胡艳[1]2003年在《面向大规模网络的分布式入侵检测系统》文中指出入侵检测作为一种主动的安全保障措施,有效地弥补了传统安全防护技术的缺陷。随着计算机和网络的不断发展,分布式计算环境的广泛采用,以及Internet上分布式协作攻击的频繁出现,传统的基于单机的集中式入侵检测系统已经不能够满足系统的安全需求,应运而生的分布式入侵检测技术逐渐成为入侵检测领域的研究热点之一。本论文研究和构建了一个面向大规模网络的分布式入侵检测原型系统。 本文首先通过对一些典型系统的描述,分析了目前分布式入侵检测系统所广泛采用的结构模型。在比较了这些结构模型的优点和缺陷的基础上,我们选择了层次化协作模型,这个模型可以集中层次模型和协作模型的优点。我们将系统的部件分成两大类,分析器和感应器。每个检测区域包含一个分析器和多个感应器,感应器与分析器之间是层次型的从属关系,感应器负责收集安全审计数据,检测安全事件,并向所属的分析器汇报,分析器对感应器上报的信息进行聚合分析,并且与其它检测区域的分析器进行交互以完成协作检测和分布式响应。 以传统方式构建入侵检测系统是一个基于专家知识的手工处理过程,对于网络环境或者系统配置的改变缺乏良好的扩展性,对于新的未知攻击方式也没有很好的适应性。针对这个问题,我们使用数据挖掘算法对安全审计数据进行分析处理,帮助系统自动生成入侵检测规则以及建立异常检测模型,并且将这些检测规则和模型自动发布到网络中的其他检测结点。这样在系统中出现新的未知的攻击方式的时候,感应器就可以检测到后续的类似的异常行为,不需要对规则进行手工编码和人工发布。 分布式入侵检测系统的各个部件之间的通信需要统一的标准的消息格式,我们使用的是由IDWG所定义的入侵检测消息交互格式(IDMEF)。另外,我们对IDMEF进行了扩展,以支持系统中审计数据上报、规则发布、响应指令、协作分析等要求。 本文详细说明了感应器检测网络异常数据,收集安全审计数据,并向所属的分析器汇报,以及执行响应指令的过程;说明了分析器对安全审计数据进行分析挖掘,对感应器上报的信息进行聚合分析,多个分析器进行协作检查异常事件,对入侵行为进行分布式响应的过程。另外,我们对分布式拒绝服务攻击(DDOS)的检测和响应提出了在我们的分布式入侵检测系统中的可行的方法。
张岳公[2]2006年在《基于代理的对等分布式入侵检测系统研究》文中认为随着对计算机网络安全需求的日益增长,传统的防火墙技术和单机入侵检测技术已经不能完全满足人们对入侵防御的需求,分布式入侵检测技术成为一个至关重要的研究方向。如何扩展分布式入侵检测系统的概念使其能够很好的适用中大规模网络安全的需求,是一个重要的研究内容。本文研究了基于代理的对等分布式入侵检测技术的关键,包括分布式入侵检测技术、代理技术原理、面向网络数据的高速静止代理模型、面向主机审计数据的高速静止代理模型、对等的分布式入侵检测模型、高速扩展模型等,并且在此基础上实现了基于代理的对等分布式入侵检测系统(APDIDS-Agent based P2P Distributed Intrusion Detection System)。 静止代理(又称本地代理或检测器,仅运行在一台机器上,是相对于移动代理而言的)分为基于网络的和基于主机的,针对传统分布式入侵检测系统处理源(审计)数据时性能较差的问题,本文分别面向网络数据和主机审计数据提出并设计了不同的高速静止代理模型。 分布式入侵检测系统需要通过传感器获得网络的实际状况,并通过基于网络的静止代理进行数据的初步分析。基于网络的静止代理通常放在子网内部的不同部分,监控每个部分网络的实际状况。传统做法仅通过局域网络的拓扑来规划静止代理的分布,各静止代理是相同的。随着网络带宽的快速发展,基于网络的静止代理需要工作于千兆甚至更高网络线速,这对于传统静止代理模型来说难度很大。本文分析了以snort为代表的面向网络数据的传统静止代理模型,提出一种基于动态特征集的改良方法,根据规则的功能对特征集进行划分,动态加载特征集,从而提高基于网络的静止代理对网络数据的处理速度。 基于主机的静止代理需要对主机上大量的日志等信息进行审计,发现其中可能的入侵行为。