文档介绍:北京邮电大学硕士学位论文基于代理的分布式入侵检测系统研究与实现姓名:周延森申请学位级别:硕士专业:计算机应用指导教师:高锡武;马跃20040301基于代理的分布式入侵检测系统的研究与实现摘要上的网络分组来检测入侵行为的系统,目前在市场上占主导地位;而主机随着大规模高速网络的出现,集中式入侵检测已经很难做到实时检测,并集中式入侵检测系统的上述缺陷,本论文引入了一种基于代理的分布式入对集中式入侵检测系统的局限性,它将基于网络的入侵检测系统和基于主并应用于基于误用的网络入侵检测代理,加快了模式匹配的速度,提高网入侵检测系统是一种能自动检测计算机系统或网络上入侵行为的系统。根据检测对象的不同,入侵检测系统可分为网络入侵检测系统和主机入侵检测系统。其中,网络入侵检测系统是指通过捕获并分析共享网络段从系统体系结构来看,入侵检测系统可分为集中式入侵检测系统和分布式入侵检测系统。目前,占主导地位的是集中式入侵检测系统。然而,且会因检测系统本身的部署而对网络速度性能造成~定的影响。为了克服基于代理的分布式入侵检测系统,是近年来新出现的入侵检测技术。针机的入侵检测系统密切地联系在一起,网络检测代理和主机检测代理在本件上传给全局检测代理处理。总之,本论文设计的基于代理的分布式入侵检测系统有以下主要特点:一是代理和分布式技术的引入,能够做到检测负载均衡和减少对被保护网络性能的影响,能检测到协同分布式攻击,并提供集成化检测、分析、报告和响应功能,;二是将统计分析算法应用于主机异常检测代理,具有自适应性能力,能够适应用户行为的变化,检测到网络上新出现的攻击行为;三是在分析虰惴ǖ幕∩咸岢隽艘恢中碌哪J狡ヅ渌惴˙—络检测引擎的效率,能满足大规模高速网络实时入侵检测的要求。关键词入侵检测异常检测误用检测入侵检测系统是指通过分析特定主机上的系统安全日志等数据源来检测用户异常入侵行为的系统。侵检测系统模型地完成局部简单的检测分析功能,而将不能在本地分析判断的网络可疑事模式匹配北京邮电大学硕士学位论文《基于代理的分布式入侵检测系统研究与实现》.,..,籐瑃甀,.,北京邮电大学硕士学位论文《基于代理的分布式入侵检测系统研究与实现》瓵,瑆.,瓵瓾·猙甃,瑆—猻篶甤甌;:逾望:妇塑监:保密论文注释:本学位论文属于保密在一年解密后适用本授权书。非保密论文注释:而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确处,本人承担一切相关责任。学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅;学校可以公布论文。C艿难宦畚脑诮饷芎笞袷卮斯娑独创性虼葱滦声明本人声明所星交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书的说明并表示了谢意。申请学位论本人签名:关于论文使用授权的说明学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位本学位论文不属导师签名:权书。日期:嬲礁引言跟踪和要求所设计的入侵检测系统应符合国际发展趋势的基础上,本人设计开发了一种基于代理的分布式入侵检测系统模型。该系统模型能够对现代网络进行实时、分布式和对计算机系统的安全研究逐渐转向计算机网络和计算机系统安全并重的研究。因此,原有的系统静态安全模型已经不适应现阶段的信息安全需求,系统安全模型应该由静态防御转化到积极主动的动态安全模型。动态的安全模型包括策略、保护、检测和响应模块,入侵检测作为一种动态安全技术,提供了对内部攻击、外部入侵和系统误操作的实时检测,在网络和计算机系统受到攻击时能实时和综合地进行入侵检测和响应,并且能的初期阶段曾经发挥过重要的作用。但是随着网络速度不断提高、网络规模不断扩大和攻击技术多样化,集中式入侵检测系统已无法应对实时入侵检测的要求。为了克服集中式入侵检测系统的局限性,在对国内外入侵检测技术的发展方向进行协同式攻击的检测,具有可扩展性、跨平台性、安全性、开放性和自适应性,并且已实本文第一章首先对入侵检测的相关背景知识作了简单介绍,包括网络安全简介、入侵检测的由来和分类、主要技术以及发展趋势等。分布式入侵检测系统模型,简单介绍了系统中各个组件的功能及在系统中的角色;接着介绍了代理和分布式技术;然后介绍了各组件安全通信的协议一跋低巢渴鸬取在第三章中首先介绍了入侵检测相关算法,包括应用于误用检测的模式匹配算法和机入侵检测代理⒂肞第五章是本论文的重点。首先描论了氖迪止蹋˙.惴ㄔ谙低持械氖迪帧W詈罄眉钢止セ餍形对辛瞬馐裕橹じ盟惴ǖ男阅堋