收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

分布式入侵检测系统与信息融合技术的研究与实践

姜建国  
【摘要】: 入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安全设备,构成对防火墙一类的静态安全设备的必要补充,已经越来越受到人们的重视,而分布式入侵检测系统更是随着网络的普及应用,成为技术发展的主流和研究的前沿。 在目前入侵检测技术的研究中,一方面在检测技术上,针对越来越复杂的攻击方法,如何提高检测能力。另一方面,利用代理(Agent)技术在检测系统结构设计上,实现对大型网络,高速网,分布异构平台环境的适应。此外,利用多传感器信息融合技术在分布式入侵检测系统中,实现多层次、多方面的信息处理,以达到对网络安全状况的监控和评估,这方面的研究相对较少。 国外基于分布式入侵检测技术进行研究和产品开发的机构、公司很多,到目前为止,已有一些研究机构对分布式入侵检测进行了有益的研究,也建立了一些实验性系统。也有一些系统开始采用信息融合的处理技术,如NIDES[6],EMERALD[7],只是采用的信息融合处理仅限于局部的、底层的实现,没有从理论上、体系结构上作进一步研究,并加以系统化,以适应大规模异构网络环境的需求,实现更高层次的信息融合和入侵检测。 四川大学博士学位论文 本课题试图将多传感器信息融合技术与分布式入侵检测技术相结合,希望 能够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一 的处理进程,来评估整个网络环境的安全状况。为此就需要设计和开发一个适 应大规模异构网环境的IDS即Cybe卜IDS,实现大规模异构网络环境下的入侵 检测和安全响应,这种新一代IDS必须能够自动鉴别和追踪网络空间中动态 的网络活动,从而可以监控网络空间中的各种攻击。 传统 IDS包括主机IDS和网络IDS,仅限于保护单一主机系统或网络系统, 保护的资源和范围都很有局限,而现有的分布式入侵检测系统对异构系统及 大规模网络的监测明显不足,加之不同的IDS系统之间不能协同工作,无法 相互配合,取长补短。本文针对现有入侵检测系统的不足,提出了基于多传感 器信息融合技术的分布式入侵检测系统即Cybe卜IDS的概念。为了获得攻击者 行为的更加完整的图象,从根本上防范攻击者的入侵,我们必须把视野拓展到 多个网络和多个类型的防护系统,这样不再把单一网络作为关注焦点,而是从 多个分布式系统收集和分析数据以获得攻击者行为的完整图象。我们需要既考 虑攻击的防护,也要考虑攻击者的追踪和监控,这就是C必e卜IDS的目的,我 们称之为以网络状况或态势为关注焦点。 本文通过对分布式IDS体系结构进行的研究和分析,提出了适合大规模异 构网环境的体系结构,从而建立C沙er-IDS的框架模型。Cyber一 IDS是一个多 代理系统,所谓的多代理系统,就是将己有的IDS组织起来,共同完成那些 单个IDS无法胜任的工作。采用多代理系统(MAS),不是简单的组合,而是 必须具有严格设计的体系结构,实现对多源信息的融合处理。严格设计的树形 层次结构保证了系统的可伸缩性、鲁棒性、实时性、可扩展性、安全性与可用 性等。 Cyber-IDS以网络态势为关注焦点,既要关注攻击的检测,也要进行攻击 者的追踪,因此需要一种数据多层提炼、抽象的结构。本文通过对信息融合不 统的研究,结合Cyber IDS的体系结构,建立了用于入侵检测的多传感器信 息融合系统模型,它包括了系统的功能模型和结构模型,可以表示数据的多层 抽象。信息在系统结构中往__卜传递时,其表达层次也随之由低层向高层转换。 四川大学博士学位论文 在最低层,原始的传感数据被转换为信一号型信息,经过一系列的融合步骤后, 信息可能又被逐步转换为更抽象的数字或符号表达的知识。 显然,Cyber一IDS的树形层次结构可以与信息融合模型很好地结合起来, 实现各个层次的功能。通过应用多传感器信息融合技术和多层抽象的观点, Cybe卜IDS实现以网络态势为关注焦点,提供关于攻击、攻击者和它们之间关 系的信息或知识。其特有的过滤和融合提炼的功能使得cyber一 IDs与传统IDs 相比,能够大大减低系统误报而不会造成大量报警以至淹没用户或管理者。 文章基于Cybor-IDS的融合模型,结合对多传感器信息融合理论和方法在 分布式入侵检测系统中的应用,详细讨论和深入研究了相关的数据关联和目标 跟踪的方法,以及融合判断和目标检测的方法,从而可以直接应用于Cyber-IDS 的设计和实现。 本文作者根据相关研究成果,在中国工程物理研究院军民两用技术基金的 资助下,负责进行了Cyber一IDS的原型设计和实现,因而在本文最后,给出了 整个原型系统设计实现的关键过程如通信机制、安全机制和相关融合算法。 本文的创新性主要体现为,通过将多传感器信J息、融合技术应用于分布式入 侵检测系统,提出了可应用于大规模异构网环境的Cyber一IDS的概念,建立了 基于信息融合的分布式入侵检测系统的理论模型和相关融合处理方法,并给出 了系统原型的体系结构和实现技术。所提出的Cyber-IDS可以将不同类型的 IDS作为入侵检测代理(IDA)结合起来,构成一个无中心、分层


知网文化
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978