基于多層架構(gòu)的分布式入侵檢測(cè)系統(tǒng)研究.pdf

1、 本系統(tǒng)采用分層的分布式結(jié)構(gòu)將整個(gè)系統(tǒng)分為四大子系統(tǒng)，通過(guò)相互協(xié)同工作有效實(shí)現(xiàn)入侵檢測(cè)。傳感器收集原始信息并進(jìn)行特征匹配，第一時(shí)間發(fā)現(xiàn)入侵并告知上層處理部件采取措施。事件收集器對(duì)傳感器發(fā)現(xiàn)的事件進(jìn)行關(guān)聯(lián)分析，從宏觀的角度發(fā)現(xiàn)潛在的入侵威脅，同時(shí)將事件繼續(xù)轉(zhuǎn)發(fā)到上層處理部件?？刂浦行氖盏骄瘓?bào)信息后實(shí)施入侵響應(yīng)措施。數(shù)據(jù)庫(kù)記錄全部的安全事件以便日后進(jìn)行查詢、統(tǒng)計(jì)和分析。 本系統(tǒng)提出的事件收集器一方面能將入侵檢測(cè)的處理分散到更多部件，減

2、輕各子系統(tǒng)負(fù)載，提高處理效率；另一方面通過(guò)事件收集器的關(guān)聯(lián)分析算法提高了入侵識(shí)別性能。 為了有效的實(shí)現(xiàn)系統(tǒng)間協(xié)調(diào)通信，同時(shí)確保系統(tǒng)具有良好的可擴(kuò)展性，本系統(tǒng)采用了入侵檢測(cè)的國(guó)際標(biāo)準(zhǔn)通信格式傳遞信息。利用標(biāo)準(zhǔn)格式通信是入侵檢測(cè)發(fā)展的必然趨勢(shì)，不同入侵檢測(cè)系統(tǒng)之間的交互依賴于共同的數(shù)據(jù)格式，本系統(tǒng)的開發(fā)也正是基于這一目的。 本系統(tǒng)的設(shè)計(jì)結(jié)合了分布式與層的思想，并且加強(qiáng)了系統(tǒng)各個(gè)組件的功能以及組件之間的協(xié)同工作能力，為入侵檢測(cè)的進(jìn)一步