这类静止代理通常运行在被保护的关键主机中。对于中大规模网络,被保护的关键主机可能是Web Server、Mail Server等访问量很大的服务器,因此生成的各类审计数据源相当巨大。同时,这类服务器的一个重要特点是提供服务的数量和质量均受限于服务器本身的计算资源(包括CPU和存储器),而网络带宽资源却相对丰富。在这类关键主机上运行静止代理,大量的数据审计运算会降低服务器对外提供服务的质量。针对上述问题,本文使用分布式计算的概念,利用多机分布式计算的方式提高对主机审计数据的分析,设计了一个基于分布式处理主机审计数据的静止代理模型,使基于主机的静止代理的运行基本不会影响
刘萍萍[3]2004年在《分布式入侵检测系统模型的研究》文中研究说明互联网的发展为全球范围内实现高效的资源和信息共享提供了方便,但同时也对信息的安全性提出了严峻的挑战。现在,信息安全已逐渐发展成为信息系统的关键问题。传统的基于主体的信息安全模型已经不能适应网络技术的发展,P2DR模型应运而生。入侵检测技术是P2DR模型的重要组成部分。入侵检测作为一种主动的信息安全保障措施,是对“防火墙”、“数据加密”等传统安全防护技术的有效补充。它对计算机和网络资源的恶意使用行为进行识别,并为对抗入侵提供重要信息。它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。它有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全循环,可以最大限度地提高系统的安全保障能力,减少安全威胁对系统造成的危害。随着计算机技术和网络技术的不断发展,分布式计算环境的广泛采用,海量存储和高带宽传输技术的普及,传统的基于单机的集中式入侵检测系统已不能满足安全需求。黑客技术的不断发展特别是分布式拒绝服务攻击(DDOS)的出现已经使分布式入侵检测(Distributed Intrusion Detection, DID)逐渐成为入侵检测乃至整个网络安全领域的研究重点。本文针对面向大规模网络的分布式入侵检测的关键问题进行了一些研究。本文首先对网络安全现状、当前的网络安全技术进行了一定的研究;然后从信息系统的安全模型开始,介绍了基于主体访问对象的经典安全模型和P2DR动态安全模型;阐述了入侵检测系统对于维护信息系统和计算机网络系统的重要性,随后提出了本文要完成的工作——研究适用于大规模网络的分布式入侵检测系统。然后,研究了入侵以及入侵检测技术概念的提出背景和发展过程。分析了入侵检测系统基本的工作原理、系统模块。从业界的研究热点以及已有的商业化产品两个方面介绍了目前该领域的研究和技术现状。随后介绍了分布式入侵检测技术的产生背景和优势;分析了其相对于传统入侵检测系统的优势。随后按照基于组件的以及基于主体的分类方法介绍了目前国内外用于解决分布式入侵检测的系统架构和具体的检测技术,包括一些处于实验阶段的原型系统和较为成熟的规范。在系统模型设计方面,本文提出了一种层次化协作的混合型分布式入侵<WP=82>检测系统模型。该模型将受保护网络划分成若干个安全管理区,并且该模型由探测代理、监视代理、策略执行代理叁个部分组成。各部分之间角色的分工借鉴了CIDF模型,并且在每种代理的内部模块的设置上也力求功能完整独立。整个模型在数据来源的分布化、分析检测的分布化、多区域检测的协作化叁个层次上体现分布式入侵检测的特点。另外,监视代理的数据融合部分采用了分析探测代理发送的事件之间相关度的方法提取局部异常事件。随后,给出了实现该模型的重点问题。分布式入侵检测系统的消息交互是实现时的重点,是体现系统分布化、协作化特性的关键所在。本文在组件的消息交互方面做了深入的研究。结合对通信机制、消息内容的需求并且在综合分析国内外的研究方法的基础上,设计了各种交互消息的具体内容并且依据这种消息结构给出了系统运行期间组件之间注册、注销、处理简单攻击以及处理协同攻击时的消息交互流程。本文在Windows 2000平台下构造了基于规则的网络探测代理,其中的规则集使用的是Snort的。