试述基于智能代理技术的分布式IDS及自治代理的引用度为什么可以改

简答题试述基于智能代理技术的分布式IDS及自治代理的引用度为什么可以改善IDS？

正确答案：目前现存的入侵检测系统体系结构所具有的局限性主要体现在：
1、中心分析器往往存在成为单点故障的可能。
2、扩展性限制：在一个中心主机上处理所有的信息，限制了所能监视的网络的扩展。而且随着网络的扩展，网上的通信数据加大，可能给分布式数据收集带来困难。
3、不易于对IDS进行更新配置和增加配置功能。为了使配置生效，IDS需要重起。
4、网络数据分析可能出错。由于网络数据的收集是在不同于目的主机的主机上进行的，这样使得攻击者可以采用插入和逃避（Insertion and Evasion）攻击手段来攻击系统。这种攻击利用不同主机的网络协议栈不一致性，隐藏入侵者或造成拒绝服务。自治代理是指在主机上执行特定安全监视任务的软件代理。其自治性主要体现在它们是独立运行的实体，它们的执行只与操作系统的调度有关，而与其他进程无关。尽管自治代理之间可能需要进行数据通信，但仍认为它是自治的。自治代理可以执行简单的任务，也可执行复杂任务。自治代理的引入可以改善IDS，利用自治代理来做IDS的数据采集及数据分析部件，可以克服上面所说的局限性：
1、如果自治代理不正常工作，且自治代理是完全独立运行的，产生的后果是该代理自己的数据丢失，不影响其他代理；如果自治代理产生的数据要给其他代理用，产生的后果是阻碍了该代理所在的代理组的正常工作，无论哪种情况，对系统的损害都最多限于一组代理，如果合理组织代理组，使之真正独立，则大大降低了单点故障出现的可能。
2、将代理组织成分层结构，减少了数据的交换和传输，从而使系统具有扩展性。
3、启动和终止一个相互独立的代理，不需启动整个系统而重新配置IDS。当要增加新配置时只需要启动和终止一个相互独立的代理，而不需启动其他正在运行的代理。
4、如果代理只收集与它所运行主机的相关信息，就不存网络协议栈不一致的问题，因而也减少了遭受插入和逃避攻击的可能。
答案解析：
关注下方微信公众号，在线模考后查看

热门试题