分布式入侵檢測系統(tǒng)通信機(jī)制的研究.pdf

1、在網(wǎng)絡(luò)技術(shù)越來越普及的今天，入侵檢測系統(tǒng)作為一種新型的網(wǎng)絡(luò)安全工具，已經(jīng)得到了廣泛的研究和應(yīng)用。 入侵檢測系統(tǒng)可以彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)安全手段如防火墻等的一些不足之處，因而能夠提供更好的網(wǎng)絡(luò)安全保證。 傳統(tǒng)上來說，入侵檢測系統(tǒng)主要分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩大類型。 然而隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)速度的不斷提高，原本基于單一系統(tǒng)的入侵檢測系統(tǒng)已經(jīng)表現(xiàn)出越來越多的弱點(diǎn)，因此分布式入侵檢測系統(tǒng)逐漸成

2、為當(dāng)前網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)問題。在分布式入侵檢測系統(tǒng)中，各個(gè)部件之間或者不同的入侵檢測系統(tǒng)之間的通信保障是一個(gè)十分重要的問題，建立一個(gè)安全可靠且有效率的通信體系是分布式入侵檢測系統(tǒng)成功部署的關(guān)鍵。 本文的主要工作就是對分布式入侵檢測系統(tǒng)的通信架構(gòu)部分進(jìn)行了研究，提出了一種三層的通信架構(gòu)，并對安全通信協(xié)議及報(bào)文傳輸進(jìn)行了研究和改進(jìn)。 在通信架構(gòu)設(shè)計(jì)中，本文將整個(gè)通信系統(tǒng)分為了代理層、聚合層和關(guān)聯(lián)層，將不同的任務(wù)分配到相應(yīng)

3、的層次中完成，帶來了結(jié)構(gòu)清晰以及穩(wěn)定的優(yōu)點(diǎn)。在實(shí)際網(wǎng)絡(luò)傳輸中，研究了相應(yīng)的行業(yè)標(biāo)準(zhǔn)IDMEF，發(fā)現(xiàn)了其基于XML語言描述的不足之處，進(jìn)而設(shè)計(jì)了改進(jìn)算法對其編碼進(jìn)行了壓縮。 另外在對報(bào)文之間存在的冗余進(jìn)行研究之后，設(shè)計(jì)了算法對其進(jìn)行改進(jìn)。 在聚合層上，本文設(shè)計(jì)了聚合算法，對相同性質(zhì)的告警進(jìn)行了聚合處理。 在理論研究的基礎(chǔ)上，我們模擬了現(xiàn)實(shí)中的攻擊場景，設(shè)計(jì)了仿真實(shí)驗(yàn)，取得了良好的效果，驗(yàn)證了本文所設(shè)計(jì)的架構(gòu)及一系列