分布式网络入侵检测系统中事件分析器的设计与实现

分布式网络入侵检测系统中事件分析器的设计与实现

郭嵩涛[1]2003年在《分布式网络入侵检测系统关键技术研究》文中研究说明随着对计算机系统弱点和入侵行为分析研究的深入,基于网络的入侵检测在网络安全中起到越来越重要的作用。同时,这一领域也面临着诸多挑战:如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报,提高其安全性和准确度以及如何提高入侵检测系统之间的交互能力,从而提高整个系统的安全性能。鉴于高速网络以及不断更新的入侵手段对于入侵检测系统性能的要求,分布式的下一代入侵检测系统已引起人们愈来愈广泛的关注。基于以上原因论文选择分布式网络入侵检测系统作为研究方向,就其中的一些关键技术进行了研究。论文在研究和分析相关背景知识以及入侵检测技术、相关协议框架的基础上主要了完成了以下几个方面的工作:1. 针对当前入侵检测系统不适应高速网络环境的现状设计了数据包截获引擎以提高该模块的性能。试验表明100M以太网内丢包率控制在1%以内。进而又提出了一个分布式并行检测模型,通过通信域内多个节点的并行处理,保证了在高速网络环境下较低的丢包率,为系统整体性能的改善提供了有力的支持。得到的若干性能曲线及测试数据可为今后的研究提供有益的参考。2. 对协议分析技术在IDS中的应用进行讨论。针对从链路层到传输层的多个网络协议完成了相关协议解析引擎的设计与实现,为后端检测引擎提供了必要的数据接口以提高其检测效率。3. 针对不同入侵检测系统之间的信息交互这一问题,详细讨论了IDMEF(Intrusion Detection Message Exchange Format)协议。按照其中定义的消息结构采用面向对象的方法设计了相关的模块,阐述了如何在分布式网络入侵检测系统中高效的支持该协议。

杨铭[2]2004年在《模糊理论在分布式入侵检测系统中的应用》文中指出随着网络的普及和黑客们的增多,网络安全问题变得日益重要。作为防火墙的重要补充,入侵检测技术成为当前网络安全研究领域的热点。传统的基于异常的或基于误用的入侵检测总是在正常和非正常间作出一个绝对的选择,这种结果丢弃了大量有价值的信息,导致检测效果的不理想,尤其是在复杂的分布式网络环境中更加如此。为了降低入侵检测系统的误报率、漏报率,以模糊理论为基础,结合通用入侵检测框架的思想,设计了一个分布式入侵检测系统中的事件分析器。该事件分析器的核心是一个称之为模糊决策引擎(FDE)的部件,它是分布式入侵检测系统中检测代理的一部分,能够在判定入侵行为时,基于模糊理论综合的考虑来自于检测代理的各类信息。带有FDE的分布式入侵检测系统的综合评估过程是一个层次结构,低层次的FDE对它负责的网络状况作出评估,并将评估结构报告给高层次的FDE,由高层次的FDE作出进一步的评估。这样的入侵检测系统拥有高精确的入侵检测,高效的决策过程,以及系统资源消耗低的优点。最后,在模糊决策引擎的设计理论的基础上,利用snort的数据采集功能,给出了该事件分析器的实现,并且利用改进的BM匹配算法实现了网络数据信息的分类。为实现snort和事件分析器间的通讯机制,建立了统一的数据通讯接口。

刘金峰[3]2004年在《一种分布式网络入侵检测系统——DNIDS的设计与实现》文中指出本文在采用主动防卫策略的网络安全技术——网络入侵检测技术逐渐成为网络安全领域的研究热点的背景下,针对集中式网络入侵检测系统无法对网络提供更加有效保护的问题,分析、设计并开发了一个叁层分布式网络入侵检测系统的原型系统——DNIDS。本论文所完成的主要工作如下: 1.从分布式网络入侵检测系统的系统分析入手,分析并设计了符合公共入侵检测框架(Common Intrusion Detection Framework,CIDF)的叁层分布式网络入侵检测系统的框架 2.对该叁层分布式网络入侵检测系统的各个组成模块和模块间的通信方式进行了详细设计 3.应用C语言在Linux平台下实现了原型系统 4.对DNIDS进行了应用测试 论文最后分析了该分布式入侵检测系统所具有的优良特性,指出了系统现存的不足,并提出了进一步工作的方向。

