论文部分内容阅读
随着网络的普及率,网上应用的种类和重要性日益增加,保障计算机安全越来越重要也越来越具有挑战性。现在的各种静态安全技术,如防火墙、数据加密等都比较成熟了。但这还不能适应主动发现入侵,防止黑客攻击的需要。于是安全专家们提出了入侵检测的理论。作为动态安全技术的基础,它根据入侵的痕迹和规律发现入侵行为并做出适当的响应,是一种较主动的网络安全系统。 从入侵检测概念的提出到现在,安全专家提出了各种检测模型:比如在数据搜集上有基于网络的系统或者基于主机的系统;在分析方法上有误用检测或者异常检测;在检测时限上有实时系统或者事后系统等。但现代实际使用的各种检测系统存在有许多的缺点:可扩展性差;不能适应现代高速、加密、交换式网络环境的需要;分析引擎不完善;不能适应现代黑客攻击协作性,长期分步完成的特点;检测速度慢,检测成功滞后于攻击成功等等。 为克服以上缺点,本文采用了分布式系统的设计思路。相对于一体化的设计思路,分布式方法能将每一部分都可以设计得比较完善。系统分为数据收集代理、分析引擎和响应系统三个部分。代理的部署具有很强的灵活性,可以根据需要搜集网络数据和主机数据,能适应不同的平台。分析引擎采用专家系统和分析模版来共同完成,这就保障了系统高速和精确。响应系统也根据系统的需要设定各种响应手段。 本文首先较系统的介绍了入侵检测的定义、重要性和方法,然后系统地进行了分布式检测系统各功能模块的设计和测试,最后提出了今后研究的一些思路。在实际分布式检测系统的设计中,采用了一些新的技术手段,比如为消除数据报二义性而采用的网络流量规整;AC BM快速匹配算法;为验证系统完整性而采用的MD5数据摘要算法;升级检测系统知识库的动态方法等。由于系统设计中采用了较高抽象层次的状态转移分析,所以虽然是基于误用检测的技术,但系统在一定程度上仍然具有自动检测新的攻击手段的功能;为检测日益常用的组合、分步和多层入侵,系统采用了模版化攻击系列的方法;根据入侵行为具有规律的特点,模版化检测方法还有预测将要发生的入侵行为。为实现自动化的响应,本文采用了通过SNMP协议数据报去控制网络设备的方法。 在审计数据的处理上,本文采用了按照IETF的入侵分类,由代理将其形成事件对象的方法。在分析引擎处,事件对象流结合当前状态触发专家系统。