“分布式网络入侵检测防御关键技术的研究”根据网络向“分布式”发展、入侵方式以“分布式入侵”为主要威胁、单点检测系统向分布式检测系统转换的特征,对分布式网络入侵检测的关键技术进行了较为全面和深入的研究。针对有线网络中常见的分布式拒绝服务攻击、新兴的攻击方式、分布式无线网络的协议安全漏洞和基于信任的安全防御问题进行了分析和研究。以协议分析、理论推导、仿真验证为主要方法,借鉴国内外高端的研究工作,针对分布式网络入侵检测防御的关键问题提出了相应的解决方法,且通过对实际网络及网络入侵的仿真证明了可行性、有效性和优越性。主要研究内容和创新性成果如下：1.提出了基于树结构的完全分布式入侵检测系统Tree-DIDS。现有分布式入侵检测系统存在着单点失效和通信成本之间的矛盾,Tree-DIDS用完全分布式体系结构配合三种通信策略协调了这个矛盾；数据存储采用树结构,改变了常用的线性结构,实现了检测、溯源、防御的统一；双异常检测比现有的单一流量异常检测更准确。仿真和性能分析证明了Tree-DIDS系统的可行性和优越性。2.提出了低速率拒绝服务攻击的三级检测算法。低速率拒绝服务攻击是新兴的网络入侵方式,现有的检测技术由于针对性过强而提高了检测成本。针对低速率拒绝服务攻击的三级检测算法以分级结构对网络状态进行监视,逐级发现异常,逐级确认异常,仅在必要时启动低速率检测,以此降低网络检测成本,且可实现网络常规异常的检测和攻击性质确认。通过仿真与性能分析证明了该算法与现有的检测方法比较更具有实用性。3.提出了短时分析算法实现低速率拒绝服务攻击的实时检测和防御。现有的最常用的频域变换检测低速率攻击方法计算复杂度较高,检测时间略长,短时分析算法通过短时过界率以更低的计算复杂度,在更短时间内检测低速率攻击；现有的研究没有提出参数估计的方法,短时分析算法用修正的自相关函数实现了攻击参数的估计,估计的参数用于改进现有的防御技术。仿真和性能分析证明了短时分析技术可以实现低速率拒绝服务攻击的实时检测和防御。4.分析了一种分布式无线网络标准,发现了该标准存在的2种安全漏洞,提出了3种相应的安全修正协议。ECMA-368标准定义的超宽带网络是一种无线分布式网络,目前还没有关于该标准中握手机制安全漏洞的研究。研究通过对该标准的握手机制的分析,发现了当中存在的2种安全漏洞,且相应地提出了防伪造报文、距离测度及增强容忍度3种安全修正协议,完善了ECMA-368的安全机制。仿真和性能分析证明了3种修正协议可在不显著增加成本的情况下弥补安全漏洞,且不会引发新的攻击。5.在无线分布式网络中建立了跨层信任网络,提出了基于信任领地的安全路由协议TT-DSR。现有的信任网络研究一般都侧重于一个网络层次,基于无线分布式网络建立的跨层信任网络解决了信任值在不同网络层次传递的问题；信任领地概念的提出改变了现有用单一信任值表征信任程度的状况,用集合、图和关系的方法研究了信任领地建立和扩展的方法,提出了基于信任领地的安全路由协议TT-DSR。仿真结果证明了TT-DSR不仅可以实现路由安全,且在路由过程中可更新信任领地。入侵检测和安全防御是非常重要且极为复杂的问题,鉴于网络的多态性、入侵的丰富性,只能选取其中的几个关键技术进行研究。研究受到国家863计划“网络安全”(No.2008AA011004)、2008年华为基金项目“短距无线安全研究”、2009年华为基金项目“网络级统一安全防御方案和关键技术”的资金支持,其中2项华为基金已经通过验收,受到合作方好评。