潘镭[4]2006年在《基于数据挖掘技术的分布式入侵检测系统的设计和开发》文中研究表明入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。但是在入侵检测的发展中也面临着新的问题,其中最主要的问题之一就是入侵告警数量的不断增长,误警率居高不下。本文首先阐述了入侵检测的概念和相关技术、入侵检测系统的研究现状,然后分析了数据挖掘技术在入侵检测系统中的应用。论文讨论了Apriori数据挖掘算法及其扩展算法。为减小入侵检测系统的误报率,提出了在Apriori算法中使用可变最小支持度和置信度,并给出了调整最小支持度和置信度的策略。设计了基于可变最小支持度和置信度的数据挖掘算法,并对该算法进行了优化。本系统采用分布式的层次结构进行总体设计,以适应部门层次多、地理分布广的应用环境,同时提高了ABCIDS系统对分布协同入侵的检测能力。文章对ABCIDS系统总体以及探测器子系统、检测分析子系统、数据库子系统、控制台子系统进行了详细设计与实现。系统引入了分布式CORBA中间件技术,利用CORBA的“软件总线”的特点,很好地解决了系统平台的异构性、适应性问题。论文还讨论了CORBA技术的安全性问题。基于CORBA良好的实时性,提出在分布检测系统的检测方法上,结合数据挖掘技术,增强系统分析的智能性和检测新入侵的适应性。论文详细讨论了基于CORBA的分布式网络入侵检测系统ABCIDS的体系结构、通信模型、功能模型、系统构成等方面,并且给出了系统通信中关键对象的IDL程序描述。

邹蕾[5]2005年在《分布式网络入侵检测系统研究与实现》文中认为随着计算机网络技术的发展和应用的广泛,网络入侵事件发生的越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。因此,入侵检测已经成为网络安全领域研究与开发的新热点.为此,本论文从对现有的入侵检测技术,发展历史及系统模型进行介绍,根据着眼点的不同详细的分析了入侵检测系统的分类及其各类优缺点,针对这些问题,本文应用C 语言在Linux 平台下设计并实现了基于误用检测技术的一种分布式网络入侵检测系统模型,对该分布式入侵检测系统的各个组成模块和模块间的通讯方式进行了详细设计和实现,并介绍了DNIDS 中采用的模式匹配算法,以及在论文最后对DNIDS 进行了人侵检测功能的测试。测试结果表明本文设计开发的DNIDS 已具备了分布式网络入侵检测功能,并分析了该DNIDS所具备的功能与优良特性,指出了系统存在的不足,提出了进一步工作方向。

肖述超[6]2004年在《分布式网络入侵检测系统中事件分析器的设计与实现》文中进行了进一步梳理入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。作为一种新型的网络安全技术,它弥补了防火墙和其他安全防护手段的不足,提供了对入侵事件的实时检测。随着网络攻击手段逐步向分布式方向发展,且采用了多种数据处理技术,其破坏性和隐蔽性也越来越强。相应地,入侵检测系统也在向分布式方向发展。在分析了CIDF体系结构的基础上,构建了一个基于代理的分布式网络入侵检测系统AD-NIDS。该系统由检测代理、中心分析器、响应代理、存储代理和控制中心构成。事件分析器是CIDF体系结构中的核心部分,在AD-NIDS中由检测代理和中心分析器两部分组成。该系统具有良好的分布性能和可扩展性,并提供集成化的报告和响应功能,简化了系统管理员的工作。AD-NIDS所使用的入侵规则由规则头和规则选项两部分构成。在检测代理的实现上,使用了协议分析和模式匹配相结合的方法,有效地减小了目标的匹配范围,提高了检测速度。为了检测各种跨越网络的分布式攻击(比如IP欺骗,分布式扫描等),在AD-NIDS中特地引入了中心分析器这个协同分析组件。它从整个网络的高度来看待黑客的入侵,其检测数据来源于各个检测代理得出的可疑分析结果。同时,为了避免一个中心分析器失效后,系统就处于半瘫痪状态的问题,系统中配备了几个空闲的中心分析器,它们通过自举算法来竞争成为新的协同分析器。

