分布式入侵检测系统检测代理的研究与实现

摘要

本文对入侵检测技术进行了分析和研究，通过分析入侵检测领域亟待解决的一些问题产生的根源，提出了在基于软件代理的分布式入侵检测模型框架下，使用一种以增强型入侵检测引擎为核心的入侵检测代理，并引入辅助的信息收集代理，协同解决基于模式匹配的网络入侵检测系统高虚警率低检测效率的设计思想，并在此想法的基础上实现了一个增强型的入侵检测代理(EnhancedNetworkIntrusionDetectionAgent，E_NIDA)和一个辅助的信息收集代理(AssistantInformationCollectingAgent，.A_ICA)。 A_ICA负责收集受监控网段内主机的系统和应用服务的部署状况信息，使用以指纹识别技术为主的多种系统和服务识别方法完成对网络主机应用服务轮廓的勾画，采用多线程技术提高信息收集效率，采用插件机制扩展应用服务的识别范围和能力，即时有效地为E_NIDA提供决策信息。 E_NIDA采用基于规则的模式匹配方法进行入侵检测，它使用协议分析的手段，并结合A_ICA提供的决策信息，对模式匹配的范围和频度进行最大限度的缩减，提高了检测速度。并通过扩展入侵规则表达能力的方式，达到减少虚警的目的。 E_NIDA和A_ICA成对出现，相互协作，可以在网络中以任意数目部署，接受控制台系统的控制，使得系统具有很强的分布性和扩展性。它们与另外的数据挖掘代理和控制台系统灵活地融为一体，共同构成了一个统一的入侵检测系统。经测试证明是这一个可行而且有效的入侵检测系统。

目录

文摘

英文文摘

第一章绪论

1.1课题背景

1.2课题研究内容

1.3课题研究意义

第二章入侵检测系统概述

2.1入侵行为定义

2.2入侵行为剖析

2.3入侵检测概念

2.4入侵检测系统标准

2.5入侵检测系统分类

2.5.1按照信息源分类

2.5.2按照分析方法分类

2.5.3按照组成方式分类

2.6入侵检测系统的基本结构

2.6.1数据采集

2.6.2数据分析

2.6.3事件响应

2.7入侵检测系统面临的主要问题

2.8入侵检测系统的发展趋势

第三章分布式入侵检测系统及相关技术研究

3.1基于代理的分布式入侵检测系统概念

3.2 A_DIDS系统模型

3.3软件代理技术

3.4分布式技术

3.5对减少虚警的研究

3.5.1漏洞管理技术

3.5.2基于会话的证据收集技术

3.6信息收集技术

3.6.1网络扫描

3.6.2操作系统识别

3.7安全通讯

3.7.1 SSL协议介绍

3.7.2 SSL协议结构

3.7.3 SSL协议认证过程

第四章基于网络的增强型入侵检测代理的实现

4.1实现思想

4.2系统运行机制

4.3系统部署结构

4.4辅助的信息收集代理的实现

4.4.1数据采集

4.4.2 OS识别模块的实现

4.4.3网络服务软件识别的实现

4.4.4多线程和插件机制

4.4.5决策信息存储格式

4.5增强型入侵检测代理的实现

4.5.1入侵规则库

4.5.2规则解析

4.5.3决策信息树的构造

4.5.4数据采集

4.5.5检测方法与数据包解析

4.5.6检测引擎

4.5.7入侵响应

4.6通讯消息系统的实现

4.6.1实现原则

4.6.2消息格式定义

4.6.3消息安全

4.6.4通讯实现

第五章入侵检测代理的测试

5.1检测率测试

5.1.1测试方案

5.1.2测试结果

5.2虚警率测试

5.2.1测试方案

5.2.2测试结果

第六章总结及下一步的研究

参考文献

致谢