并且在Snort的规则解析基础上,提出了改进的规则解析方法——将Snort的二维规则链表重新划分成规则子集,并针对传输层协议给出了不同的集合划分方法。给出了在程序设计时遇到的若干技术问题的解决方案。最后,为了测试网络探测代理的运行效率进行了丢包率测试、CPU负载测试,测试结果表明在正常的网络通信中,系统可以达到有效的运行状态。此外,我们还通过测试4种扫描工具的攻击时间和可以检测到的攻击数目来测试系统的检测效率,结果表明,网络探测代理可以在较短时间内检测超过95%以上的扫描行为,并及时地采取响应措施。作为网络安全的一个重要研究领域,分布式入侵检测仍然存在着众多的问题和技术难点,本文的最后给出了今后针对该领域我们的研究方向。
吴雄[4]2006年在《全面提高入侵检测效率——面向大规模网络的分布式入侵检测系统介绍》文中指出面向大规模网络的分布式入侵检测系统,隶属“十五”211工程“CERNET高速地区网和重点学科信息服务体系建设项目”专题叁“CERNET主干网运行安全基本保障系统”。该系统在每个CERNET主节点可实现对地区网接入路由器的入侵检测与报警以及对省网或校园网边
贾永刚[5]2007年在《基于SNORT的分布式入侵检测体系结构的研究》文中指出入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安全设备,构成对防火墙一类的静态安全设备的必要补充,已经越来越受到人们的重视,而分布式入侵检测系统更是随着网络的普及应用,成为技术发展的主流和研究的前沿。在入侵检测技术的研究中,一方面在检测技术上,针对越来越复杂的攻击方法,如何提高检测能力。另一方面,利用代理(Agent)技术在检测系统结构设计上,实现对大型网络,高速网,分布异构平台环境的适应。本文试图将多传感器信息融合技术与分布式入侵检测技术相结合,利用开源代码Snort,构建一种基于Snort的分布式入侵检测框架模型,希望能够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一的处理进程,来评估整个网络环境的安全状况,解决Snort局限于单一的主机或网络架构,对异构系统及大规模网络的监测明显不足,不适应大型网络中事件分散和各网络组件在空间上分散的问题。此外,在构建的框架模型中,利用多传感器信息融合技术在分布式入侵检测系统中,构成一个无中心、分层次的树形层次结构,实现信息的层层融合、层层精简、层层提高,具有很好的可扩充性、抗攻击性等特点,实现对网络安全状况的监控和评估,以适应大规模异构网络环境的需求。
李佳[6]2017年在《基于Multi-Agent的分布式智能检测可视化系统的设计与实现》文中提出网络通信技术的飞速发展使得网络设备、服务、协议推陈出新的同时,也不可避免的带来了大量的网络安全问题。Internet服务的开放性决定了用户在各类Web应用的使用过程中很少受到约束,用户的行为模式具备天然的复杂性、不确定性,而现有的各类入侵检测系统在基于用户行为模式进行检测时性能各异,导致入侵检测表现出高误报、高漏报和低效率的缺点,检测的实时性也得不到有效保证。因此,入侵检测系统的运行效率已成为影响系统实施的瓶颈因素。此外,传统的集中式或分层式入侵检测系统通常采用叶子节点采集数据、中心节点或中间节点分析数据的检测架构,使得系统存在因关键节点故障而导致瘫痪甚至崩溃的风险。为了解决上述问题,智能化和分布化的入侵检测成为一条行之有效的解决方案。本论文首先对入侵检测系统进行了分类论述和对比分析,并在此基础上提出了一个基于Multi-Agent的分布式智能检测可视化系统的模型。该模型采用基于叁级代理的分布式架构,管理Agent、驻留Agent、移动Agent之间既相互独立又相互协作,针对目标系统中网络数据和硬件信息实现实时分析和告警,形成一个“信息采集-威胁分析-实时告警-可视展现”的网络安全监测闭环。本文的主要工作如下:1、对入侵检测领域研究现状、Agent智能体在该领域的应用进行了综述,通过分析各类入侵检测系统的优缺点,在满足传统分布式入侵检测技术的基础上提出了一种基于Multi-Agent的分布式智能检测可视化系统模型。