李东春[7]2006年在《分布式网络入侵检测系统研究与实现》文中进行了进一步梳理随着计算机网络技术的发展和应用的广泛,网络入侵事件发生的越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。因此,入侵检测已经成为网络安全领域研究与开发的新热点.为此,本论文从对现有的入侵检测技术,发展历史及系统模型进行介绍,根据着眼点的不同详细的分析了入侵检测系统的分类及其各类优缺点,针对这些问题,本文应用C语言在Linux平台下设计并实现了基于误用检测技术的一种分布式网络入侵检测系统模型,对该分布式入侵检测系统的各个组成模块和模块间的通讯方式进行了详细设计和实现,并介绍了DNIDS中采用的模式匹配算法,以及在论文最后对DNIDS进行了人侵检测功能的测试。测试结果表明本文设计开发的DNIDS已具备了分布式网络入侵检测功能,并分析了该DNIDS所具备的功能与优良特性,指出了系统存在的不足,提出了进一步工作方向。

姜华斌[8]2005年在《基于环形结构的分布式协同入侵检测系统的研究》文中研究表明在网络应用不断发展的今天,网络安全问题也日趋突出,越来越多的安全技术被应用到网络安全领域。而大部分安全措施都属于被动防御,缺乏积极的保护措施。入侵检测(Intrnsion Detection)是网络安全体系中新兴的一门技术,它是一种主动的防御技术,也是当今计算机和网络安全所关注的焦点。它能够及时检测出网络安全漏洞,迅速做出响应,增强了网络的安全性,它逐渐成为网络安全领域的研究重点。 首先,本文分析了通用的入侵检测原理、分类及常用的入侵检测技术,指出了入侵检测的发展趋势。 然后,针对现有入侵检测模型的特点及其存在的结构复杂、未能考虑检测事件的优先级等问题,提出了一种基于环形结构的分布式协同入侵检测系统模型,采用令牌控制技术来实现分布式协同,给出了令牌的结构,提出了事件优先级的计算和实现方法,并针对新的模型设计了一套较完善的入侵检测算法和环形结构的分布式协同入侵检测系统的协议。 同时,给出了基于环形结构的分布式协同入侵检测系统的框架和各功能模块的结构实现,采用了协议分析和模式匹配的技术进行入侵分析;并提出了改进的Boyer-Moore算法,使得模式匹配算法效率更高;构建了一个仿真环境,通过仿真实验,进一步验证了基于环形结构的分布式协同入侵检测系统操作方便,稳定性、可靠性、可扩充性好,具有较好的平均响应率和负载均衡,达到了预期的结果。 最后,总结了基于环形结构的分布式协同入侵检测系统的优点和不足之处,并提出了本文没有实现的功能和今后将进一步研究的方向。

