分布式入侵檢測系統(tǒng)中若干關(guān)鍵技術(shù)的研究與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)的發(fā)展為全球范圍內(nèi)實(shí)現(xiàn)高效的資源和信息共享提供了方便，但同時也對信息的安全性提出了嚴(yán)峻的挑戰(zhàn)?，F(xiàn)在，信息安全已逐漸發(fā)展成為信息系統(tǒng)的關(guān)鍵問題。傳統(tǒng)的基于主體的信息安全模型已經(jīng)不能適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展，p2DR模型應(yīng)運(yùn)而生。入侵檢測技術(shù)是p2DR模型的重要組成部分。入侵檢測作為一種主動的信息安全保障措施，是對“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全防護(hù)技術(shù)的有效補(bǔ)充。它對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別，并為對抗入侵提供重要信息。它不

2、僅檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。它有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。通過構(gòu)建動態(tài)的安全循環(huán)，可以最大限度地提高系統(tǒng)的安全保障能力，減少安全威脅對系統(tǒng)造成的危害。 本文首先對網(wǎng)絡(luò)安全現(xiàn)狀、當(dāng)前的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了一定的研究；然后從信息系統(tǒng)的安全模型開始，介紹了基于主體訪問對象的經(jīng)典安全模型和p2DR動態(tài)安全模型；闡述了入侵檢測系統(tǒng)對于維護(hù)信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的重要性，隨后提出了本文要完成的工作——研

3、究適用于大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)。研究了入侵以及入侵檢測技術(shù)概念的提出背景和發(fā)展過程。分析了入侵檢測系統(tǒng)基本的工作原理、系統(tǒng)模塊。 在系統(tǒng)模型設(shè)計(jì)方面，本文提出了一種層次化協(xié)作的混合型分布式入侵檢測系統(tǒng)模型。該模型將受保護(hù)網(wǎng)絡(luò)劃分成若干個安全管理區(qū)，并且該模型由探測代理、監(jiān)視代理、策略執(zhí)行代理三個部分組成。各部分之間角色的分工借鑒了CIDF模型，并且在每種代理的內(nèi)部模塊的設(shè)置上也力求功能完整獨(dú)立。整個模型在數(shù)據(jù)來源的分布化

4、、分析檢測的分布化、多區(qū)域檢測的協(xié)作化三個層次上體現(xiàn)分布式入侵檢測的特點(diǎn)。另外，監(jiān)視代理的數(shù)據(jù)融合部分采用了分析探測代理發(fā)送的事件之間相關(guān)度的方法提取局部異常事件。隨后，給出了實(shí)現(xiàn)該模型的重點(diǎn)問題。 本文在Windows2000平臺下構(gòu)造了基于規(guī)則的網(wǎng)絡(luò)探測代理，其中的規(guī)則集使用的是Snort的。并且在Snort的規(guī)則解析基礎(chǔ)上，提出了改進(jìn)的規(guī)則解析方法——將Snort的二維規(guī)則鏈表重新劃分成規(guī)則子集，并針對傳輸層協(xié)議給出了不同