论文摘要
随着Internet的普及和信息技术的发展与应用,网络信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。网络信息安全技术主要分为两个方面:一是信息安全,另一是网络系统安全。信息安全以密码学技术为基础,涉及信息在传输、存储过程的机密性、完整性、不可抵赖性等一系列内容。网络系统安全涉及防火墙、入侵检测、病毒防范、安全审计等多个方面,与信息安全密切相关,应用了很多信息安全技术。在所有的安全技术中,主动防御技术被一致看好,而入侵检测技术则是主动防御技术的关键。但现有入侵检测系统的高误报和漏报、不能防止DDOS攻击、缺乏互操作能力、缺乏全局视图和警报关联等种种缺点已严重限制了入侵检测系统的发展和应用。针对这些问题,本文围绕安全预警系统中的IDS的现状和缺点、报警信息关联、报警信息关联效果评价等关键技术,开展研究与实现工作,本文所做的工作主要集中在:1.对IDS现状与发展趋势进行了综述:在回顾IDS的发展历史的基础上,分析IDS的主要技术和分类。并总结了现有IDS的主要不足和缺陷。为后面的研究提供基础。2.分布式报警关联框架的研究:在综合分析现有关联框架的基础上,提出了一种新的带自动响应的分布式IDS警报关联框架。该框架对分布式支持做了特别的考虑,支持自动响应,并且具有良好的扩展性(scaling)和易配置性(deployable)。3.报警关联的研究:从警报关联关系定义入手,对IDS警报之间存在的关系,做了统一的分类和定义,并且使用精确的数学定义形式表达,便于警报关联的实现。并重点讨论了如何对海量报警信息的过滤、筛选和归纳,和报警信息的关联融合。帮助网络管理员及时处理各类网络入侵,准确而及时把握整个网络的安全态势,从而能采取更有效的方法和措施来管理和配置网络。保证网络安全稳定地提供服务,减少和避免网络故障。4.关联的有效性验证:讨论了如何对关联算法进行有效性验证,为有关人员选择关联算法提供依据,并且可以根据关联的有效性验证的结果及时调整关联的一些参数和指标,以便得到最准确的关联结果。在校级课题《基于被动指纹识别技术和数据挖掘的DIDS警报关联研究》支持下,把报警信息关联融合和关联验证等关键技术与课题实践相结合,完成了分布式IDS代理提交的安全事件的归并和融合及其关联验证。为该项目的验收顺利打下了坚实的基础。