网络安全形势依然严峻,网络攻击事件时常发生,入侵检测技术的研究需要继续深入,国内外许多专家、学者从不同角度研究攻击分类问题,给出了各自的攻击分类体系,进而支持检测一定的攻击行为,这可通过部分分类体系与分类思想正被应用于当前的一些入侵检测系统证实。然而入侵检测尚有许多问题未解决:①误警率与漏警率高使入侵检测方法难于实用;②几乎每天都有新的攻击方法诞生,而又缺乏有效的方法检测;③分布式协同攻击使许多检测方法失效;④入侵检测系统很难有效地从海量数据中检测出攻击行为。针对上述问题,本文从研究攻击分类入手,提出了相应的检测方法,在一定程度上解决了入侵检测问题。本文的主要工作在于:提出了一种O-R-M-C(Object,Result,Mechanism,Characteristics)分类体系。O-R-M-C分类以对象为中心,先确定被攻击对象Object,定位被攻击点;其次考察攻击产生的结果和危害程度Result,以迅速做出相应的行动,降低损失;进而分析攻击机理Mechanism,探知攻击的内在原因、攻击方法及攻击情况;总结归纳出攻击的一般特征Characteristics,以利于应对类似攻击或重复攻击的检测。提出了一个分布式协同入侵检测模型。基于O-R-M-C分类体系,提出了一个由传感器、事件生成器、特征检测代理、场景检测代理、融合中心和控制中心组成的6层结构的分布式协同入侵检测模型。传感器用于收集网络数据包、日志和其他信息,提交给事件生成器;事件生成器对数据进行初步检测、过滤,将正常用户数据及显式入侵数据剔除、过滤掉,目标是尽可能减少入侵检测器处理的数据量,对不确定数据,生成可疑入侵事件,转发到相应的入侵事件检测代理;入侵事件检测代理(特征检测/场景检测/融合中心)对可疑入侵事件进行分析,剔除、过滤掉正常用户数据,当检测出攻击行为时,转响应单元处理;对仍不能确定的可疑入侵数据,提交给更高层的检测代理;监控中心监控、管理、协调各入侵事件检测代理(特征检测代理/场景检测代理)的工作,调节各检测代理负载。设计并实现了四种入侵事件检测代理,他们分别是特征检测代理、场景检测代理、统计检测代理和基于数据融合技术的检测代理。特征检测代理抽取可疑入侵事件的特征,将其与数据库存放的已知攻击特征进行比较、分析,判断是否为入侵行为;场景检测代理通过对一个已知攻击,分析其攻击机理,将已知攻击及其所有派生攻击组织进一个入侵场景,构造出检测已知攻击及其所有派生攻击的检测自动机;统计检测代理通过考察受害者对象在一定时间内的通信量,判断其是否超出预先设定的阈值来检测攻击行为;数据融合技术的检测代理给出了从空间、时间与内容上融合数据的方法,进而给出了数据融合算法。设计并实现了检测三大类攻击的检测器,第一类是扫描攻击与拒绝服务攻击检测器,由于扫描攻击与拒绝服务攻击机理、受害对象都相同,因而依据O-R-M-C分类体系,本文提出了一个基于三层结构的检测器检测扫描攻击与拒绝服务攻击,它由特征检测代理、场景检测代理与统计检测代理三层结构组成;第二类是木马攻击检测器,它由基于规范的检测(特征检测代理)与统计检测代理组成;第三类是权限提升及其变种攻击检测器,它由场景检测代理完成。解决了检测已知攻击及其所有派生攻击的检测问题。研究了权限提升攻击机理,探究了攻击与对象状态变迁的内在联系,揭示了通过一个已知攻击产生变种攻击的原理、技术与方法,提出了运用场景(Scenario)与对象监控技术检测已知攻击及其所有派生的新攻击的方法,进而组织入侵场景,构造有穷自动机来检测这些入侵行为。由于一个变种攻击不同于已知攻击,从这种意义上说,我们提出的方法能够检测新的攻击。设计并实现了基于数据融合技术的协同入侵检测算法。探讨了数据融合技术在入侵检测领域的应用,给出了从空间、时间及内容上融合可疑入侵数据的方法,通过协同攻击、多次会话攻击及精心设计的攻击的检测问题说明如何运用数据融合技术,改进检测效果。设计并实现了一个协同入侵检测原型系统CoIDM(Collaborative IntrusionDetection Model)。经实验验证了CoIDM入侵检测原型的有效性,检验了本模型能够检测刻意伪装的攻击及多个攻击者进行的协同攻击。最后给出了将来进一步研究的方向。