基于網(wǎng)絡(luò)的分布式入侵檢測及其通信協(xié)議研究.pdf

1、入侵檢測技術(shù)作為一種能夠自動、實時地保障網(wǎng)絡(luò)信息安全的動態(tài)安全技術(shù)，構(gòu)成了繼防火墻、身份驗證等傳統(tǒng)的靜態(tài)安全設(shè)備之后的第二道防線，越來越受到國內(nèi)外學(xué)者的重視；而分布式入侵檢測系統(tǒng)更是隨著高速網(wǎng)絡(luò)、分布式網(wǎng)絡(luò)技術(shù)的普及和大規(guī)模、分布協(xié)作式入侵攻擊的出現(xiàn)，如DDOS，成為目前入侵檢測的研究熱點。
　　首先，本文將數(shù)據(jù)融合技術(shù)與分布式入侵檢測技術(shù)相結(jié)合，利用免費開源的入侵檢測軟件Snort，開發(fā)一個基于網(wǎng)絡(luò)的分布式入侵檢測原型系統(tǒng)，通過

2、在需要監(jiān)控的局域網(wǎng)內(nèi)的各關(guān)鍵節(jié)點合理設(shè)置網(wǎng)絡(luò)入侵檢測引擎，收集網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)行入侵檢測，然后將產(chǎn)生的告警傳遞到控制臺進(jìn)行告警事件分析，最后向網(wǎng)絡(luò)管理員報告受監(jiān)控網(wǎng)絡(luò)內(nèi)的整體安全狀況。本文解決了Snort局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的監(jiān)測明顯不足的問題。
　　然后，本文對IETF入侵檢測交換格式工作組IDWG(IntrusionDetectionexchangeformatWorkingGroup)正在標(biāo)準(zhǔn)化的

3、IDXP進(jìn)行了研究，并在此基礎(chǔ)上設(shè)計了適合于混合型分布式入侵檢測系統(tǒng)的通信協(xié)議，為入侵檢測系統(tǒng)內(nèi)部組件之間的信息交換提供了完整性、保密性、正確性的保障，同時也使得IDS本身具有良好的魯棒性。
　　最后，本文對入侵檢測系統(tǒng)的測試技術(shù)進(jìn)行了研究，分別對基于網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)進(jìn)行了離線和在線的測試。在線測試時，本文模擬了一個局域網(wǎng)絡(luò)環(huán)境，借助攻擊模擬工具IDSInformer對本系統(tǒng)進(jìn)行測試，實驗的結(jié)果表明，本系統(tǒng)具有較高的檢測率