分布式入侵检测系统的研究与设计

作     者：车德军 

作者单位：北京交通大学 

学位级别：硕士

导师姓名：于剑

授予年度：2007年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络安全 入侵检测 分布式 报警融合 自动响应 

摘      要：随着Internet的发展，计算机网络安全成为越来越受人们关注的问题。目前最流行的网络安全解决方案是入侵检测系统和防火墙技术，但是由于入侵检测系统存在产生大量的报警(Alert)和误报(False Positive)、只能被动检测不能主动防御的缺点，导致不能对网络进行全面的保护，因此急需出现一种崭新的网络安全体系结构来解决这些问题。作者通过分析多种安全防御机制的优缺点和网络安全的发展趋势，在此基础上设计并实现了基于分层部件的分布式入侵检测系统，具有良好的性能和可扩展性。它将入侵检测系统和防火墙技术有机地结合在一起，用于实现对网络的全面保护和深度防御。 本文在深入细致地分析了现有入侵检测系统的各种体系结构、检测技术和防火墙技术的基础上，对分布式入侵检测系统进行了研究与设计，取得了以下工作成果： ●参与设计了一种分布式入侵检测系统，并对该系统的体系结构和功能进行了全面、完整的描述。 ●研究了snort的实现机制，学会如何编写snort规则。 ●研究了黑客攻击的步骤，并掌握了一般攻击的手段。 ●研究并实现了报警采集与格式统一模块。 ●实现了网络通信模块，并使用Strategy模式保证了加密解密模块的动态扩展，有效的解决了入侵检测系统自身的安全问题。 ●重点研究了报警融合模块的实现原理，并实现了基于相似度的报警融合算法。 ●重点研究和实现了基于插件的报警响应模块，实现了与防火墙的联动。 ●针对局域网实际应用需求，使用该分布式入侵检测系统对其进行保护，取得了不错的实验效果。