2、对JADE多Agent平台实现方案进行了研究,介绍了如何利用JADE进行Agent创建、外部任务添加等;对Snort入侵检测系统的构成和规则进行了研究。3、对Multi-Agent分布式智能检测可视化系统进行了需求分析和概要设计,并对数据采集模块、Agent模块、管理控制台模块的功能结构进行了详细设计。在系统架构上,每个网络节点均部署一个驻留Agent,负责数据的采集和初步分析,移动Agent负责威胁证据发现,局域网中部署唯一的管理Agent充当中心节点,负责规则下发、证据的融合分析以及告警生成。在发挥分布式入侵检测系统长处的同时,又改善了传统分布式入侵检测系统的高误报、传输负荷重、鲁棒性差等问题。4、对系统的数据采集层和检测层进行了编码实现。并对系统的入侵检测功能和可视化效果进行了测试。
邓宇乐[7]2013年在《基于云计算的入侵检测算法研究与分析》文中研究表明随着云计算的发展和应用范围不断扩大,云环境下的安全和隐私问题日益突出。传统安全手段已经不能满足云环境下的检测需求,无论是在检测能力,响应速度,还是在系统规模等方面都存在着诸多限制。建立云环境下高效的入侵检测系统已经成为入侵检测领域重要的研究方向。基于云计算提供的超大规模计算能力与海量存储能力,本文提出了一种云环境下基于非监督学习的入侵检测系统,系统能够对海量入侵检测数据自主学习,实时检测,检测准确率高,误检率低。本文的主要研究工作和成果包括:首先分析了当前云环境面临的安全威胁,以及常见的攻击手段,入侵检测技术和现阶段云环境下入侵检测系统的优缺点。再通过研究模糊C均值聚类算法在云环境下入侵检测的不足,提出利用正熵和容错距离优化目标函数的改进型模糊C均值算法MEOFCM,解决了算法针对噪声数据敏感和需要预定义模糊加权指数问题。并提出利用Canopy聚类进行改进算法聚类预处理,解决了算法针对初始化分类参数敏感和预定义聚类数目问题。然后针对海量高维入侵检测数据中存在的冗余和噪音严重影响检测时间和检测效率的问题,提出了在MapReduce并行计算框架下基于Lanczos算法的并行化SVD算法PLSVD。利用PLSVD算法对入侵检测数据进行特征提取,实现了对云环境下入侵检测数据的数据降维处理,降低了检测时间,提高了检测效率。针对单机环境下聚类算法很难对海量入侵检测数据进行聚类检测的缺点,提出了两种算法的MapReduce并行化实现,解决了海量数据聚类问题。并结合PLSVD算法,实现了云环境下的并行入侵检测。最后利用提出的分布式入侵检测算法,建立了基于Hadoop云平台分布式入侵检测系统,阐述了系统的检测流程,对系统中的每个模块进行了相应的说明。并展开相关实验,结果表明本文算法具有较高的检测率和较低误报率,系统具有良好的实时性和可扩展性。
李明娟[8]2007年在《分布式入侵检测系统的设计与实现》文中研究表明互联网络的飞速发展以及给人们生活带来的巨大影响,使其安全性问题越来越受到关注,分布式入侵检测逐渐成为整个网络安全领域的研究重点。本文首先分析了网络安全的发展现状以及所面临的安全问题,指出开展本课题研究的目的与意义;随后对入侵检测技术进行了详细介绍;接下来对分布式入侵检测系统所广泛采用的基于组件和基于Agent的结构模型进行了深入的研究,然后结合这两种结构模型设计了一种层次化协作的混合型分布式入侵检测系统模型。详细介绍了模型中所包含的探测代理模块、监视代理模块以及策略执行代理模块的概念及其功能.并且在Windows XP平台下设计和实现了网络探测代理模块和监视代理模块,在探测代理模块的检测上采用了改进得冒泡快速排序方法进行检测。为了测试网络探测代理的运行效率进行了丢包率测试、CPU负载测试,测试结果表明在正常的网络通信中,系统可以达到有效的运行状态。我们通过测试几种扫描工具的攻击时间和可以检测到的攻击数目来测试系统的检测效率,结果表明,网络探测代理可以在较短时间内检测出超过95%以上的扫描行为,并及时地采取响应措施。
