计算机网络的迅速发展为全球范围内实现高效的资源共享和信息交换提供了方便,同时由于计算机网络的开放性和共享性,其安全性已成为人们日益关注的问题。在世界范围内,对计算机网络的攻击手段层出不穷,网络犯罪日趋严重,给各行各业带来了巨大的经济损失和其他方面损失。 入侵检测(Intrusion Detection)作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全方案,可以最大限度地提高系统的安全保障能力,减少安全威胁对系统造成的危害。 随着计算机技术和网络技术的不断发展,分布式计算环境的广泛采用,海量存储和高带宽传输技术的普及,传统的基于单机的集中式入侵检测系统已不能满足安全需求。分布式入侵检测(Distributed Intrusion Detection,DID)逐渐成为入侵检测乃至整个网络安全领域的研究重点。本文针对面向大规模网络的分布式入侵检测的关键问题进行了研究: 本文首先分析了入侵检测的研究现状,对分布式入侵检测系统进行了深入的研究,探讨了其相对于传统IDS的优势及技术难点,并介绍了典型的代表系统。 在系统的结构模型方面,本文首先根据数据源和分析引擎的工作方式,将现有的入侵检测系统进行了树状分类,并根据入侵数据源将入侵分为外部入侵和内部入侵,在此基础上提出了一种新型的分布式入侵检测系统架构——基于Agent的分布式入侵检测模型(Agent-based Distributed Intrusion Detection Model),该模型具有良好的分布性、智能性和可维护性,不仅能够有效地解决系统扩展问题和单点失效问题,而且大大提高了检测效率和减少了响应时间。随后,本文引入了信息抽象级别(Information Abstraction Level)的概念,对检测过程中安全审计数据所经历的状态进行表述。 在系统的检测技术方面,本文采用了误用检测和异常检测(对异常检测采用双阈值的方法)相结合的方法,有效提高了检测效率和降低了漏报和误报。并用数据挖掘和数据融合技术对确定的异常入侵进行特征抽取形成新知识。 本文通过对系统的检测模型和检测算法的详细阐述,描述了我们所构建的分布式入侵检测系统的原理和技术,并对各种类型攻击进行了模拟检测。结果表明,系统可以准确地检测出以上多种类型的攻击行为,并及时地采取响应措施,阻断攻击者的网络连接。