基于资源的分布式入侵检测系统框架研究

摘要

该文分析了各种入侵检测技术,对几种主要的入侵检测系统的优缺点进行了讨论,在此基础上,提出并设计了一种基于资源的分布式入侵检测系统框架.该文以资源管理的观点看待整个计算机网络系统,可以把计算机网络系统资源分为文件资源、程序资源和网络资源三大类,按照它们各自的特点设计出专用的入侵检测实体(Agent),即网络资源检测代理NRA、程序资源检测代理PRA和文件资源检测代理FRA.其中,NRA负责检测内部网络和外部网络的通信,PRA负责检测系统内主机和服务器等的程序资源,FRA负责检测系统内的文件资源.通过三种检测实体的协作完成对计算机网络系统的安全保护.这种结构融合了基于主机和基于网络的入侵检测系统的优点,可适应复杂的网络环境,具有良好的分布性能和扩展性.另外,该文还介绍了三种资源检测Agent所用到的检测技术,提出了一种实现资源检测Agent间通信协同的信息交换机制,阐述相应通信协议的设计.该信息交换机制通过设置关联分析器层和异常表,实现三种资源检测Agent对异常情况的通信;通过设置响应层,实现三种资源检测Agent对入侵行为的协同响应,阻断入侵的扩大.

目录

文摘

英文文摘

第一章绪论

1.1问题的提出

1.2研究现状及水平

1.2.1国外的研究现状

1.2.2国内的研究现状

1.3本文所作的工作

1.5论文的组织

第二章基础知识和基本技术概述

2.1入侵、入侵检测的定义

2.2入侵检测技术

2.2.1异常检测

2.2.2误用检测

2.2.3其他技术

2.3入侵检测系统

2.3.1主机型入侵检测系统

2.3.2基于网络的入侵检测系统

2.3.3节点型网络入侵检测系统

2.3.4应用型入侵检测系统

2.3.5文件完整性检查系统

2.4通用入侵检测框架(CIDF)与入侵检测工作组(IDWG)

2.4.1通用入侵检测框架(CIDF)

2.4.2入侵检测工作组(IDWG)

2.4.3 CIDF与IDWG的比较

2.5 Agent技术

2.5.1 Agent定义

2.5.2独立Agent如何提高IDS的能力

2.6本章小结

第三章基于资源的分布式入侵系统设计

3.1计算机网络系统的资源分类

3.1.1文件资源

3.1.2程序资源

3.1.3网络资源

3.2系统结构设计

3.2.1系统结构框架设计

3.2.3文件资源代理FRA

3.2.4程序资源代理PRA

3.2.5网络资源代理NRA

3.4系统结构分析

3.4.1资源分类的合理性

3.4.2系统结构的合理性

3.4.3系统结构的特点

3.5本章小结

第四章关键技术的设计

4.1文件资源检测代理FRA的关键技术

4.1.1 FRA文件数据库的初始化和更新

4.1.2文件的安全级

4.1.3检测技术

4.2程序资源检测代理PRA的关键技术

4.2.1 PRA正常特征库

4.2.2检测技术

4.3网络资源代理的关键技术

4.3.1基于协议分析的模式匹配实例

4.3.2 NRA的规则翻译模块

4.3.3检测技术

4.4 Agent的异常表

4.5 PKI技术

4.6本章小结

第五章信息交换协作机制的设计

5.1信息交换的对象和内容

5.2协作机制的设计

5.2.1协作的必要性

5.2.2协作机制的类别

5.2.3协作机制的设计

5.3通信机制的设计

5.3.1通信机制的功能需求

5.3.2通信机制的方式

5.3.3通信协议的设计

5.4本章小结

第六章总结与展望

6.1论文总结

6.2进一步的工作

参考文献

致谢

读研期间录用/发表的论文