一种基于协议分析技术的混合型入侵检测系统的研究

摘要

本文的主要工作如下： 1) 综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计，同时分析来自主机的审计记录，系统日志以及网络原始数据流，更加全面地检测系统的各种入侵攻击现象。在这种体系结构中，底层可以独立地完成相应的入侵检测，可以避免集中式检测时数据包处理效率低下的问题，减轻了主控系统的负担；各个检测子系统独立运行，互不影响，避免了单点失效问题；可灵活部署，可扩展性很好；主控系统从全局对整个系统的运行进行监控，检测针对整个系统的更加复杂的攻击入侵，主控系统失效不会影响其下层各个子系统的入侵检测，某一个子系统失效也不会影响其他子系统和主控系统的运行。 2) 可移植的高效的分布式网络数据包采集器的设计与实现，用分布式数据包捕获取代传统的集中式数据收集，提高了数据收集的效率。 3) 分布式NIDS子系统的设计与实现，利用基于应用的负载均衡分发技术来进行协议分流，将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 ①协议分析引擎的设计与实现，完成了IP分片重组以及TCP流重组，利用协议分析技术来提高数据包解析效率，提高了检测效率。 ②分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式入侵检测。首先改进了基于应用的负载均衡分发算法，对其处理流程进行了改进，增加了算法所能处理的数据范围，提出了基于应用根据UDP数据包所属协议类型为其分配检测引擎进行入侵检测的思想；以TCP连接事件的建立过程为参考，提出了建立UDP“连接事件”的思想；并且根据数据包所属协议类型及其实现特点，分别设计了TCP连接事件和UDP“连接事件”的建立流程和入侵检测流程。 ③系统检测流程的改进：数据包在由负载均衡分发器分发到各入侵检测分析引擎进行入侵检测的同时，系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引擎的数据包，首先进行数据包合法性检查，然后根据其所属协议类型分别建立TCP连接事件和UDP“连接事件”，然后根据我们设计的TCP和UDP“连接事件”的建立和入侵检测流程，运用各种异常和误用检测技术，进一步检测是否存在包含网络连接中的各种入侵攻击现象。 4) HIDS子系统的设计。本系统中我们提出了在HIDS中分析到达本机的原始数据流的检测思想，提高了HIDS检测子系统的应用范围，实时性和效率。 5) 主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式化后送到主控模块，主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验。并对实现结果进行了分析对比，证明了系统的高效性。

目录

声明

第一章绪论

1.1论文的选题背景、依据及意义

1.2论文各章内容简介

1.3本文的主要研究工作

第二章入侵检测系统简介

2.1网络入侵过程概述

2.2几种常用的入侵方式分析

2.3入侵检测的定义以及研究的内容

2.4入侵检测系统的基本结构

2.5入侵检测技术发展现状

2.6入侵检测系统的分类

2.6.1按照检测对象分类

2.6.2按照检测方法分类

2.6.3误用检测与异常检测技术的比较

2.7当前入侵检测系统存在的主要问题

2.8入侵检测技术的发展方向

2.9本章小结

第三章基于协议分析技术的混合型入侵检测系统的设计与实现

3.1入侵检测系统设计的总体原则

3.2基于协议分析的混合型入侵检测系统的体系结构

3.2.1系统体系结构及功能

3.2.2系统特点

3.3分布式NIDS子系统的设计与实现

3.3.1分布式NIDS子系统的体系结构

3.3.2分布式数据包采集器的设计与实现

3.3.3协议解析

3.3.4 IP分片重组和TCP流重组的原理和实现

3.3.5基于应用的负载均衡分发器的设计与实现

3.3.6异常流量检测模块的设计与实现

3.3.7入侵检测分析引擎的设计与实现

3.4 HIDS子系统的设计

3.4.1 HIDS的研究对象

3.4.2 HIDS子系统的数据源

3.4.3 HIDS检测数据源的标准化

3.4.4 HIDS子系统的体系结构

3.5系统其他模块的设计

3.5.1入侵响应子系统

3.5.2存储子系统

3.5.3主控系统与用户操作界面

3.5.4通信模块

3.6本章小结

第四章系统测试

4.1 IDS系统的部署

4.2部分实验结果数据

4.2.1部分实验截图

4.2.2实验结果对比

4.3本章小结

主要参考文献

致谢