基于CORBA的分布式入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著網(wǎng)絡環(huán)境的不斷復雜，各種網(wǎng)絡攻擊的頻繁發(fā)生，網(wǎng)絡安全在Internet中的重要性越來越明顯，具有主動防御功能的入侵檢測系統(tǒng)IDS新的方法和技術不斷提出和應用。本文在分析了CIDF框架和傳統(tǒng)DIDS框架的基礎上，構建了一個基于CORBA的輕負載代理分布式入侵檢測系統(tǒng)模型CL-DIDS(CORBA-based Lightweight-Agent Distributed Intrusion Detection System)，該模型不僅可

2、以檢測基于主機和網(wǎng)絡的入侵，而且可以快速檢測大規(guī)模的分布式入侵。 CL-DIDS充分利用了CORBA中間件作為系統(tǒng)間集成的總線，發(fā)揮了CORBA對操作系統(tǒng)、網(wǎng)絡協(xié)議和編程語言的透明性等優(yōu)點，使把工作重點放到伺服對象的實現(xiàn)上。CL-DIDS利用系統(tǒng)命令實現(xiàn)了系統(tǒng)調用序列所耗時間、所占內存的大小收集，利用與具體實現(xiàn)無關的訪問操作系統(tǒng)所提供的分組捕獲機制的函數(shù)庫Libpcap對網(wǎng)絡數(shù)據(jù)包截獲，并進行協(xié)議解碼，分離出TCP/IP協(xié)議層的

3、各個字段，降低了在不同平臺上開發(fā)檢測代理的難度。CL-DIDS實現(xiàn)了基于危害系數(shù)動態(tài)隊列的主機調用序列檢測方法和對網(wǎng)絡數(shù)據(jù)包協(xié)議分析和模式匹配相結合的檢測方法研究，同時對NFR入侵檢測規(guī)則的描述格式也進行了研究，降低了誤報和漏報，提高了匹配的速度，檢測的實時性和準確性。CL-DIDS引入了代理敏感度的新概念，利用動態(tài)加載技術提高或降低代理敏感度，實現(xiàn)對DDOS等分布式入侵的檢測。同時中心分析器對個代理的可疑數(shù)據(jù)匯集，綜合分析各種數(shù)據(jù)源，