论文摘要
随着计算机网络技术的发展和广泛应用,网络入侵事件的发生越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。由于传统的基于防火墙、身份认证以及加密技术的网络安全防御体系本身存在的缺陷和不足,使得入侵检测技术成为当前网络安全方面研究的热点和重要方向。他改变了以往的被动防御的特点,能够主动地实时跟踪各种危害系统安全的入侵行为,并做出及时的响应。尤其在抵御网络内部的攻击方面,更有独到的特点,成为防火墙之后的又一道安全防线。经调查发现,随着计算机网络的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。但是,目前存在的现状是:人们对入侵检测了解得还不够,检测技术也不像防火墙那样成熟,因此,开展对入侵检测方面的研究更有深远意义。近几年,计算机网络建设突飞猛进。由于网络规模的扩大,计算机网络应对网内外各种威胁的形式日益严峻。原有基于防火墙的安全模式策略已经远远不能满足人们对网络信息安全的要求,入侵检测预警自然成为网络安全领域研究与开发的新热点。本论文从对当前的网络安全现状入手,对入侵检测的概念,发展历史以及通用入侵检测模型进行了分析。对入侵检测系统的分类,根据检测数据的来源不同,分为主机入侵检测系统和网络入侵检测系统;根据所采用的不同检测方法,将其分为异常入侵检测系统和误用入侵检测系统;根据系统所采用的结构不同,可将其分为集中式入侵检测系统和分布式入侵检测系统。并对各种分类后的检测系统的优缺点进行了详细阐述。在随后的系统分析和设计方面,本文提出了一种层次化协作的混合型分布式入侵检测系统模型。该模型将受保护网络划分成若干个安全管理区,模型由探测代理、监视代理和策略执行代理三个部分组成。各部分之间角色的分工借鉴了CIDF模型,在每种代理的内部模块的设置上也力求功能完整独立。整个模型在数据来源的分布化、分析检测的分布化、多区域检测的协作化三个层次上体现分布式入侵检测的特点。在系统的实现中,本文具体讲解了Windows2000平台下网络探测代理与监视代理的实现过程,并详细讲解了数据融合算法的设计思想和实现过程。为了测试网络探测代理的运行效率,在作者现有的网络环境中进行了丢包率测试、CPU负载测试。测试结果表明在正常的网络通信中,系统可以达到有效的运行状态。我们通过测试几种扫描工具的攻击时间和可以检测到的攻击数目来测试系统的检测效率。结果表明,网络探测代理可以在较短时间内检测超过95%以上的扫描行为,并及时地采取响应措施。随后又采用land,Smurf V1.2,udp flooder2.0,synflooder v1.0版,黑色风暴ddos攻击2.1测试版,Kn-ping等分布式拒绝服务攻击工具进行了攻击测试,结果表明系统能在较短时间内发现分布式攻击并且发出报警信号。作为网络安全的一个重要研究领域,分布式入侵检测系统仍然存在着众多的问题和技术难点,本文的最后给出了今后针对该领域的下一步研究方向。