移動(dòng)Agent和遺傳算法在分布式IDS中的應(yīng)用技術(shù)探討

1、移動(dòng)Agent和遺傳算法在分布式IDS中的應(yīng)用技術(shù)探討1 引言隨著信息網(wǎng)絡(luò)技術(shù)的快速發(fā)展，人們不再滿(mǎn)足于使用固定終端或單個(gè)移動(dòng)終端連接到互聯(lián)網(wǎng)絡(luò)上，而是希望移動(dòng)子網(wǎng)能以一種相對(duì)穩(wěn)定和可靠的形式，從互聯(lián)網(wǎng)上動(dòng)態(tài)地獲取信息，這就促進(jìn)無(wú)線(xiàn)移動(dòng)互聯(lián)網(wǎng)絡(luò)的發(fā)展。然而，由于無(wú)線(xiàn)通信在無(wú)線(xiàn)空間傳播信道特殊的輻射、開(kāi)放性會(huì)導(dǎo)致假冒攻擊、網(wǎng)絡(luò)欺騙、信息竊取等不安全行為，使網(wǎng)絡(luò)通信的安全性受到極大的威脅。為防止無(wú)線(xiàn)通信中信息被接收者之外的另一些人輕易地截獲，或入侵者進(jìn)行欺騙接入等，需要采取一系列的安全措施。入侵檢測(cè)系統(tǒng)（The Intrusion Detection System，IDS）是一種積極主動(dòng)的安全防護(hù)

2、技術(shù)，可應(yīng)對(duì)網(wǎng)絡(luò)信息傳輸中諸如篡改，刪除以及盜取等行為的網(wǎng)絡(luò)安全設(shè)備。目前，IDS發(fā)展迅速，根據(jù)入侵檢測(cè)方法可以把IDS分為異常入侵檢測(cè)系統(tǒng)和誤用入侵檢測(cè)系統(tǒng)。但傳統(tǒng)的基于知識(shí)的IDS需要領(lǐng)域?qū)＜胰斯みM(jìn)行規(guī)則和模式的建立，而復(fù)雜網(wǎng)絡(luò)隨著時(shí)間和空間的變化會(huì)導(dǎo)致專(zhuān)家規(guī)則庫(kù)受限，降低了IDS的有效性和正確性。本文針對(duì)移動(dòng)互聯(lián)網(wǎng)絡(luò)的安全問(wèn)題設(shè)計(jì)一種IDS檢測(cè)方案，該方案在網(wǎng)絡(luò)層描述系統(tǒng)構(gòu)成、實(shí)現(xiàn)的通信原理、部署及入侵檢測(cè)過(guò)程，并通過(guò)搭建實(shí)驗(yàn)平臺(tái)對(duì)方案的性能和執(zhí)行效率進(jìn)行了分析。2 移動(dòng)互聯(lián)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及安全問(wèn)題一般人們可以認(rèn)為移動(dòng)互聯(lián)網(wǎng)是采用手機(jī)、個(gè)人數(shù)字助理、便攜式計(jì)算機(jī)、專(zhuān)用移動(dòng)互聯(lián)網(wǎng)設(shè)備等作為終端

3、，以移動(dòng)通信網(wǎng)絡(luò)或無(wú)線(xiàn)局域網(wǎng)作為接入手段，通過(guò)無(wú)線(xiàn)應(yīng)用協(xié)議（WAP）訪問(wèn)互聯(lián)網(wǎng)并使用互聯(lián)網(wǎng)業(yè)務(wù)。由于移動(dòng)互聯(lián)網(wǎng)中核心是無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)，無(wú)線(xiàn)網(wǎng)絡(luò)通過(guò)無(wú)線(xiàn)電波在空中開(kāi)放式傳輸數(shù)據(jù)，在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎所有的移動(dòng)用戶(hù)都能接觸到這些數(shù)據(jù)，因此很容易受到惡意攻擊。隨著3G和移動(dòng)互聯(lián)網(wǎng)的發(fā)展，所有在互聯(lián)網(wǎng)上出現(xiàn)的安全問(wèn)題都可能在移動(dòng)互聯(lián)網(wǎng)上重現(xiàn)。另一方而，由于移動(dòng)互聯(lián)網(wǎng)本身的特點(diǎn)、獨(dú)特發(fā)展方式與傳播能力使得很多新的安全問(wèn)題不斷出現(xiàn)， MCAfee2008年移動(dòng)安全研究報(bào)告顯示，80%以上的用戶(hù)對(duì)移動(dòng)終端安全問(wèn)題擔(dān)心。當(dāng)前移動(dòng)互聯(lián)網(wǎng)存在的安全問(wèn)題主要有四個(gè)方面。1）信息中斷：利用非法手段對(duì)網(wǎng)絡(luò)的可用性

