分布式入侵檢測(cè)系統(tǒng)中若干關(guān)鍵技術(shù)的研究與實(shí)現(xiàn).pdf

1、互聯(lián)網(wǎng)的發(fā)展為全球范圍內(nèi)實(shí)現(xiàn)高效的資源和信息共享提供了方便，但同時(shí)也對(duì)信息的安全性提出了嚴(yán)峻的挑戰(zhàn)。現(xiàn)在，信息安全已逐漸發(fā)展成為信息系統(tǒng)的關(guān)鍵問(wèn)題。傳統(tǒng)的基于主體的信息安全模型已經(jīng)不能適應(yīng)網(wǎng)絡(luò)技術(shù)的發(fā)展，p2DR模型應(yīng)運(yùn)而生。入侵檢測(cè)技術(shù)是p2DR模型的重要組成部分。入侵檢測(cè)作為一種主動(dòng)的信息安全保障措施，是對(duì)“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全防護(hù)技術(shù)的有效補(bǔ)充。它對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別，并為對(duì)抗入侵提供重要信息。它不

2、僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。它有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。通過(guò)構(gòu)建動(dòng)態(tài)的安全循環(huán)，可以最大限度地提高系統(tǒng)的安全保障能力，減少安全威脅對(duì)系統(tǒng)造成的危害。 本文首先對(duì)網(wǎng)絡(luò)安全現(xiàn)狀、當(dāng)前的網(wǎng)絡(luò)安全技術(shù)進(jìn)行了一定的研究；然后從信息系統(tǒng)的安全模型開(kāi)始，介紹了基于主體訪問(wèn)對(duì)象的經(jīng)典安全模型和p2DR動(dòng)態(tài)安全模型；闡述了入侵檢測(cè)系統(tǒng)對(duì)于維護(hù)信息系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的重要性，隨后提出了本文要完成的工作——研

3、究適用于大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)。研究了入侵以及入侵檢測(cè)技術(shù)概念的提出背景和發(fā)展過(guò)程。分析了入侵檢測(cè)系統(tǒng)基本的工作原理、系統(tǒng)模塊。 在系統(tǒng)模型設(shè)計(jì)方面，本文提出了一種層次化協(xié)作的混合型分布式入侵檢測(cè)系統(tǒng)模型。該模型將受保護(hù)網(wǎng)絡(luò)劃分成若干個(gè)安全管理區(qū)，并且該模型由探測(cè)代理、監(jiān)視代理、策略執(zhí)行代理三個(gè)部分組成。各部分之間角色的分工借鑒了CIDF模型，并且在每種代理的內(nèi)部模塊的設(shè)置上也力求功能完整獨(dú)立。整個(gè)模型在數(shù)據(jù)來(lái)源的分布化

4、、分析檢測(cè)的分布化、多區(qū)域檢測(cè)的協(xié)作化三個(gè)層次上體現(xiàn)分布式入侵檢測(cè)的特點(diǎn)。另外，監(jiān)視代理的數(shù)據(jù)融合部分采用了分析探測(cè)代理發(fā)送的事件之間相關(guān)度的方法提取局部異常事件。隨后，給出了實(shí)現(xiàn)該模型的重點(diǎn)問(wèn)題。 本文在Windows2000平臺(tái)下構(gòu)造了基于規(guī)則的網(wǎng)絡(luò)探測(cè)代理，其中的規(guī)則集使用的是Snort的。并且在Snort的規(guī)則解析基礎(chǔ)上，提出了改進(jìn)的規(guī)則解析方法——將Snort的二維規(guī)則鏈表重新劃分成規(guī)則子集，并針對(duì)傳輸層協(xié)議給出了不同