收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

分布式入侵检测系统与信息融合技术的研究与实践

姜建国  
【摘要】: 入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安全设备,构成对防火墙一类的静态安全设备的必要补充,已经越来越受到人们的重视,而分布式入侵检测系统更是随着网络的普及应用,成为技术发展的主流和研究的前沿。 在目前入侵检测技术的研究中,一方面在检测技术上,针对越来越复杂的攻击方法,如何提高检测能力。另一方面,利用代理(Agent)技术在检测系统结构设计上,实现对大型网络,高速网,分布异构平台环境的适应。此外,利用多传感器信息融合技术在分布式入侵检测系统中,实现多层次、多方面的信息处理,以达到对网络安全状况的监控和评估,这方面的研究相对较少。 国外基于分布式入侵检测技术进行研究和产品开发的机构、公司很多,到目前为止,已有一些研究机构对分布式入侵检测进行了有益的研究,也建立了一些实验性系统。也有一些系统开始采用信息融合的处理技术,如NIDES[6],EMERALD[7],只是采用的信息融合处理仅限于局部的、底层的实现,没有从理论上、体系结构上作进一步研究,并加以系统化,以适应大规模异构网络环境的需求,实现更高层次的信息融合和入侵检测。 四川大学博士学位论文 本课题试图将多传感器信息融合技术与分布式入侵检测技术相结合,希望 能够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一 的处理进程,来评估整个网络环境的安全状况。为此就需要设计和开发一个适 应大规模异构网环境的IDS即Cybe卜IDS,实现大规模异构网络环境下的入侵 检测和安全响应,这种新一代IDS必须能够自动鉴别和追踪网络空间中动态 的网络活动,从而可以监控网络空间中的各种攻击。 传统 IDS包括主机IDS和网络IDS,仅限于保护单一主机系统或网络系统, 保护的资源和范围都很有局限,而现有的分布式入侵检测系统对异构系统及 大规模网络的监测明显不足,加之不同的IDS系统之间不能协同工作,无法 相互配合,取长补短。本文针对现有入侵检测系统的不足,提出了基于多传感 器信息融合技术的分布式入侵检测系统即Cybe卜IDS的概念。为了获得攻击者 行为的更加完整的图象,从根本上防范攻击者的入侵,我们必须把视野拓展到 多个网络和多个类型的防护系统,这样不再把单一网络作为关注焦点,而是从 多个分布式系统收集和分析数据以获得攻击者行为的完整图象。我们需要既考 虑攻击的防护,也要考虑攻击者的追踪和监控,这就是C必e卜IDS的目的,我 们称之为以网络状况或态势为关注焦点。 本文通过对分布式IDS体系结构进行的研究和分析,提出了适合大规模异 构网环境的体系结构,从而建立C沙er-IDS的框架模型。Cyber一 IDS是一个多 代理系统,所谓的多代理系统,就是将己有的IDS组织起来,共同完成那些 单个IDS无法胜任的工作。采用多代理系统(MAS),不是简单的组合,而是 必须具有严格设计的体系结构,实现对多源信息的融合处理。严格设计的树形 层次结构保证了系统的可伸缩性、鲁棒性、实时性、可扩展性、安全性与可用 性等。 Cyber-IDS以网络态势为关注焦点,既要关注攻击的检测,也要进行攻击 者的追踪,因此需要一种数据多层提炼、抽象的结构。本文通过对信息融合不 统的研究,结合Cyber IDS的体系结构,建立了用于入侵检测的多传感器信 息融合系统模型,它包括了系统的功能模型和结构模型,可以表示数据的多层 抽象。信息在系统结构中往__卜传递时,其表达层次也随之由低层向高层转换。 四川大学博士学位论文 在最低层,原始的传感数据被转换为信一号型信息,经过一系列的融合步骤后, 信息可能又被逐步转换为更抽象的数字或符号表达的知识。 显然,Cyber一IDS的树形层次结构可以与信息融合模型很好地结合起来, 实现各个层次的功能。通过应用多传感器信息融合技术和多层抽象的观点, Cybe卜IDS实现以网络态势为关注焦点,提供关于攻击、攻击者和它们之间关 系的信息或知识。