分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì).pdf

1、隨著網(wǎng)絡(luò)的普及率，網(wǎng)上應(yīng)用的種類和重要性日益增加，保障計(jì)算機(jī)安全越來(lái)越重要也越來(lái)越具有挑戰(zhàn)性?，F(xiàn)在的各種靜態(tài)安全技術(shù)，如防火墻、數(shù)據(jù)加密等都比較成熟了。但這還不能適應(yīng)主動(dòng)發(fā)現(xiàn)入侵，防止黑客攻擊的需要。于是安全專家們提出了入侵檢測(cè)的理論。作為動(dòng)態(tài)安全技術(shù)的基礎(chǔ)，它根據(jù)入侵的痕跡和規(guī)律發(fā)現(xiàn)入侵行為并做出適當(dāng)?shù)捻憫?yīng)，是一種較主動(dòng)的網(wǎng)絡(luò)安全系統(tǒng)。從入侵檢測(cè)概念的提出到現(xiàn)在，安全專家提出了各種檢測(cè)模型：比如在數(shù)據(jù)搜集上有基于網(wǎng)絡(luò)的系統(tǒng)或者基于主機(jī)

2、的系統(tǒng)；在分析方法上有誤用檢測(cè)或者異常檢測(cè)；在檢測(cè)時(shí)限上有實(shí)時(shí)系統(tǒng)或者事后系統(tǒng)等。但現(xiàn)代實(shí)際使用的各種檢測(cè)系統(tǒng)存在有許多的缺點(diǎn)：可擴(kuò)展性差；不能適應(yīng)現(xiàn)代高速、加密、交換式網(wǎng)絡(luò)環(huán)境的需要；分析引擎不完善；不能適應(yīng)現(xiàn)代黑客攻擊協(xié)作性，長(zhǎng)期分步完成的特點(diǎn)；檢測(cè)速度慢，檢測(cè)成功滯后于攻擊成功等等。為克服以上缺點(diǎn)，本文采用了分布式系統(tǒng)的設(shè)計(jì)思路。相對(duì)于一體化的設(shè)計(jì)思路，分布式方法能將每一部分都可以設(shè)計(jì)得比較完善。系統(tǒng)分為數(shù)據(jù)收集代理、分析引擎和響