分布式网络入侵检测系统中事件分析器的设计与实现

摘要

入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.作为一种新型的网络安全技术,它弥补了防火墙和其他安全防护手段的不足,提供了对入侵事件的实时检测.随着网络攻击手段逐步向分布式方向发展,且采用了多种数据处理技术,其破坏性和隐蔽性也越来越强.相应地,入侵检测系统也在向分布式方向发展.在分析了CIDF体系结构的基础上,构建了一个基于代理的分布式网络入侵检测系统AD-NIDS.该系统由检测代理、中心分析器、响应代理、存储代理和控制中心构成.事件分析器是CIDF体系结构中的核心部分,在AD-NIDS中由检测代理和中心分析器两部分组成.该系统具有良好的分布性能和可扩展性,并提供集成化的报告和响应功能,简化了系统管理员的工作.AD-NIDS所使用的入侵规则由规则头和规则选项两部分构成.在检测代理的实现上,使用了协议分析和模式匹配相结合的方法,有效地减小了目标的匹配范围,提高了检测速度.为了检测各种跨越网络的分布式攻击(比如IP欺骗,分布式扫描等),在AD-NIDS中特地引入了中心分析器这个协同分析组件.它从整个网络的高度来看待黑客的入侵,其检测数据来源于各个检测代理得出的可疑分析结果.同时,为了避免一个中心分析器失效后,系统就处于半瘫痪状态的问题,系统中配备了几个空闲的中心分析器,它们通过自举算法来竞争成为新的协同分析器.

目录

文摘

英文文摘

独创性声明及学位论文版权使用授权书

1绪论

1.1研究背景、目的及意义

1.2国内外概括

1.3主要研究工作

2入侵检测技术和系统的研究

2.1入侵技术分类

2.2入侵检测方法比较

2.3入侵检测系统的分类

2.4本章小结

3一种分布式网络入侵检测系统模型

3.1 CIDF分析

3.2分布式网络入侵检测系统的框架

3.3本章小结

4检测规则和方法

4.1检测规则

4.2基于协议分析的模式匹配

4.3字符串匹配算法

4.4本章小结

5检测代理

5.1分组捕获器

5.2协议解码器

5.3预处理模块

5.4规则解析器

5.5规则匹配模块

5.6本章小结

6中心分析器

6.1IP欺骗

6.2中心分析器的功能

6.3自举算法

6.4本章小结

7总结

致谢

参考文献

附录1攻读硕士学位期间发表的论文