分布式入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)的研究和實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)上升到國(guó)家戰(zhàn)略層面，網(wǎng)絡(luò)及計(jì)算機(jī)技術(shù)得到了飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)全面觸及到生活和工作的方方面面，信息安全面臨著前所未有的威脅。因?yàn)榛诨ヂ?lián)網(wǎng)的應(yīng)用和數(shù)據(jù)大都采用分布式部署在不同網(wǎng)絡(luò)和地區(qū)，它們面臨的入侵攻擊更分布且更復(fù)雜。在這樣的背景環(huán)境下，對(duì)入侵檢測(cè)以及分布式入侵檢測(cè)提出了更高的要求。
　　本文主要對(duì)入侵檢測(cè)和分布式入侵檢測(cè)系統(tǒng)中的關(guān)鍵技術(shù)進(jìn)行分析，并對(duì)無法適應(yīng)目前入侵檢測(cè)要求的方面進(jìn)行了改進(jìn)。最后基于本文的分析研究以及

2、進(jìn)行的改進(jìn)工作，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)分布式入侵檢測(cè)系統(tǒng)。
　　分析研究工作的主要包括：
　?。?）對(duì)分布式入侵檢測(cè)系統(tǒng)以及其各類系統(tǒng)結(jié)構(gòu)進(jìn)行分析，為后面分布式入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)方案提供了參考基礎(chǔ)。
　?。?）對(duì)分布式入侵檢測(cè)中的兩個(gè)關(guān)鍵內(nèi)容進(jìn)行了分析：基于BEEP的通信協(xié)議和信息交換格式IDMEF。針對(duì)BEEP協(xié)議的分析，為本文設(shè)計(jì)并實(shí)現(xiàn)分布式入侵檢測(cè)系統(tǒng)中的BEEP通信組件提供技術(shù)支持。同時(shí)基于對(duì)IDMEF的分析，提

3、出其不足之處，是本文對(duì)其進(jìn)行了改進(jìn)和創(chuàng)新工作的基礎(chǔ)。
　　（3）本文深入分析了誤用入侵檢測(cè)中常用的多模式匹配算法，并通過實(shí)驗(yàn)對(duì)比各種算法的性能，為將來提高入侵檢測(cè)性能提供了理論和實(shí)驗(yàn)基礎(chǔ)。
　　在改進(jìn)和創(chuàng)新方面：
　　（1）基于對(duì)IDMEF的分析，本文對(duì)IDMEF提出了它的不足，并對(duì)此進(jìn)行了改進(jìn)，設(shè)計(jì)了新的IDMEF格式版本IDMEFNew。針對(duì)目前互聯(lián)網(wǎng)應(yīng)用中數(shù)據(jù)交互的新要求和發(fā)展趨勢(shì)，提出并設(shè)計(jì)了JSON取代XML

4、的方案。
　?。?）同時(shí)為了應(yīng)對(duì)大量數(shù)據(jù)的傳輸，并為將來與大數(shù)據(jù)平臺(tái)Hadoop進(jìn)行數(shù)據(jù)交換上的對(duì)接，讓系統(tǒng)能借助大數(shù)據(jù)技術(shù)進(jìn)行入侵檢測(cè)分析。本文設(shè)計(jì)并實(shí)現(xiàn)了基于Avro的IDMEFNew編碼組件。
　　本文基于之前的分析和實(shí)驗(yàn)工作，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)分布式入侵檢測(cè)系統(tǒng)。該系統(tǒng)入侵檢測(cè)部分采用誤用入侵檢測(cè)的開源軟件Snort實(shí)現(xiàn)。在系統(tǒng)結(jié)構(gòu)方面借助基于Agent的分布式思想，將入侵檢測(cè)部件獨(dú)立，并增加了獨(dú)立運(yùn)行的節(jié)點(diǎn)管理器。該