網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中分析代理的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、作者在通用入侵檢測(cè)框架(CIDF)的基礎(chǔ)上,建立了一種新的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型,即基于分布式代理的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(DA-NIDS)來(lái)解決以上問題.該系統(tǒng)主要由探測(cè)代理、分析代理、存儲(chǔ)代理、響應(yīng)代理、控制中心等幾部分組成.分析代理是CIDF的核心部分,也是DA-NIDS的核心部分.在對(duì)入侵檢測(cè)系統(tǒng)中的分析部件進(jìn)行深入研究后,實(shí)現(xiàn)了一種能融合多種檢測(cè)理論的、以配置信息為中心的分析代理,而且還對(duì)如何提高分析代理的檢測(cè)速度和檢測(cè)效率作了重點(diǎn)研

2、究.不僅提出了用于描述入侵事件的層次通用入侵描述語(yǔ)言,并在此基礎(chǔ)上對(duì)檢測(cè)規(guī)則進(jìn)行了優(yōu)化處理,大大提高了分析的檢測(cè)效率;另外采用基于協(xié)議分析和改進(jìn)過的字符串匹配算法,減少了查找規(guī)則和字符串匹配的時(shí)間.在綜合地研究、分析了目前的各種檢測(cè)理論的基礎(chǔ)上,提出了針對(duì)TCP協(xié)議狀態(tài)檢測(cè)的新方法,即狀態(tài)轉(zhuǎn)換檢測(cè).最后在模擬系統(tǒng)中實(shí)現(xiàn)了模式匹配、異常統(tǒng)計(jì)和協(xié)議狀態(tài)檢測(cè)三種檢測(cè)理論,并對(duì)其實(shí)用性和優(yōu)缺點(diǎn)作出了詳盡的分析;對(duì)檢測(cè)的效率和準(zhǔn)確性作出了合理論證