如发现有乱码，请点击下面链接浏览原文
正文摘录:

刘芳等：基于Agent的分布式入侵检测系统研究模型总体上采用了层次结构。在4个水平层面中，每一层有一个或多个Ager·t，执行一组特定的任务。通过消息交换机制，一个AgetLt可以激活上层的一个或多个Ag(!nt，而上层的。Ag(州将会应用下层Agent提供的服务，执行特定的任务。基础服务提供者可以提供全局信息，为4个水平层面提供服务。图2ABDIDS逻辑结构第一层是数据过滤层，数据过滤Agent(FA)包括网络数据过滤Agent(NFA)和主机数据过滤Agent(HFA)，FA把收集到的数据发送给第二层的本地入侵检测一a~gent(I.DA)。第二层是本地入侵检测层，包括网络入侵检测Agent(I.NDA)和主机入侵检测Agent(I.HDA)，用来根据本地信息分析和识别可能的入侵。若I。DA需要更多的信息，可以向其他的I。DA查询或激活第一层的FA。如果发现入侵，则激活控制中心的响应Agellt(RA)，RA可以向用户界面Agent(IA)发送报警信息或通过Ema订通知管理员，或对入侵进行跟踪和反击。对于单独的DA无法完成检测分析的可疑事件，可以提交给GDA(全局检测Agent)进行分析。同样，若GDA需要更多的信息，可以向其他DA查询。图3ABⅢDS物理结构图3对应着ABDIDS物理结构。各个Agent可以驻留在不同的主机和网络上。实现完全的分布式处理。3.2控制中心及消息传输协议的设计控制中心提供了对整个系统的配置、管理以及入侵响应界面，包括用户界面Agent(IA)，管理Agent(MA)和入侵响应Agent(RA)。全局管理控制与入侵响应层的功能模块如图4所示。图4全局控制中心功能模块cIDF的磋商机制过于复杂，而IDxP又不能完全满足整个IDS的需要0…。经过仔细地研究与评估，ABDIDs最终采用了基于UDP的CIDF消息机制，同时放弃了CIDF磋商传输机制。uDP是因特网的基本网络配置，可以为IDS带来通用性的保证。而且一种无连接的传输协议，占用的资源很少，不会产生多余的通信负载，使得IDS可以在恶劣的网络状态下持续工作”。。由于UDP的无连接特性，数据传输的可靠性就需要应用层来完成。所以在ABDIDS中，各个Ager·t都是采取请求／响应工作方式，超时重发都是由各个Age-nt来完成。这种粗粒度的可靠性保证机制，可以使得系统的资源占用率明显下降。通常，Agent之问的通信类型主要有3种。…：警报信息的传送警报信息通常发生在检测Agent和管理Agent或响应Agent之间，当检测Agent检测到异常后，立即向管理控制层的Agent发送警报信息。在此过程中，检测Agent扮演了请求j响应模型的请求者的角色。事件的交互事件的交互通常发生在检测。a.get·t与过滤Agent或检测Agent与检测Agent之间。安全策略的交互对于分布式入侵检测系统，安全策略的分发是一项重要的内容，控制中心必须掌握分析器所采用的安全规则，也就是安全策略。因此控制中心可以发送安全策略请求，检测器送回所要求的安全参数。为了支持这些通信类型，ABDIDS的通信应该具有6种不同的协议操作：①告警alert；②事件请求eventrequest。；③事件响应eventresp(3ns(：；④策略请求policyre小Jest；⑤策略响应policyrespc)nse；⑥策略设置请求policyset。下面是ABDIDs通信协议MyrIDxP的ASN.1定义部分源程序：Messag(!定义：Message：：一SEQUENCE{MsgVcrsionINTE(；ER.