论文摘要
随着计算机及网络应用的日趋普及,对计算机及网络的攻击行为越来越多,为此出现了一系列的安全技术,入侵检测技术作为一种重要的主动防御手段一直是网络安全技术研究的一个重要方向。在复杂的分布式网络环境中入侵检测系统中需要综合各种信息对入侵行为进行判断,本文针对这一问题提出一种引用可扩展模糊算法来对入侵行为进行综合判断的系统。首先对入侵检测技术作了全面的研究综述,包括入侵检测技术出现的背景、方法的分类,并进一步指出了入侵检测技术尚存在的不足及研究方向。接着研究了分布式入侵检测系统的结构及代理技术,并研究了目前主要的三种分布式入侵检测模型。由于基于异常的检测和基于误用的检测在判定网络异常和正常时往往区分得非常的清楚,在现在Internet的环境下,很难对是否是攻击行为做出一个量化的判定。在这些分析的基础上提出一种基于模糊算法的分布式入侵检测系统的总体结构。系统主要由模糊探测代理、交流代理、模糊决策节点及规则库等部分组成,其中探测代理收集数据后选取特征根据一定的规则进行初步判断,交流代理能综合多个探测代理的数据并提交给模糊决策节点,模糊决策节点根据模糊算法对可疑数据给出进一步的判断结果和响应措施。文中描述了各个组成部分的设计与实现,阐述了模糊算法的过程,包括权重矩阵和模糊矩阵的生成等。最后对所提出的系统进行实验论证。分析了常见的漏洞与攻击,并以SYN-Flood攻击为例给出了实验过程。实验表明,系统实现了分布式数据采集及分布式入侵检测,能够满足监测高速、大流量网络及计算机系统的要求。