4、進(jìn)行攻擊，破壞移動(dòng)互聯(lián)網(wǎng)系統(tǒng)中的軟、硬件資源，使網(wǎng)絡(luò)不能正常工作。2）篡改：對(duì)網(wǎng)絡(luò)的完整性進(jìn)行攻擊，篡改移動(dòng)網(wǎng)絡(luò)的核心網(wǎng)元和業(yè)務(wù)數(shù)據(jù)庫(kù)中內(nèi)容，修改消息次序進(jìn)行延時(shí)或重放。3）竊聽(tīng)：通過(guò)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸鏈路上的搭線(xiàn)和電磁泄漏等對(duì)網(wǎng)絡(luò)的機(jī)密性進(jìn)行攻擊，造成泄密，或?qū)I(yè)務(wù)流量進(jìn)行分析，獲取有用信息。有很多不法份子竊聽(tīng)等技術(shù)手段可以精確提取這些信息，造成一些隱私信息泄露并進(jìn)行違法犯罪活動(dòng)。4）偽造：對(duì)網(wǎng)絡(luò)的真實(shí)性進(jìn)行攻擊，將偽造、虛假的信息注入網(wǎng)絡(luò)中、假冒合法用戶(hù)接入移動(dòng)網(wǎng)絡(luò)、重放截獲的合法信息實(shí)現(xiàn)不法目的、向移動(dòng)網(wǎng)絡(luò)中移植蠕蟲(chóng)、木馬、邏輯炸彈等惡意程序來(lái)破壞移動(dòng)網(wǎng)絡(luò)的正常工作，否認(rèn)網(wǎng)絡(luò)中消息的接收或發(fā)

5、送等。3 入侵檢測(cè)系統(tǒng)的模型及分類(lèi)IDS是一種主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，它是防火墻技術(shù)的一種補(bǔ)充，是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過(guò)程。任何一個(gè)完整的IDS都必須支持信息控制和信息捕獲兩大功能。作為入侵檢測(cè)的系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄流的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。如圖1所示描述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，由事件產(chǎn)生器、活動(dòng)記錄器和規(guī)則集三個(gè)部件組成。事件產(chǎn)生器是IDS模型中產(chǎn)生活動(dòng)信息，審計(jì)跟蹤網(wǎng)絡(luò)數(shù)據(jù)包；活動(dòng)記錄器監(jiān)視中當(dāng)前網(wǎng)絡(luò)的狀態(tài)；規(guī)則集是一個(gè)普通的核查事件和狀態(tài)的檢查引擎，它使用模型、規(guī)則、模式和統(tǒng)計(jì)結(jié)果來(lái)判斷

6、入侵行為。此外，反饋也是IDS模型的一個(gè)重要組成部分。規(guī)則集會(huì)根據(jù)事件產(chǎn)生器反饋現(xiàn)有的事件，引發(fā)系統(tǒng)的規(guī)則學(xué)習(xí)以加入新的規(guī)則或者修改規(guī)則。從數(shù)據(jù)通信及處理的角度來(lái)看，IDS是一個(gè)典型的數(shù)據(jù)處理過(guò)程，它通過(guò)對(duì)大量的審計(jì)數(shù)據(jù)進(jìn)行分析，來(lái)判斷被檢測(cè)的系統(tǒng)是否受到入侵攻擊。它的檢測(cè)機(jī)制，就是對(duì)一個(gè)系統(tǒng)主體行為的分類(lèi)過(guò)程，即把對(duì)系統(tǒng)具有惡意的行為從大量的系統(tǒng)行為中區(qū)分出來(lái)。顯然，解決問(wèn)題的關(guān)鍵技術(shù)就是如何從已知的數(shù)據(jù)中獲得系統(tǒng)的正常行為知識(shí)或有關(guān)入侵行為的知識(shí)。入侵檢測(cè)系統(tǒng)有不同的分類(lèi)標(biāo)準(zhǔn)，按數(shù)據(jù)源可分為：基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS；按系統(tǒng)結(jié)構(gòu)分為：集中式入侵檢測(cè)和分布式入侵檢測(cè)；按檢測(cè)原理分為