其特有的过滤和融合提炼的功能使得cyber一 IDs与传统IDs 相比,能够大大减低系统误报而不会造成大量报警以至淹没用户或管理者。 文章基于Cybor-IDS的融合模型,结合对多传感器信息融合理论和方法在 分布式入侵检测系统中的应用,详细讨论和深入研究了相关的数据关联和目标 跟踪的方法,以及融合判断和目标检测的方法,从而可以直接应用于Cyber-IDS 的设计和实现。 本文作者根据相关研究成果,在中国工程物理研究院军民两用技术基金的 资助下,负责进行了Cyber一IDS的原型设计和实现,因而在本文最后,给出了 整个原型系统设计实现的关键过程如通信机制、安全机制和相关融合算法。 本文的创新性主要体现为,通过将多传感器信J息、融合技术应用于分布式入 侵检测系统,提出了可应用于大规模异构网环境的Cyber一IDS的概念,建立了 基于信息融合的分布式入侵检测系统的理论模型和相关融合处理方法,并给出 了系统原型的体系结构和实现技术。所提出的Cyber-IDS可以将不同类型的 IDS作为入侵检测代理(IDA)结合起来,构成一个无中心、分层


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 李宝健,杨俊,张雨田,罗守山;信息安全技术讲座 第4讲 入侵检测系统的技术与应用[J];中国数据通信;2003年01期
2 ;东方龙马入侵检测系统[J];网络安全技术与应用;2003年04期
3 王军,肖德宝;集成防火墙的入侵检测系统的设计与实现[J];华中师范大学学报(自然科学版);2004年02期
4 米爱中,钟诚,杨锋,罗程;分布式网络环境下集成防火墙和入侵检测系统的安全模型[J];广西师范学院学报(自然科学版);2004年03期
5 张丹慧,黄敏,佟振声;基于Agent的分布式入侵检测系统[J];计算机工程与应用;2004年35期
6 陈旭日;自适应混合入侵检测系统的研究[J];湖南科技学院学报;2004年11期
7 刘金伟,刘玉珍,张焕国;多代理技术在分布式入侵检测系统中的应用研究[J];计算机应用研究;2005年03期
8 张国豪,李仲麟;一种实时入侵检测系统的研究与实现[J];微型机与应用;2001年08期
9 刘文涛,胡家宝;IDS入侵检测系统的分析与研究[J];现代计算机;2002年07期
10 刘晓宏,林晓明;入侵检测系统性能设计[J];计算机工程与设计;2003年03期
11 何志勇;入侵检测系统(IDS)[J];微机发展;2003年S2期
12 陈旭晔,刘胜辉,张文斌,乔佩利;计算机公共弱点/风险(CVE)体系结构的研究[J];哈尔滨理工大学学报;2003年04期
13 折淑舫;基于移动Agent的入侵检测系统技术研究[J];电脑学习;2004年04期
14 陈舜青,蒋小莺;入侵检测中数据挖掘的应用[J];常州工学院学报;2004年04期
15 吴永明;基于Java语言的入侵检测系统设计[J];洛阳工业高等专科学校学报;2004年04期
16 吴猛,郑慧;DoS攻击的演变及IDS的防御[J];吉林化工学院学报;2004年04期
17 张颖江,晏德军,李腊元;基于大规模网络的入侵检测系统的设计与实现[J];武汉理工大学学报(交通科学与工程版);2004年06期
18 陈妍,李增智,廖志刚,寇雅楠;一种基于主动网络的入侵检测系统ANIDS[J];计算机工程;2005年02期
19 程绍辉,高鹏翔;网络入侵检测模型的分析与比较[J];计算机时代;2005年02期
20 马福强,柴乔林,李德峰;基于CORBA的分布式入侵检测模型的设计与实现[J];计算机工程与设计;2005年02期
中国重要会议论文全文数据库 前10条
1 李刚民;;多代理系统——迈向计算机和人类共存的新时代(英文)[A];信息科学与微电子技术:中国科协第三届青年学术年会论文集[C];1998年
2 李培;李燕杰;刘晓燕;;基于移动Agent的分布式入侵检测系统[A];广西计算机学会——2004年学术年会论文集[C];2004年
3 吕慧勤;褚永刚;杨义先;胡正名;;分布式告警融合算法研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
