随着网络入侵者水平的逐渐提高,入侵行为日益严重。网络使用者必须采用积极的防御技术和纵深的、多样的手段来保证网络的安全。入侵检测系统在网络安全中的作用日益突出,其研究和实现已经成为网络安全领域的重要课题。 网络安全领域的专家对入侵检测系统进行了大量研究,但现有的入侵检测技术仍不是很成熟,存在较多问题。国内入侵检测产品多处于特征检测的初级阶段,在异常检测方面与国外还存在相当大的差距,在混合检测领域更是基本空白,普遍存在检测手段单一、对未知入侵识别能力较差、误报漏报严重、检测准确率低、自适应能力差、响应能力差、对大规模和高速网络的支持较差等问题,严重影响系统性能。在当前网络入侵手段不断变化的情况下,入侵检测系统面临严峻挑战,急需改进。 本文针对当前入侵检测系统存在的检测准确率低、对未知入侵识别能力差等问题进行研究,分析产生原因,并提出解决方案,设计实现了一种基于混合检测方法的分布式入侵检测系统。系统采用分布式体系结构,将检测任务分散到各网段的入侵检测代理上,由管理中心进行统一管理协调,解决了大规模网络检测数据采集的问题,同时提高检测速度;将误用检测与异常检测相结合进行混合检测,利用两种检测手段优势互补的特点,在准确检测已知入侵的同时提高对未知入侵的识别能力,从而提高系统的检测准确率。 本文重点对网络入侵检测代理进行深入研究。入侵检测代理用混合检测方法对所在网段进行检测,采用监听的方式采集所在网段的数据包,并进行预处理,误用检测与异常检测两个检测引擎同时进行检测,将两种检测方法的检测结果进行融合。既保证对已知入侵能够准确识别,对未知入侵又具有一定的检测能力。系统将入侵报警分为确定的入侵和疑似入侵两个级别,并对不同类别的入侵报警根据既定的响应策略进行响应,从而避免了高误报对管理员的干扰。 网络入侵检测代理可将检测到的入侵向管理中心进行报警,同时可以接收管理中心发送的检测规则更新信息,自动更新本地检测规则库。检测代理与管理中心进行安全确认,确保自身安全性和健壮性。