多層架構的協(xié)同式入侵檢測系統(tǒng)研究.pdf

1、隨著Internet的發(fā)展，網絡安全已成了人們不得不面對的問題之一。網絡安全工具雖然已取得了很大發(fā)展，但仍存在著許多局限性，譬如防火墻靈活性差，不能保護網絡免受隱蔽攻擊等，建立一個全面完善的入侵防護體系是互聯網用戶共同的目標與期望。入侵檢測是一項對抗計算機網絡入侵攻擊、有效提高網絡安全的主動防御技術。它主要通過檢測系統(tǒng)狀態(tài)、收集重要信息，來判斷并切斷入侵，發(fā)現系統(tǒng)存在的漏洞，對攻擊事件主動進行分析和響應。但是，而入侵檢測系統(tǒng)也存在漏報和

2、誤報率高、難于管理問題。隨著網絡應用范圍的不斷擴大以及網絡結構的日趨復雜，安全體系對入侵檢測系統(tǒng)也提出了新的要求。 針對以上問題，本文提出了一種跨網絡管理域的多層架構的協(xié)同式入侵檢測方法。這種方法的依據是：網絡是相互依賴的，外部全局網絡的安全信息對評估內部網絡安全風險，及早地、更準確地發(fā)現對內部網絡的入侵活動是非常有用的。多層架構的協(xié)同式入侵檢測方法實現了不同管理域網絡之間告警共享和集中地相關分析，可以提高入侵檢測準確性，可以識

3、別入侵意圖，了解網絡的整體安全態(tài)勢，并且還可以為各個網絡提供入侵預警服務。 本文首先對網絡及安全性和入侵檢測技術進行了概述，并介紹了目前入侵檢測的技術動態(tài)和發(fā)展趨勢。網絡入侵、入侵檢測的概念及發(fā)展、入侵檢測系統(tǒng)模型、入侵檢測系統(tǒng)分類、已知的入侵檢測技術和入侵檢測系統(tǒng)結構，討論了傳統(tǒng)入侵檢測系統(tǒng)存在的一些問題以及其發(fā)展的趨勢。 其次，提出了一種可擴展的、高性能的多層架構的協(xié)同式入侵監(jiān)測系統(tǒng)結構。多層架構的協(xié)同式入侵檢測系統(tǒng)

4、由多個安全監(jiān)測分中心及其由安全監(jiān)測中心管理的會員網絡構成。 在一個安全監(jiān)測分中心范圍內，會員網絡按一定相關性組織。在會員網絡內部，采用引入事件收集器的概念的多層架構的分布式入侵檢測系統(tǒng)。會員網絡將內部產生的告警傳輸到安全監(jiān)測中心，安全監(jiān)測中心對收集到的告警進行相關性分析。而在安全監(jiān)測中心之間只交換匯總的安全信息。同時，為了提高系統(tǒng)的可擴展性，安全監(jiān)測分中心之間采用一種對等結構，安全監(jiān)測分中心與會員網絡之間為一種星型結構，在安全監(jiān)

5、測分中心之間、安全監(jiān)測分中心和會員網絡之間形成一個重疊網絡來實現告警、安全更新信息的高性能交換。 接著，提出了一個通用性的告警相關模型，用于表示整個告警相關過程。這個告警相關模型由多個告警相關模塊和分析工具組成，每個模塊和分析工具實現一個特定的告警相關功能，通過各個模型和分析工具相互配合和共同作用，實現告警相關的總目標。 然后，研究了我們提出的事件收集器的模型及其關聯分析方法。通過對事件消息采用規(guī)則過濾方法和關聯分析算法