本文的研究目的是保护大型网络免遭分布式多步骤入侵。当前的入侵检测系统通常不能很好地处理这些大型网络中部署的传感器所产生的海量数据。因为专用节点处理能力有限,也容易遭受拒绝服务攻击,所以通常会成为整个系统的性能瓶颈。为此本文设计了一个分布式主动协同入侵检测原型系统DACIDS。检测过程本身是通过协同关联节点实现的,这些节点相互协同,将分布在受害网络中多台主机上的各部分证据综合起来形成正在发生的攻击全貌。 本文规范化了DACIDS中协同分析器的输入数据。DACIDS在关联入侵证据时,同等对待传感器的数据和子IDS的告警。这些数据格式多样、内容不一,系统利用分布式多步骤入侵特征语言描述的特征来检测分布式多步骤入侵时,要求协同分析器接收的数据格式一致,只有在格式一致的数据中才能方便地提取出合乎关联条件的内容。本文利用入侵检测工作组制定入侵检测消息交换格式时规范化数据的方法,修改其中的数据模型来满足DACIDS的需求。本文用统一建模语言描述了整个数据模型,给出了数据模型中几种重要类的文档类型定义。 本文提出了分布式多步骤入侵场景建模的方法。分布式多步骤入侵中某些步骤不会对被保护的主机或网段形成直接的威胁,因此不会被部署在其中的子入侵检测系统检测出来。根据分布式多步骤入侵的特点,本文将入侵场景分解成一系列传感器能观察到的特定的事件或者对应于子入侵检测系统能检测到的入侵子目标,将其统称为检测子任务;检测子任务间的关系包括检测子任务发生的先后次序,检测子任务对应的事件属性间的关系,并采用扩展的巴科斯范式对分布式多步骤入侵模型进行了抽象描述。由于采用了递归定义,因此可以方便地建模复杂的入侵场景。 本文定义了一种用来描述分布式多步骤入侵特征的语言DMISL。根据建立的分布式多步骤入侵的模型,定义了一种基于XML的分布式多步骤入侵特征语言,给出用该语言描述的分布式多步骤入侵特征的文档类型定义,用这个文档类型定义可以对安全管理人员或分布式主动协同入侵检测系统用户编码的分布式多步骤入侵特征进行格式检查。DMISL具有XML所有的优点。 本文实现了用于查找满足分布式多步骤特征的事件的分布式算法,该算法很重要的一点是将以DMISL编码的入侵特征转换为特定的扩展有限状态机后再依据状态的转移检测入侵。与现有的方式相比较,这种算法具有良好的可伸缩性和容错特性。这是因为检测过程只发生在具有部分攻击证据的主机上。本文没有使用传统的集中式或层次方式中所用的专用节点来实现事件关联,因为它们限制了可伸缩性,容易出故障或者遭受攻击从而造成单点失效。 本文改进了基于特征的网络子IDS的性能。为了解决提高整个系统的处理速度,本文对基于特征的网络子系统性能进行了改进。一种方式是引入AC状态机匹配算法取代原系