阳波[9]2007年在《分布式入侵检测系统的研究与设计》文中认为分布式入侵检测系统能进一步解决当前网络存在的安全问题,为建设高质量、高稳定性、高可靠性的安全网络提供了有利的支撑。面对网络的不断扩大和网络环境的日益复杂,分布式入侵检测系统将承担更加重要的网络分析和检测任务,已日益成为学术界研究的热点。分布式入侵检测系统在数据收集、数据检测、系统的灵活性方面明显优于一般的网络入侵检测系统。论文针对现有分布式入侵检测系统在分布式检测方面存在的不足,提出了基于分布式入侵检测环境中独立检测模块之间信息交互与信息共享的方法,同时结合对数据流向的考虑,加强对数据的检测,尤其是对分布式网络攻击的检测。本文主要是对在分布式入侵检测中存在的问题进行研究,通过研究提高系统的通信安全性、子系统间的数据共享和实现模块间的准确定位。论文的主要内容如下:①对分布式入侵检测系统进行了总体设计,研究了各个功能模块及其结构,对系统的数据流进行了分析。②研究分布检测感应器、分布入侵检测规则,提出了分布式检测规则结构优化策略,以提高规则匹配的速度。③研究分布检测分析器,通过对网络数据流进行分析,提出了层次与水平相结合的一种检测方法,实现各个检测实体之间数据交换与共享,并对分布检测分析器的分类算法进行了研究。④本文对独立检测单元之间的通信模块进行了设计与实现,同时加入了数据加密、认证等安全要素,提高了数据交换的安全性与准确性,同时对各个模块之间的传递的消息进行了定义,对基于目录的模块定位进行了研究。综上,本文针对分布式网络环境的特点做了分布式入侵检测技术研究,经过性能测试,能够完成分布式的网络检测任务,有利于提高系统的检测效率。

朱军[10]2004年在《一种基于分布式结构和集成化检测机制的网络入侵检测系统的设计与实现》文中指出本文旨在通过对网络入侵检测系统体系结构和检测机制的分析和研究,围绕如何提高系统的检测能力、检测效率和自身安全性,设计和实现一个基于分布式结构和集成化检测机制的实验系统。 论文首先介绍了集中式和分布式网络入侵检测系统的基本组成,分析和讨论了它们各自存在的缺陷或需要进一步研究的问题,提出了本文系统所采用的一种分布式结构。然后,论文介绍和讨论了误用和异常两种不同的检测思想,结合模式匹配重点对五类主要的入侵行为及其特征进行了分析,给出了本文对入侵检测方法的基本考虑,提出了本文系统所采用的一种集成化检测机制。此外,论文还重点阐述了本文系统所采用的流量捕获方法,给出了规则类型和格式的基本定义,介绍了本文系统的总体结构。 论文最后总结了本文系统所具备的主要特点,给出了本文系统在提高检测能力、检测效率和自身安全性等问题上的基本结论,提出了本文系统今后仍需要继续研究和完善的几个主要地方。

参考文献:

[1]. 分布式网络入侵检测系统关键技术研究[D]. 郭嵩涛. 电子科技大学. 2003

[2]. 模糊理论在分布式入侵检测系统中的应用[D]. 杨铭. 华中科技大学. 2004

[3]. 一种分布式网络入侵检测系统——DNIDS的设计与实现[D]. 刘金峰. 大连理工大学. 2004

[4]. 基于数据挖掘技术的分布式入侵检测系统的设计和开发[D]. 潘镭. 苏州大学. 2006

[5]. 分布式网络入侵检测系统研究与实现[D]. 邹蕾. 吉林大学. 2005

[6]. 分布式网络入侵检测系统中事件分析器的设计与实现[D]. 肖述超. 华中科技大学. 2004

[7]. 分布式网络入侵检测系统研究与实现[D]. 李东春. 吉林大学. 2006

[8]. 基于环形结构的分布式协同入侵检测系统的研究[D]. 姜华斌. 湖南大学. 2005

[9]. 分布式入侵检测系统的研究与设计[D]. 阳波. 重庆大学. 2007

[10]. 一种基于分布式结构和集成化检测机制的网络入侵检测系统的设计与实现[D]. 朱军. 南京理工大学. 2004

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

分布式网络入侵检测系统中事件分析器的设计与实现
下载Doc文档

猜你喜欢