7、：異常入侵檢測(cè)和誤用入侵檢測(cè)。在IDS研究中，涉及的關(guān)鍵技術(shù)有：模式匹配、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)、協(xié)議分析、數(shù)據(jù)融合及免疫和各種分類(lèi)算法，但一般都是從異常入侵檢測(cè)模型和誤用入侵檢測(cè)模型下手。異常入侵檢測(cè)模型采用特征匹配的方法確定攻擊事件，檢測(cè)過(guò)程中用定量方式來(lái)描述可接受的行為特征，以區(qū)分和正常行為相違背的、非正常的行為特征來(lái)檢測(cè)入侵。誤用入侵檢測(cè)模型指按照預(yù)先定義好的入侵模式觀察到入侵發(fā)生情況并進(jìn)行模式匹配來(lái)進(jìn)行檢測(cè)，一般是利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè)入侵。4 基于移動(dòng)Agent和GA的IDS的設(shè)計(jì)4.1 移動(dòng)Agent和GA理論移動(dòng)Agent技術(shù)是一個(gè)能在同構(gòu)或異構(gòu)網(wǎng)絡(luò)主機(jī)之間自主

8、地進(jìn)行遷移、集分布式對(duì)象技術(shù)、軟件Agent技術(shù)和移動(dòng)代碼技術(shù)于一體。它具有代理的自治性、響應(yīng)性、智能性和移動(dòng)性，基于移動(dòng)Agent的IDS將Agent分布于系統(tǒng)的關(guān)鍵點(diǎn)，完成數(shù)據(jù)的分布式收集、檢測(cè)及實(shí)時(shí)響應(yīng)。此外，移動(dòng)Agent是一個(gè)獨(dú)立的功能實(shí)體，擴(kuò)展性好。移動(dòng)Agent其實(shí)就是一個(gè)能夠在運(yùn)行過(guò)程中自主地從源主機(jī)遷移到目標(biāo)主機(jī)，并可與其它Agent或資源交互的程序。移動(dòng)Agent的模型如圖2所示。GA（Genetic Algorithm）是一種借鑒生物界進(jìn)化規(guī)律，模擬達(dá)爾文生物進(jìn)化論的自然選擇和遺傳學(xué)機(jī)理的進(jìn)化機(jī)制發(fā)展起來(lái)的高度并行、隨機(jī)、自適應(yīng)搜索算法。它使用數(shù)據(jù)序列來(lái)表示遺傳基因，繁殖

9、分為交叉與變異兩個(gè)獨(dú)立的步驟進(jìn)行。其算法過(guò)程分幾步。（1）初始化：確定種群規(guī)模N、基因交叉概率PC、基因變異概率PM和終止進(jìn)化的規(guī)則，生成隨機(jī)的N個(gè)個(gè)體作為初始種群X（0），并把進(jìn)化代數(shù)計(jì)數(shù)器t=0。（2）個(gè)體評(píng)價(jià)：計(jì)算特定個(gè)體N（i）（0=i（3）種群進(jìn)化過(guò)程。1）選擇父代，選擇的目的是把優(yōu)化的個(gè)體直接遺傳到下一代或通過(guò)配對(duì)交叉產(chǎn)生新的個(gè)體再遺傳到下一代。從種群中選擇出N/2對(duì)來(lái)交叉繁衍下一代。2）交叉繁衍是遺傳算法的核心，所謂交叉是指把兩個(gè)父代個(gè)體的部分結(jié)構(gòu)加以替換重組而生成新個(gè)體的操作。從配對(duì)的父代中，各自貢獻(xiàn)一部分基因片段，組成子代個(gè)體。父代的基因片段可以有多種組合方式，可以產(chǎn)生M個(gè)子

