随着网络技术的日益发展,尤其是Internet的迅速普及,网络安全问题受到越来越多人的关注。传统的静态安全模型已经不能适应新的网络环境,动态安全模型(如PPDR模型)更能适合当前网络安全的需要,而入侵检测是PPDR模型中的关键一环。入侵检测是一种主动的安全防护技术,是对传统计算机安全技术的补充,已成为网络安全领域研究中的一个新热点。 本文首先介绍了当前网络安全问题的现状和目前网络安全防护的主要手段,指出了研究和发展入侵检测系统的重要性;然后介绍了入侵检测系统的概念、分类和通用模型,针对目前入侵检测系统管理协调能力不强,自身安全性较差等不足,提出了一种基于CIDF模型的分布式实时入侵检测系统,系统由中央管理协调模块、网络检测代理组成。文章主要介绍了入侵检测系统管理和控制模块的设计与实现。管理协调模块是整个系统的核心,由数据库模块、分析模块、响应模块、用户界面模块和通信模块组成。系统在Windows 2000环境下设计实现,以Microsoft SQL Server 2000为数据库服务器,Microsoft VC++6.0是主要的开发工具。 文章在规则库定义、攻击检测、攻击响应、通信模块及系统自身安全性等方面尝试引入新的原理和技术,加强系统的管理协调能力。入侵规则以保留关键字和值原语作为基本语义元素,简单的表达式语法用来对规则进行自动响应作为缺省响应方式,同时加入手机短信平台,管理员能够在其他地方与系统进行交互,具备无人值守自动响应能力;在完善各种被动响应措施的同时,也尝试采用远程阻断、甚至警告攻击者的主动响应方式。在本地端加装本地检测代理负责本网段的攻击检测,使用双网卡,用于检测的监听网卡不分配IP地址,实现隐蔽监听。按照CIDF模型构造通信模块,具有与其他符合网络检测代理无缝的交互。在通信过程中使用TLS/SSL安全通信机制,采用安全认证技术进行身份识别,采用加密算法实现数据安全传输,在很多方面加强了系统自身安全性。 通过跨网段测试表明系统简洁高效,管理协调能力强,自身安全性高,符合当前网络和分布式入侵检测的发展趋势,具有较高的应用价值。