一种基于移动代理的入侵检测系统和方法

摘要

本发明属于网络安全技术领域，具体是一种基于移动代理的入侵检测系统和方法。检测系统由监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成，记为PIDS。在网络中运行PIDS系统的主机发现可疑行为的时候发起投票过程，网络中多个对等的主机投票共同决定该事件是否为恶意行为，如果认定为恶意行为则通知网络中所有主机采取适当措施避免损失或者危害发生。本发明的特点是：反应迅速，网络中一台主机发现病毒则立即通知其他主机，避免文件被破坏或者资料被窃取等损失；网络负载很小，同时可以解决分布式入侵问题；时延和网络负载随着网络规模的增大变化比较小，适合于大规模网络。

主权项

1、一种基于移动代理的入侵检测系统，记为PIDS系统，该系统位于网络中的每个主机中，其特征在于由程序组件监视器、执行器、控制器、协调器、投票代理、结果代理和响应代理组成，其中监视器、执行器、控制器和协调器是静态的，投票代理、结果代理和响应代理是动态的，可以在网络中迁移，具体内容如下：(1)监视器，是系统的基本单元，主要负责检测本机上发生的安全事件，系统中有多种监视器，每种监视器负责一种安全事件，包括监视系统日志、文件变化、端口连接、系统登录、查找病毒特征码，监视器发现安全事件发生后立即收集事件的特征信息并向控制器报告；(2)执行器，也是系统的基本单元，主要负责执行控制器委派处理的安全事件相关的任务；每种执行器负责一种任务，包括清除病毒、修复文件、拒绝连接、断开网络；执行器也可以动态的增加和升级，以适应病毒和入侵不断变化的需要；(3)控制器，是中间层，介于监视器、执行器和协调器之间；控制器负责分析由监视器报告的安全事件信息，根据本地的安全知识库来分析此事件；控制器如果可以识别所述由监视器报告的安全事件信息，则直接向执行器发送命令，执行器根据控制器的命令来执行处理程序；否则控制器从安全事件信息报告中抽取事件的关键信息向协调器报告，请求发起投票过程，由多个网中的主机共同监视此类事件以便做出判断，由此采取进一步的行动；(4)协调器，是系统的协调员，收到控制器的请求后负责发起投票过程，请求网络中其它的主机共同投票决定安全事件是否属于恶意行为；若是，则通知所有主机采取必要措施避免病毒感染或者网络入侵；(5)投票代理，是动态的移动代理，发起投票的主机的协调器通过发送投票代理到网络中的其他主机来实现多个主机协同决策，投票代理携带安全事件的特征、源地址以及投票事件限制信息，网络中的主机根据本机的情况就该安全事件进行投票，发起投票的主机的协调器统计投票结果并做出最后决策；(6)结果代理，是用于携带各个主机投票结果的移动代理，各个主机填写结果代理中选票后，发送结果代理到发起投票的主机的协调器；(7)响应代理，是通知网络中所有的主机最终投票结果的移动代理，发起投票的主机的协调器统计投票结果，如果有效投票超过半数则认为是恶意行为，并通知所有主机做好应对准备。