基于SNMP的分布式分層入侵檢測(cè)模型的研究與實(shí)現(xiàn).pdf

1、當(dāng)網(wǎng)絡(luò)的開(kāi)放成為必要,當(dāng)網(wǎng)絡(luò)規(guī)模的快速增長(zhǎng)成為趨勢(shì),網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全將不再是兩個(gè)弧立領(lǐng)域.向?qū)Ψ綕B透、相互融合成為二者未來(lái)的發(fā)展方向之一.該論文從入侵檢測(cè)系統(tǒng)入手,探討入侵檢測(cè)與網(wǎng)絡(luò)管理相結(jié)合的必要性,試圖在兩個(gè)領(lǐng)域的融合上做一些研究性工作.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是業(yè)界事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn),因此,我們選用SNMP作為網(wǎng)管協(xié)議.一方面,SNMP作為入侵檢測(cè)系統(tǒng)的網(wǎng)絡(luò)管理工具,為系統(tǒng)對(duì)設(shè)備的控制和自動(dòng)響應(yīng)提供方便;另一方面,通過(guò)共享

2、SNMP的管理信息庫(kù)(MIB),入侵檢測(cè)系統(tǒng)能實(shí)施有效的安全檢測(cè)策略,發(fā)現(xiàn)網(wǎng)絡(luò)中的違法行為.為了能從基于統(tǒng)計(jì)量的MIB數(shù)據(jù)源中發(fā)現(xiàn)攻擊行為,我們提出系統(tǒng)特征狀態(tài)分析(SCSA)技術(shù).與其它檢測(cè)方法不同,SCSA從攻擊產(chǎn)生的結(jié)果著手,在MIB統(tǒng)計(jì)量上建立特征規(guī)則,從而準(zhǔn)確發(fā)現(xiàn)針對(duì)協(xié)議棧的攻擊.SCSA是一種結(jié)合概率統(tǒng)計(jì)方法的特征分析技術(shù),它為入侵檢測(cè)與網(wǎng)絡(luò)管理的結(jié)合提供了新的思路,是該文的創(chuàng)新成果.在SCSA的基礎(chǔ)上,論文又提出針對(duì)大型網(wǎng)

3、絡(luò)的IDS模型——基于SNMP的分布式分層入侵檢測(cè)模型.模型采用網(wǎng)絡(luò)的分層架構(gòu)和入侵檢測(cè)的分布式檢測(cè)架構(gòu),兩種架構(gòu)獨(dú)立而互補(bǔ),不僅能擴(kuò)大檢測(cè)范圍而且能對(duì)網(wǎng)絡(luò)實(shí)行有效管理.這也是該論文的研究成果.論文的另一個(gè)工作重點(diǎn)是IDS模型中的關(guān)鍵組件——網(wǎng)絡(luò)管理系統(tǒng)代理(NMS AGENT).NMS AGENT是SCSA技術(shù)的實(shí)現(xiàn),是作者工作的主要內(nèi)容.因此,論文的后半部分詳細(xì)討論該組件的設(shè)計(jì)和實(shí)現(xiàn),并用一系列實(shí)驗(yàn)來(lái)證明它在入侵檢測(cè)和網(wǎng)絡(luò)管理兩方面