分布式入侵检测系统中央控制单元的研究与实现

摘要

该文简单介绍了入侵检测系统的概念和分类,随之给出了一款基于网络的分布式入侵检测系统的模型与实现.系统采用实时、在线、误用检测技术,使用原始的网络分组数据作为进行分析的数据源,利用简单、可扩充的入侵规则与入侵行为进行匹配,发现攻击行为则立即将入侵信息提交入侵数据库,按攻击级别触发相应的报警响应机制.系统在Windows2000环境下TCP/IP网络环境中设计实现,以Microsoft SQL Server2000为数据库服务器,Microsoft VC++6.0是主要的开发工具.基于网络的分布式入侵检测系统由分布在各用户网段的网络agent和中央控制单元组成.文章主要介绍了中央控制单元的设计与实现.中央控制单元是整个分布式入侵检测系统的核心,由网络数据库和诸多行为模块共同组成.文章在攻击检测、攻击响应、安全通信及系统自身安全保障方面尝试引入新的原理和技术.在保证实现各类入侵检测任务的同时,系统加强了自身的安全保障措施,中央控制单元同各网络agent之间使用TLS/SSL安全通信机制,采用认证技术进行身份识别,采用加密算法实现数据安全传输;系统内部网段引入本地检测代理,有效抑制系统内部可能出现的攻击行为;用于检测的监听网卡不分配IP地址,实现隐蔽分析;Honeypot陷阱程序诱骗入侵,分散系统安全风险.此外,清晰完备的数据库管理在管理上深化了系统的安全层次.简洁高效的误用检测方式、灵活的攻击响应、完备的数据库管理以及严密的自身安全措施组成了一款轻量级网络分布式入侵检测系统,其应用价值在跨网段测试过程中得到充分验证.

目录

文摘

英文文摘

原创性声明及关于学位论文使用授权的声明

1引言

1.1网络安全现状

1.2网络安全措施与入侵检测系统

1.2.1防火墙技术

1.2.2加密解密技术

1.2.3数字签名和身份认证(CA)

1.2.4入侵检测系统

1.3系统的功能和特色

2入侵检测技术概述

2.1入侵检测系统基本概念

2.2入侵检测系统模型

2.3入侵检测系统分类

2.3.1基于主机的IDS和基于网络的IDS[8]

2.3.2集中式IDS和分布式IDS[9]

2.3.3基于误用检测的IDS和基于异常检测的IDS

2.3.4离线检测和在线检测

3系统总体结构与设计

3.1系统架构与组成

3.2开发环境与设计思路

3.3数据流与数据结构

4系统关键技术与实现

4.1本地检测代理

4.1.1网络监听原理

4.1.2本地检测代理的功能实现

4.2规则库设计与实现

4.2.2入侵检测规则语言概述

4.2.2系统规则库设计

4.2.3规则的使用

4.2.4规则库更新

4.3响应模块设计与实现

4.3.1响应方式与响应策略

4.3.2实时阻断技术

4.4 Honeypot陷阱程序

4.5 SSL安全通信机制

4.5.1 SSL概述

4.5.2系统安全通信的实现

4.6数据库管理与组织

4.7系统运行界面

5系统自身安全机制

6存在的问题与不足

7网络入侵检测系统的发展趋势和研究方向

结束语

致谢

参考文献

攻读硕士学位期间发表的学术论文

学位论文评阅及答辩情况表