马超[9]2008年在《基于网络的分布式入侵检测及其通信协议研究》文中研究说明入侵检测技术作为一种能够自动、实时地保障网络信息安全的动态安全技术,构成了继防火墙、身份验证等传统的静态安全设备之后的第二道防线,越来越受到国内外学者的重视;而分布式入侵检测系统更是随着高速网络、分布式网络技术的普及和大规模、分布协作式入侵攻击的出现,如DDOS,成为目前入侵检测的研究热点。首先,本文将数据融合技术与分布式入侵检测技术相结合,利用免费开源的入侵检测软件Snort,开发一个基于网络的分布式入侵检测原型系统,通过在需要监控的局域网内的各关键节点合理设置网络入侵检测引擎,收集网络数据包,进行入侵检测,然后将产生的告警传递到控制台进行告警事件分析,最后向网络管理员报告受监控网络内的整体安全状况。本文解决了Snort局限于单一的主机或网络架构,对异构系统及大规模网络的监测明显不足的问题。然后,本文对IETF入侵检测交换格式工作组IDWG( Intrusion Detection exchange format Working Group )正在标准化的IDXP进行了研究,并在此基础上设计了适合于混合型分布式入侵检测系统的通信协议,为入侵检测系统内部组件之间的信息交换提供了完整性、保密性、正确性的保障,同时也使得IDS本身具有良好的鲁棒性。最后,本文对入侵检测系统的测试技术进行了研究,分别对基于网络的分布式入侵检测系统进行了离线和在线的测试。在线测试时,本文模拟了一个局域网络环境,借助攻击模拟工具IDS Informer对本系统进行测试,实验的结果表明,本系统具有较高的检测率,并且误报率在可以接受的范围之内,整个分布式入侵检测运行正常;离线测试时,本文使用了权威的DARPA的Tcpdump数据集,再一次对本系统进行了测试,结果表明对于一些典型的网络攻击,本系统的检测性能同样良好。
李宏伟[10]2008年在《基于分层的分布式入侵检测系统研究》文中研究表明入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于分层的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为叁个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文还对基于分层的分布式入侵检测系统的通信机制和协作机制进行了分析与设计,其中包括不同层次之间的通信机制和同一层次各个模块之间的通信机制、协作内容和协作的基本模型。论文使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。
参考文献:
[1]. 面向大规模网络的分布式入侵检测系统[D]. 胡艳. 中国科学院研究生院(电子学研究所). 2003
[2]. 基于代理的对等分布式入侵检测系统研究[D]. 张岳公. 山东大学. 2006
[3]. 分布式入侵检测系统模型的研究[D]. 刘萍萍. 吉林大学. 2004
[4]. 全面提高入侵检测效率——面向大规模网络的分布式入侵检测系统介绍[J]. 吴雄. 中国教育网络. 2006
[5]. 基于SNORT的分布式入侵检测体系结构的研究[D]. 贾永刚. 浙江大学. 2007
[6]. 基于Multi-Agent的分布式智能检测可视化系统的设计与实现[D]. 李佳. 北京邮电大学. 2017
[7]. 基于云计算的入侵检测算法研究与分析[D]. 邓宇乐. 浙江工业大学. 2013
[8]. 分布式入侵检测系统的设计与实现[D]. 李明娟. 吉林大学. 2007
[9]. 基于网络的分布式入侵检测及其通信协议研究[D]. 马超. 哈尔滨工业大学. 2008
[10]. 基于分层的分布式入侵检测系统研究[D]. 李宏伟. 北京交通大学. 2008
标签:互联网技术论文; 入侵检测系统论文; snort论文; 入侵检测技术论文; 计算机网络论文; 分布式架构论文; 网络攻击论文; 网络模型论文; 分布式算法论文; 分布式技术论文; 测试模型论文; 分布式部署论文; 代理模式论文; 模块测试论文; ids入侵检测论文;