10、代。3）基因變異，把父代復(fù)制到子代中，然后交互父代的兩段基因片段，產(chǎn)生變異的子代。4）淘汰選擇，從上述所形成的子代群體中根據(jù)適應(yīng)度選擇數(shù)量適度的子代個(gè)體，形成新一代的父代群體。同時(shí)還要把遺傳代數(shù)計(jì)數(shù)器加1。如果終止檢驗(yàn)通不過(guò)的話(huà)，繼續(xù)下一代的進(jìn)化。（4）終止檢驗(yàn)：如已滿(mǎn)足終止條件，則終止進(jìn)化過(guò)程。終止條件的設(shè)置是當(dāng)最優(yōu)個(gè)體的適應(yīng)度達(dá)到給定的閾值，或者最優(yōu)個(gè)體的適應(yīng)度和群體適應(yīng)度不再上升時(shí)，或者迭代次數(shù)達(dá)到預(yù)設(shè)的代數(shù)時(shí)，算法終止。遺傳算法用在IDS中主要進(jìn)行的是異常檢測(cè)，而且大部分是采用訓(xùn)練數(shù)據(jù)自動(dòng)計(jì)算出相應(yīng)網(wǎng)絡(luò)上的某個(gè)閥值，以此作為判斷是否有入侵的條件。4.2 系統(tǒng)設(shè)計(jì)基于移動(dòng)Agent和GA

11、的IDS通過(guò)為某些入侵行為建立特定的模型，設(shè)計(jì)多個(gè)相互協(xié)同Agent，對(duì)數(shù)據(jù)采集Agent送來(lái)的數(shù)據(jù)進(jìn)行分析，不同Agent之間相互協(xié)作學(xué)習(xí)，并訓(xùn)練規(guī)則數(shù)據(jù)集，結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。IDS的結(jié)構(gòu)如圖3所示。數(shù)據(jù)庫(kù)模塊：用于存放規(guī)則庫(kù)，記錄系統(tǒng)檢測(cè)到的事件、原始數(shù)據(jù)及訓(xùn)練數(shù)據(jù)；存放各種移動(dòng)Agent的代碼庫(kù)以及一些特定事件的處理函數(shù)。由于網(wǎng)絡(luò)數(shù)據(jù)量大，需要進(jìn)行自動(dòng)分類(lèi)建立標(biāo)識(shí)，數(shù)據(jù)進(jìn)行模式匹配后分類(lèi)進(jìn)行算法訓(xùn)練。入侵檢測(cè)Agent模塊：對(duì)移動(dòng)網(wǎng)絡(luò)上的流量包進(jìn)行捕獲，然后通過(guò)協(xié)議解碼和分析，實(shí)現(xiàn)對(duì)數(shù)據(jù)包的統(tǒng)計(jì)、操作日志和審計(jì)。響應(yīng)Agent模塊：用以對(duì)入侵檢測(cè)Agent的分析結(jié)果給予

12、響應(yīng)，如檢測(cè)到入侵事件，響應(yīng)代理采取相應(yīng)措施如警告入侵者，禁止連接或引向蜜罐虛擬系統(tǒng)。用戶(hù)界面Agent模塊：是系統(tǒng)和用戶(hù)的接口，負(fù)責(zé)將用戶(hù)的命令和請(qǐng)求發(fā)送給代理，并以直觀的形式顯示告警，給用戶(hù)提出處理建議。用戶(hù)界面Agent動(dòng)態(tài)監(jiān)控各個(gè)系統(tǒng)組件的工作狀態(tài)，允許管理員查看、管理和維護(hù)。數(shù)據(jù)收集Agent模塊：采集系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)以及用戶(hù)活動(dòng)的狀態(tài)和行為數(shù)據(jù)。一般在計(jì)算網(wǎng)絡(luò)中的若干不同關(guān)鍵點(diǎn)收集信息，這除了盡可能擴(kuò)大檢測(cè)范圍的因素外，還有一個(gè)重要的因素就是從一個(gè)數(shù)據(jù)源來(lái)的信息有可能看不出疑點(diǎn)，但從幾個(gè)數(shù)據(jù)源來(lái)的信息的不一致性卻是可疑行為或入侵的最好標(biāo)志。數(shù)據(jù)采集Agent是專(zhuān)門(mén)對(duì)監(jiān)控主機(jī)進(jìn)行系統(tǒng)數(shù)