4 李晓艳;雷振甲;梁润秋;;多代理技术在复杂软件系统中的应用[A];先进制造技术论坛暨第二届制造业自动化与信息化技术交流会论文集[C];2003年
5 车琳;李铁克;;基于多代理的CSP动态生产调度系统[A];全国第七届工业工程与企业信息化学术会议论文集[C];2003年
6 张平;;多代理模型在漏洞检测系统中的应用[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(下)[C];2006年
7 刘洪威;王艳红;;一类基于多Agent的分布车间作业调度方法[A];2007中国控制与决策学术年会论文集[C];2007年
8 沈权;;基于自治代理的分布式入侵检测系统的研究[A];全国第16届计算机科学与技术应用(CACIS)学术会议论文集[C];2004年
9 李峰;张玉清;;Linux防火墙的扩展应用研究[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
10 叶颖;严毅;;基于通用入侵规范下网络入侵检测系统的研究[A];广西计算机学会——2004年学术年会论文集[C];2004年
中国博士学位论文全文数据库 前10条
1 姜建国;分布式入侵检测系统与信息融合技术的研究与实践[D];四川大学;2003年
2 闫巧;基于免疫机理的入侵检测系统研究[D];西安电子科技大学;2003年
3 齐建东;基于数据挖掘的入侵检测方法及系统研究[D];中国农业大学;2003年
4 刘美兰;网络安全监测预警技术研究[D];中国人民解放军信息工程大学;2002年
5 邹涛;智能网络入侵检测系统关键技术研究[D];国防科学技术大学;2004年
6 但正刚;基于多代理的两阶段实时车辆调度系统研究[D];清华大学;2008年
7 吴作顺;基于免疫学的入侵检测系统研究[D];中国人民解放军国防科学技术大学;2003年
8 苟先太;下一代网络中支持多媒体通信任务的多代理技术研究[D];西南交通大学;2005年
9 蒋阳升;供应链关系协调管理研究[D];西南交通大学;2004年
10 马鑫;基于协同机制和智能算法的多代理系统研究及应用[D];吉林大学;2011年
中国硕士学位论文全文数据库 前10条
1 刘水;防火墙与入侵检测系统在校园网中结合应用的初探[D];南京理工大学;2003年
2 刘建朋;分布式网络入侵检测系统的研究[D];辽宁工程技术大学;2004年
3 斯海飞;入侵检测算法研究[D];西安电子科技大学;2002年
4 黄敏;入侵检测技术的研究与应用[D];哈尔滨工程大学;2002年
5 杨莘;分布式协作入侵检测系统的报警信息管理[D];中国科学院研究生院(软件研究所);2003年
6 陈霖;基于企业网的入侵检测系统的研究与设计[D];电子科技大学;2002年
7 陈桂清;Windows环境下的网络攻击与检测[D];广东工业大学;2003年
8 李攀;基于模式匹配的入侵检测系统[D];西安建筑科技大学;2001年
9 王瑶;基于Agent的分布式入侵检测系统的研究及实现[D];昆明理工大学;2002年
10 卢广;网络安全中入侵检测系统的设计与实现[D];大庆石油学院;2003年
中国重要报纸全文数据库 前10条
1 谭崇畅;IDS值得投资吗[N];中国计算机报;2005年
2 CPW记者 曾宪勇 ;方正入侵检测系统3.0可实现大流量数据检测[N];电脑商报;2004年
3 ;绿盟科技“冰之眼”:入侵检测保安全[N];计算机世界;2005年
4 ;企业如何选购IPS解决方案[N];中国计算机报;2005年
5 ;绿盟科技 性能决定IDS[N];中国计算机报;2004年
6 本报记者 边歆;泥上指爪印深痕[N];网络世界;2005年
7 赛迪评测硬件与网络测试中心 何武红 陈勇;2003-2004 年度中国市场 主流IDS产品评测技术报告[N];中国计算机报;2005年
8 ;不断创新,持续提高[N];中国计算机报;2005年
9 ;飞塔 安全平台一机多能[N];中国计算机报;2004年
10 陈阳;“扬天”声动天下 联想胜算几何?[N];中国经营报;2005年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978