分布式入侵檢測系統(tǒng)節(jié)點(diǎn)聯(lián)動(dòng)算法研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題受到越來越多的重視。入侵檢測作為一種主動(dòng)的安全防護(hù)手段，在保護(hù)系統(tǒng)不受攻擊當(dāng)中起著重要的作用，是安全防御體系中必不可少的一個(gè)組成部份。 本文著重對(duì)分布式入侵檢測系統(tǒng)結(jié)構(gòu)的各個(gè)節(jié)點(diǎn)間的聯(lián)動(dòng)進(jìn)行了分析。緊接著本文通過對(duì)Snort-2.7.0.1的源代碼的分析，使我們了解了Snort初始化，規(guī)則集的劃分與多模匹配狀態(tài)機(jī)的建立，檢測的過程以及輸出。 本文在此基礎(chǔ)上設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Snort-2

2、.7.0.1的無中心服務(wù)器的分布式入侵檢測系統(tǒng)。該系統(tǒng)中的單個(gè)系統(tǒng)在檢測到攻擊，或通過其他信任系統(tǒng)得到新規(guī)則后，會(huì)把檢測到攻擊的那條規(guī)則或新規(guī)則加密后發(fā)送給所有信任自己的系統(tǒng)。而收到該規(guī)則的系統(tǒng)會(huì)分析該規(guī)則是否已經(jīng)存在，如果不存在，那么就把該規(guī)則動(dòng)態(tài)添加進(jìn)自己的系統(tǒng)，并把該規(guī)則發(fā)送給信任自己的系統(tǒng)。反之，什么都不用做。最后我們用攻擊軟件對(duì)系統(tǒng)進(jìn)行攻擊實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明：通過該分布式入侵檢測系統(tǒng)的聯(lián)動(dòng)，一旦有系統(tǒng)檢測到攻擊，能夠快速有效的