13、據(jù)和網(wǎng)絡(luò)數(shù)據(jù)采集，各個(gè)Agent間相互協(xié)作分析后，經(jīng)過(guò)預(yù)處理把數(shù)據(jù)傳送給入侵檢測(cè)Agent。管理中心：實(shí)現(xiàn)移動(dòng)代理環(huán)境之間的通信及發(fā)布指令，并對(duì)后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行集中管理。以上所有Agent都建立在分布式移動(dòng)環(huán)境下運(yùn)行。移動(dòng)Agent環(huán)境是整個(gè)入侵系統(tǒng)運(yùn)行的基礎(chǔ)，并控制移動(dòng)Agent的移動(dòng)、建立、注銷(xiāo)等基本服務(wù)。移動(dòng)Agent環(huán)境代理服務(wù)器可以將策略庫(kù)中的事件處理函數(shù)自動(dòng)進(jìn)行封裝生成移動(dòng)代理派遣到相應(yīng)的節(jié)點(diǎn)執(zhí)行檢測(cè)任務(wù)。4.3 系統(tǒng)部署網(wǎng)絡(luò)中的工作站和服務(wù)器都應(yīng)安裝移動(dòng)代理環(huán)境MAE，并根據(jù)需要在工作站和服務(wù)器上運(yùn)行不同類(lèi)型的代理。并在每一個(gè)網(wǎng)段上配置一個(gè)管理控制中心，管理中心對(duì)整個(gè)網(wǎng)段進(jìn)行控制。

14、系統(tǒng)管理員通過(guò)用戶(hù)界面Agent（可采用IBM公司的Aglets作為實(shí)現(xiàn)平臺(tái)）可以獲知整個(gè)系統(tǒng)的運(yùn)行情況，并對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行配置和控制，以實(shí)現(xiàn)預(yù)定的安全策略。每一臺(tái)受檢測(cè)的移動(dòng)節(jié)點(diǎn)或主機(jī)根據(jù)不同的需要運(yùn)行不同的數(shù)據(jù)收集Agent和分析檢測(cè)Agent。網(wǎng)段中關(guān)鍵節(jié)點(diǎn)上運(yùn)行數(shù)據(jù)收集Agent用于采集網(wǎng)絡(luò)數(shù)據(jù)包，部署結(jié)構(gòu)圖如圖4所示。入侵檢測(cè)Agent是系統(tǒng)部署和設(shè)計(jì)中最重要的部分，它承擔(dān)從可疑的數(shù)據(jù)信息中檢測(cè)是否有入侵發(fā)生的任務(wù)，截獲網(wǎng)絡(luò)信息，進(jìn)行審計(jì)分析，確定可疑度，并對(duì)相應(yīng)事件進(jìn)行響應(yīng)；同時(shí)要保持與其他移動(dòng)Agent通信，對(duì)可疑級(jí)別達(dá)到一定程度的事件進(jìn)行可疑廣播；這些檢測(cè)代理可以在異質(zhì)的網(wǎng)絡(luò)

15、節(jié)點(diǎn)間遷移，并根據(jù)被監(jiān)控主機(jī)中的數(shù)據(jù)庫(kù)信息或其它主機(jī)傳送的信息分析入侵，或根據(jù)遺傳算法編碼規(guī)則訓(xùn)練規(guī)則數(shù)據(jù)庫(kù)并做好日志。5 實(shí)驗(yàn)結(jié)果及分析為了測(cè)試模型的性能及有效性，首先要搭建一個(gè)無(wú)線(xiàn)局域網(wǎng)的測(cè)試環(huán)境，在一個(gè)無(wú)線(xiàn)局域網(wǎng)內(nèi)部署8臺(tái)主機(jī)，兩臺(tái)分別安裝Snort和Iptable的數(shù)據(jù)采集安全工具，一臺(tái)控制臺(tái)主機(jī)，一臺(tái)存放中央數(shù)據(jù)庫(kù)主機(jī)，一臺(tái)目標(biāo)主機(jī)和一臺(tái)關(guān)聯(lián)引擎主機(jī)，一臺(tái)策略服務(wù)器，一臺(tái)數(shù)據(jù)采集器，一臺(tái)采集代理。內(nèi)部網(wǎng)絡(luò)通過(guò)路由器與外部網(wǎng)絡(luò)連接，在外網(wǎng)中以移動(dòng)節(jié)點(diǎn)作為攻擊主機(jī)，在中國(guó)電信衡陽(yáng)分公司天翼3G工學(xué)院校園網(wǎng)絡(luò)上對(duì)系統(tǒng)進(jìn)行測(cè)試。實(shí)驗(yàn)過(guò)程要用到SQL Server2009、WinPcap、Sn

