布式事件模塊和事件服務(wù)程序模塊分別連接于協(xié)同移動支持 模塊��,辨識子系統(tǒng)以及代理運(yùn)行環(huán)境模塊�����。
5.根據(jù)權(quán)利要求4所述的基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)����,其特征在 于,所述辨識子系統(tǒng)包括事件發(fā)生器����、事件分析器、事件數(shù)據(jù)庫�、通信交換單元和響應(yīng)辨識 單元�。
全文摘要
本發(fā)明提出一種基于協(xié)同多個移動代理的智能網(wǎng)絡(luò)入侵防御系統(tǒng)����,包括協(xié)同式移動代理模型、聯(lián)動模塊����、代理服務(wù)器模塊、數(shù)據(jù)采集代理模塊����、入侵防御代理模塊、狀態(tài)檢測代理模塊���、移動代理知識庫模塊��、策略規(guī)則庫模塊�����,其中協(xié)同式移動代理模型與聯(lián)動模塊相互連接��,協(xié)同式移動代理模型與代理服務(wù)器模塊中的狀態(tài)檢測代理模塊相互連接���,聯(lián)動模塊與代理服務(wù)器模塊中的策略規(guī)則庫模塊相互連接��,數(shù)據(jù)采集代理模塊與入侵防御代理模塊相互連接,移動代理知識庫模塊與策略規(guī)則庫模塊�。本發(fā)明可有效地解決網(wǎng)絡(luò)安全漏檢和誤報(bào)率高、實(shí)時交互協(xié)同聯(lián)動性差等問題�,進(jìn)一步提高網(wǎng)絡(luò)的檢測辨識阻斷決策準(zhǔn)確性和整體智能協(xié)同防御能力。
文檔編號H04L12/26GK101867571SQ20101017266
公開日2010年10月20日 申請日期2010年5月12日 優(yōu)先權(quán)日2010年5月12日
發(fā)明者賈鐵軍 申請人:上海電機(jī)學(xué)院