文档介绍:中国科学技术大学
硕士学位论文
扩展的入侵检测消息交换格式和加密与签名方案的设计与实现
姓名:单来祥
申请学位级别:硕士
专业:计算机应用技术
指导教师:杨寿保
20050501
摘要分布式入侵检测是一种积极主动的安全防护技术,它可以监视主机系统或网络上的用户活动,发现可能存在的入侵行为。随着入侵检测技术的发展,面向大规模网络的分布式入侵检测系统逐渐走向实用,出于分布式入侵检测系统的组件很多,各组件之间需要一个标准通信格式来加以指导,以促进不同的入侵检测系统组件之问的高效协作,形成一个有效的安全保障系统。同时分布式入侵检测系统还需要与防火墙、访问控制系统、病毒防御系统、响应系统等安全部件进行信息交流,也需要提出一个标准的信息交换格式对系统的通信格式进行规范。目前互联网工程任务组的入侵检测工作组提出了入侵检测消息交换格式的草案,该草案适用于分层的分布式入侵检测系统,用来描述控制器与探测器之间的通信数据格式。由于分层的分布式入侵检测系统对控制器的要求高,系统存在瓶颈以及抗毁性能差等缺点,因此分布式入侵检测系统倾向于将检测结点和检测分析过程分布化,这就需要对入侵检测消息交换格式进行扩展,以适应于新型分布式入侵检测系统体系结构的需要。本文在研究分布式入侵检测系统的检测与响应组件之间共享信息的数据格式和交换规程的基础上,提出了层次化协作式入侵检测系统的体系结构,并针对这种体系结构提出了扩展的入侵检测消息交换格式,增加了入侵检测控制信息交换格式的模型和控制器间消息交换格式的模型,对入侵检测消息交换格式的文档类型定义部分进行扩充。本文设计实现了分布式入侵检测系统传输消息的加密与数字签名方案,以提高系统本身的安全性。为了测试扩展的入侵检测消息交换格式和加密、签名方案的可用性与安全性,本文设计了层次化协作式入侵检测系统的部署方案,构架网络通信平台,模拟层次化协作式入侵检测系统的工作环境,检测系统对入侵检测信息进行转换的效率和对系统负载的影响,测试加密、签名方案的安全性和传输信息对网络带宽的影响。试验数据表明,扩展的入侵检测消息交换格式对入侵检测信息的描述简单方便、内容完整、层次清晰,对系统负载影响小:加密与签名方案安全性高,生成的公钥、私钥、签名文件占用磁盘空间小,传输所需网络带宽小,有效缓解了加密、签名生成的附加信息对网络负载的影响。因此层次化协作式入侵检测系统部署方便、实用性好、没有中心节点引起的瓶颈问题、抗毁性能好,适用于当前的网络环境;扩展的入侵检测消息交换格式与加密、签名方案能够满足层次化协作式入侵检测系统组件间交换信息的需要。关键字:分布式入侵检测,层次化协作模型,入侵检测消息交换格式,入侵检测控制消息格式,椭圆曲线密码体制
..瑆:狹,甆甌瓾,.,,,
第一章绪论研究背景随着计算机网络技术的发展,网络安全问题引起人们的广泛关注,入侵检测技术被认为是网络安全的第二道防线。由于近年来网络攻击技术日益复杂,分布式入侵检测技术受到人们的重视。分布式入侵检测系统内部的组件多,如何协调各组件间的信息格式成为人们关注的一个问题,目前国内外许多组织针对该问题展开研究,本文对入侵检测消息交换格式也进行研究与讨论。入侵检测系统是一种不同于防火墙的主动保护网络资源的网络安全系统,是防范网络攻击的最后一道防线,是其它安全措施的必要补充,在网络安全技术中起到不可代替的作用。由于网络资源共享技术的加强,网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而又难以捉摸,某些入侵的活动靠单一的入侵检测系统不能检测出来,不同的入侵检测系统需要进行协作,才能检测出一些更复杂的入侵活动。因此出现了能将基于主机的入侵检测系统和基于网络的入侵检测系统相结合地新型的入侵检测技术⋯一分布式入侵检测技术Ⅲ。计算机网络规模的进一步扩大,面向大规模网络的分布式入侵检测系统要求系统内部的多个组件之间进行高效地信息交换,同时入侵检测系统也需要与防火墙、访问控制系统、应急和入侵追踪系统等安全部件进行信息交换,各部件相互协作,形成一个统一的整体,有效地保障系统的安全。为了达到这些要求,需要分布式入侵检测系统的各个组件执行一个统一的标准,各组件之间要有一个约定,如信息交换标准、数据通信格式、系统的加解密方式与信息认证的方法等】K孀偶术的发展,入侵检测技术逐渐成熟完善,许多技术部门都提出了自己的入侵检测系统,为了能够统一多个厂商的入侵检测系统的通信标准,也需要提出一个能够广泛被各个厂商接受的入侵检测系统消息的格式。目前互联网工程任务组的入侵检测工作组提出了入侵检测消息交换格式牟莅福肭旨觳庀⒔换桓袷矫枋隽吮硎救肭旨觳庀低呈涑鲂息的模型,并解释使用此模型的基本原理,它以面向对象的形式表示探测器传递给控制器的警报数据。但是