16、ort、Aglets、Visual studio 2005、Iptable及攻擊軟件等。使用2012年6月第一個(gè)周末的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第二個(gè)周末的數(shù)據(jù)作為測(cè)試數(shù)據(jù)，其中包含了攻擊數(shù)據(jù)包，總共收集了7149800個(gè)數(shù)據(jù)包。通過(guò)遺傳算法種群初始化編碼方法對(duì)數(shù)據(jù)包進(jìn)行編碼，去除多余的數(shù)據(jù)，剩下的1243700個(gè)數(shù)據(jù)包作為自我集。實(shí)驗(yàn)中所使用的數(shù)據(jù)包如表1所示。評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)是準(zhǔn)確性，準(zhǔn)確性主要體現(xiàn)在漏報(bào)率和誤報(bào)率。因此，有必要先定義幾個(gè)指標(biāo)參數(shù)：檢測(cè)率=正確檢測(cè)出的入侵事件個(gè)數(shù)/總的入侵事件個(gè)數(shù)*100%誤報(bào)率=誤報(bào)事件個(gè)數(shù)/總的正常事件個(gè)數(shù)*100%漏報(bào)率=未檢測(cè)到的入侵事件個(gè)數(shù)/總

17、的入侵事件個(gè)數(shù)*100%我們將設(shè)計(jì)的IDS的檢測(cè)率、誤報(bào)率同開(kāi)源的入侵檢測(cè)系統(tǒng)snort進(jìn)行了比較。實(shí)驗(yàn)結(jié)果如圖5所示。通過(guò)實(shí)驗(yàn)結(jié)果對(duì)照可以看出：訓(xùn)練數(shù)據(jù)一樣的情況下，基于移動(dòng)Agent和遺傳算法的IDS檢測(cè)準(zhǔn)確率比傳統(tǒng)的Snort有一定程度的提高。此外，為了驗(yàn)證遺傳算法中種群數(shù)、迭代次數(shù)等對(duì)IDS的影響。通過(guò)仿真實(shí)驗(yàn)，如圖6所示，基于移動(dòng)Agent和GA的IDS系統(tǒng)隨著種群數(shù)的增加，IDS的檢測(cè)準(zhǔn)確率將還會(huì)有所提高，同時(shí)檢測(cè)錯(cuò)誤率有一定程度的減小。6 結(jié)束語(yǔ)本文提出將移動(dòng)Agent和GA應(yīng)用于IPv6環(huán)境下的分布式入侵檢測(cè)系統(tǒng)，采用動(dòng)態(tài)分發(fā)相關(guān)移動(dòng)代理來(lái)收集安全事件，遺傳算法GA來(lái)訓(xùn)練數(shù)據(jù)并

18、自適應(yīng)計(jì)算網(wǎng)絡(luò)中的異常閥值，具有預(yù)測(cè)性強(qiáng)、實(shí)時(shí)響應(yīng)快、較高的智能性和容錯(cuò)能力、抗攻擊能力強(qiáng)、協(xié)同性好等優(yōu)點(diǎn)。通過(guò)在移動(dòng)IPv6網(wǎng)絡(luò)環(huán)境下驗(yàn)證，設(shè)計(jì)的IDS在算法性能和檢測(cè)效率上具有優(yōu)勢(shì)，適合于移動(dòng)互聯(lián)網(wǎng)。參考文獻(xiàn)【1】 高為民，徐紅云.網(wǎng)絡(luò)入侵誘控系統(tǒng)的研究與實(shí)現(xiàn)，計(jì)算機(jī)測(cè)量與控制，2006，14（12）：1751-1753.【2】 馬軍，馬慧.移動(dòng)互聯(lián)網(wǎng)安全問(wèn)題分析及建議，現(xiàn)代電信科技，2009，28（7）：46-49.【3】 羅利民，周震.基于IPv6的網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)研究，科技通報(bào)，2012，28（4）：114-115.【4】 陳建銳，何增穎，梁永成.IPv6網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)，計(jì)算機(jī)技術(shù)與發(fā)展，2010， 20（9）：123-126.【5】