基于代理的对等分布式入侵检测系统研究

论文摘要

随着对计算机网络安全需求的日益增长，传统的防火墙技术和单机入侵检测技术已经不能完全满足人们对入侵防御的需求，分布式入侵检测技术成为一个至关重要的研究方向。如何扩展分布式入侵检测系统的概念使其能够很好的适用中大规模网络安全的需求，是一个重要的研究内容。本文研究了基于代理的对等分布式入侵检测技术的关键，包括分布式入侵检测技术、代理技术原理、面向网络数据的高速静止代理模型、面向主机审计数据的高速静止代理模型、对等的分布式入侵检测模型、高速扩展模型等，并且在此基础上实现了基于代理的对等分布式入侵检测系统（APDIDS-Agent based P2P Distributed Intrusion Detection System）。静止代理（又称本地代理或检测器，仅运行在一台机器上，是相对于移动代理而言的）分为基于网络的和基于主机的，针对传统分布式入侵检测系统处理源（审计）数据时性能较差的问题，本文分别面向网络数据和主机审计数据提出并设计了不同的高速静止代理模型。分布式入侵检测系统需要通过传感器获得网络的实际状况，并通过基于网络的静止代理进行数据的初步分析。基于网络的静止代理通常放在子网内部的不同部分，监控每个部分网络的实际状况。传统做法仅通过局域网络的拓扑来规划静止代理的分布，各静止代理是相同的。随着网络带宽的快速发展，基于网络的静止代理需要工作于千兆甚至更高网络线速，这对于传统静止代理模型来说难度很大。本文分析了以snort为代表的面向网络数据的传统静止代理模型，提出一种基于动态特征集的改良方法，根据规则的功能对特征集进行划分，动态加载特征集，从而提高基于网络的静止代理对网络数据的处理速度。基于主机的静止代理需要对主机上大量的日志等信息进行审计，发现其中可能的入侵行为。这类静止代理通常运行在被保护的关键主机中。对于中大规模网络，被保护的关键主机可能是Web Server、Mail Server等访问量很大的服务器，因此生成的各类审计数据源相当巨大。同时，这类服务器的一个重要特点是提供服务的数量和质量均受限于服务器本身的计算资源（包括CPU和存储器），而网络带宽资源却相对丰富。在这类关键主机上运行静止代理，大量的数据审计运算会降低服务器对外提供服务的质量。针对上述问题，本文使用分布式计算的概念，利用多机分布式计算的方式提高对主机审计数据的分析，设计了一个基于分布式处理主机审计数据的静止代理模型，使基于主机的静止代理的运行基本不会影响

论文目录

摘要

ABSTRACT

第一章引言

1.1 研究背景和研究意义

1.1.1 计算机网络存在安全风险的原因

1.1.2 计算机网络面对的安全威胁

1.1.3 研究的目的和意义

1.2 分布式入侵检测技术

1.2.1 P2DR模型与入侵检测技术

1.2.2 分布式入侵检测技术

1.2.3 困难与挑战

1.3 本文研究的主要内容和贡献

1.3.1 研究什么与不研究什么

1.3.2 本文的组织与各章内容介绍

1.3.3 本文的主要贡献

第二章分布式入侵检测技术研究

2.1 概述

2.2 入侵检测技术

2.2.1 入侵检测技术的发展历史

2.2.2 通用入侵检测模型

2.2.3 入侵检测系统的分类

2.3 分布式入侵检测系统

2.3.1 入侵检测技术概述

2.3.2 相关工作介绍和分析

2.4 代理技术原理

2.4.1 代理技术概述

2.4.2 移动代理的定义

2.4.3 使用分布式移动代理的必要性

2.4.4 代理技术的分类

2.4.5 移动代理系统

2.5 本章小结

第三章基于动态特征集的静止代理模型

3.1 问题的提出

3.2 传统的静止代理模型

3.3 基本思想和主要改进

3.4 特征集分析

3.5 特征匹配算法分析

3.5.1 概述

3.5.2 BM算法及其改进

3.5.3 AC算法及其改进

3.5.4 MWM算法

BM和SBMH算法'>3.5.5 AC_BM和SBMH算法

3.5.6 算法性能分析

3.6 静止代理模型的改进

3.7 本章小结

第四章基于分布式审计的静止代理模型

4.1 问题的提出

4.2 基于审计的静止代理模型改进

4.2.1 审计机制

4.2.2 基于审计的静止代理模型

4.2.3 静止代理模型改进

4.3 基于中间件的静止代理计算平台

4.3.1 概述

4.3.2 分布式计算中间件平台

4.3.3 静止代理模型的改进

4.3.4 实验数据

4.4 本章小结

第五章对等的分布式入侵检测模型研究

5.1 概述

5.2 传统的分布式入侵检测模型

5.2.1 模型概述

5.2.2 模型优缺点分析

5.2.3 理想模型所具备的特点

5.3 基于代理的对等分布式入侵检测模型

5.3.1 静止代理和移动代理

5.3.2 对等网络概述

5.3.3 对等分布式入侵检测模型的设计原理

5.3.4 对等入侵检测系统的结构设计

5.4 入侵的形式化描述

5.4.1 入侵模式分类

5.4.2 着色Petri网（CPN）概述

5.4.3 入侵的CPN形式描述

5.5 APDIDM模型对于大规模网络的扩展

5.5.1 扩展的基本框架

5.5.2 高性能分布式入侵检测模型

5.6 本章小结

第六章基于代理的分布式入侵检测系统

6.1 概述

6.2 基于WINDOWS的静止代理模块

6.2.1 系统组成

6.2.2 网络数据截获模块设计

6.3 基于网络静止代理模块

6.3.1 Snort2.4.4

6.3.2 基于流量分析的攻击检测模块

6.4 移动代理模块

6.4.1 移动代理实现概述

6.4.2 移动代理安全问题

6.5 系统中代理的通讯问题

6.5.1 代理的通讯特点

6.5.2 代理的通讯模式

6.6 本章小结

第七章总结和进一步工作

7.1 总结

7.2 进一步工作

参考文献

致谢

在读期间参与科研项目情况

博士学习期间发表论文情况

学位论文评阅及答辩情况表

基于代理的对等分布式入侵检测系统研究

论文摘要

论文目录

相关论文文献

猜你喜欢