论文摘要
入侵检测技术作为一种能够自动、实时地保障网络信息安全的动态安全技术,构成了继防火墙、身份验证等传统的静态安全设备之后的第二道防线,越来越受到国内外学者的重视;而分布式入侵检测系统更是随着高速网络、分布式网络技术的普及和大规模、分布协作式入侵攻击的出现,如DDOS,成为目前入侵检测的研究热点。首先,本文将数据融合技术与分布式入侵检测技术相结合,利用免费开源的入侵检测软件Snort,开发一个基于网络的分布式入侵检测原型系统,通过在需要监控的局域网内的各关键节点合理设置网络入侵检测引擎,收集网络数据包,进行入侵检测,然后将产生的告警传递到控制台进行告警事件分析,最后向网络管理员报告受监控网络内的整体安全状况。本文解决了Snort局限于单一的主机或网络架构,对异构系统及大规模网络的监测明显不足的问题。然后,本文对IETF入侵检测交换格式工作组IDWG( Intrusion Detection exchange format Working Group )正在标准化的IDXP进行了研究,并在此基础上设计了适合于混合型分布式入侵检测系统的通信协议,为入侵检测系统内部组件之间的信息交换提供了完整性、保密性、正确性的保障,同时也使得IDS本身具有良好的鲁棒性。最后,本文对入侵检测系统的测试技术进行了研究,分别对基于网络的分布式入侵检测系统进行了离线和在线的测试。在线测试时,本文模拟了一个局域网络环境,借助攻击模拟工具IDS Informer对本系统进行测试,实验的结果表明,本系统具有较高的检测率,并且误报率在可以接受的范围之内,整个分布式入侵检测运行正常;离线测试时,本文使用了权威的DARPA的Tcpdump数据集,再一次对本系统进行了测试,结果表明对于一些典型的网络攻击,本系统的检测性能同样良好。
论文目录
摘要Abstract第1章 绪论1.1 课题研究的背景及意义1.2 基于Snort 构建分布式入侵检测系统的原因1.3 国内外研究的历史和发展现状1.4 本论文的主要工作内容第2章 入侵检测技术原理分析与研究2.1 入侵检测系统的概念2.2 入侵检测系统的主要分类2.2.1 根据数据来源进行分类2.2.2 根据检测原理进行分类2.2.3 根据体系结构分类2.2.4 根据实时性分类2.2.5 根据入侵检测响应方式分类2.3 入侵检测的新技术研究及其发展趋势2.3.1 入侵检测的新技术研究2.3.2 入侵检测技术的发展趋势2.3.3 数据融合技术在IDS 中的应用2.4 本章小结第3章 Snort 的工作原理3.1 Snort 的系统结构3.2 Snort 的规则和规则解析3.2.1 Snort 的规则3.2.2 Snort 的规则解析3.2.3 Snort 的规则索引3.2.4 Snort 的多模式匹配3.3 Snort 的插件3.4 Snort 源代码分析3.4.1 Snort 主程序3.4.2 快速匹配引擎的创建(FPDE)3.4.3 规则的编译3.5 本章小结第4章 分布式入侵检测模型的研究与设计4.1 IDS 标准化的研究4.2 分布式入侵检测模型的设计与实现4.2.1 网络入侵检测引擎4.2.2 控制台4.3 IDS 中告警融合器的研究4.3.1 告警数据之间的关系4.3.2 告警融合器的体系结构4.3.3 告警信息过滤模块4.3.4 告警信息聚合模块4.3.5 告警信息归并模块4.4 本章小结第5章 应用于混合型IDS 的通信协议研究5.1 信息交换格式的设计5.2 Body-Message 的通用格式 IDSMF 和消息数据模型IDSDM5.3 实体间安全传输协议的研究5.3.1 握手协议5.3.2 密文传输协议5.4 IDS 协议的安全性分析5.5 本章小结第6章 入侵检测系统的测试6.1 实验室数据集DARPA6.2 入侵检测系统的性能指标6.3 实验设计6.3.1 实验环境6.3.2 入侵检测系统的功能测试6.3.3 入侵检测系统的性能测试6.4 本章小结结论参考文献致谢
相关论文文献
标签:入侵检测论文; 分布式系统论文; 通信协议论文; 数据融合论文;