网络安全中混合型入侵检测系统设计

摘要

随着信息技术和互联网的迅速发展，计算机网络与信息系统所面临的安全问题越来越严重。传统的安全技术大都属于静态机制，局限于防护环节，难以满足网络安全的需求。入侵检测技术作为动态安全模型P2DR中检测部分的主要技术手段，能主动对网络和网络上的主机行为进行有效地识别和响应，从而检测外部入侵和内部误用，为网络提供安全保护。 目前国内外研究的入侵检测系统大多存在误报率高、检测效率低等问题，其主要原因是分析信息源和分析手段单一，系统结构简单。入侵检测系统从数据来源上可以分为基于网络和基于主机两大类，其检测方法主要基于异常检测技术或误用检测技术，而目前的入侵检测系统大多则是纯粹采用一种数据来源和单一的检测手法。针对这一问题，本文提出了一种构架灵活的混合型入侵检测系统，其特点是在数据源上结合网络和关键主机数据，在检测方法上结合异常分析技术和误用分析技术并提出了二层混合分析方法，同时在系统体系构架上可灵活扩展以适用于不同的网络环境。论文在研究混合型入侵检测理论的基础上，给出了混合型入侵检测系统的系统构架和功能结构，并详细介绍了几个关键模块的理论、设计和部分算法，联合分析模块根据信息融合理论采用可信度方法分析，通过已有专家知识，建立联合分析规则库，解析网络数据和主机信息特征。多样的信息源提高了混合型入侵检测系统的检测能力，而联合分析和数据融合技术保证了检测的准确性。论文最后说明了混合型入侵检测系统的测试方案和测试部署，为混合型入侵检测系统的实用性提供测试依据。混合型入侵检测系统经过不同环境的测试应用，表现了良好的稳定性。

目录

文摘

英文文摘

第1章 绪论

1.1 网络安全现状

1.2 传统的网络安全技术

1.3 论文的研究背景和意义

1.4 论文的内容和结构安排

第2章入侵检测理论

2.1 入侵和入侵检测

2.2 入侵检测模型

2.2.1 IDES模型

2.2.2推断入侵检测过程的IDM模型

2.2.3 SNMP-IDSM模型

2.3 入侵检测技术分类

2.3.1根据信息来源

2.3.2根据检测方法

2.3.3根据体系结构

2.3.4根据响应方式

2.4 入侵检测方法

2.4.1异常入侵检测—基于行为的检测

2.4.2误用入侵检测—基于知识的检测

2.4.3两类检测技术的分析比较

2.5 入侵检测系统的发展与标准化

第3章 混合型入侵检测系统设计

3.1 入侵检测系统设计原理

3.2 现有入侵检测系统的不足和解决方案

3.3 混合型入侵检测系统原理

3.4 混合型入侵检测系统体系结构

3.4.1小型局域网网络构架

3.4.2中型网络构架

3.4.3复杂网络构架

3.5 混合型入侵检测系统功能结构

3.5.1数据采集模块

3.5.2核心系统

3.5.3输出系统

3.6 系统特点

第4章 混合型入侵检测系统关键模块设计和系统测试

4.1 异常入侵检测检测模块设计

4.2 误用入侵检测模块设计

4.3 数据融合和联合分析模块

4.3.1数据融合技术

4.3.2数据融合的功能模型和融合层次

4.3.3联合分析模块采用的数据融合算法

4.4 主动扫描模块

4.4.1插件技术

4.4.2开放端口扫描

4.4.3系统漏洞扫描

4.4.4系统弱密码扫描

4.5 混合型入侵检测系统的测试部署

4.5.1功能测试

4.5.2性能测试

4.5.3可用性测试

4.5.4系统应用

第5章总结和展望

参考文献

致谢

攻读硕士学位期间的主要研究成果