论文部分内容阅读
入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于snort技术的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为三个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文分析并设计了一个符合公共入侵检测框架(Common Intrusion DetectionFramework,CIDF)的,基于Snort的分布式网络入侵检测系统,并详细介绍了其中的关键技术的解决办法和实现方法。使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。