【正文】 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 分布式入侵監(jiān)測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 摘 要 隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。入侵檢測(cè)技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。他對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)，它不僅檢測(cè)來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 本文提出一種基于部件的入侵檢測(cè)系統(tǒng)，具有良好的分布性能和可擴(kuò)展性。他將基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)有機(jī)地結(jié)合在一起，提供集成化的檢測(cè)、報(bào)告和 響應(yīng) 功能 。 在網(wǎng)絡(luò)引擎的實(shí)現(xiàn)上，使用了協(xié)議分析和模式匹 配相結(jié)合的方法，有效減小目標(biāo)的匹配范圍，提高了檢測(cè)速度。同時(shí)改進(jìn)了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實(shí)時(shí)性能。在主機(jī)代理中的網(wǎng)絡(luò)接口檢測(cè)功能，有效地解決了未來交換式網(wǎng)絡(luò)中入侵檢測(cè)系統(tǒng)無法檢測(cè)的致命弱點(diǎn)。 關(guān)鍵字 入侵檢測(cè)；模式匹配 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) Abstract With more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and work traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extra hacker, but also the intra users. We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the workbased IDS and hostbased IDS into a system, and provide detection, report and respone together. In the implement of the work engine, the bination of work protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the work engine can search intrusion signal more quickly. We use work interface detection in host agent, which will enable the IDS work on switch work fine. Keyword IDS。 pattern match 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說明 原創(chuàng)性聲明 本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過的材料。對(duì)本研究提供過幫助和做出過貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說明并表示了謝意。 作 者 簽 名： 日 期： 指導(dǎo)教師簽名： 日 期： 使用授權(quán)說明 本人完全了解 大學(xué)關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)校可以采用影印、分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)?？梢怨颊撐牡牟糠只蛉?jī)?nèi)容。 作者簽名： 日 期： 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 學(xué)位論文原創(chuàng)性聲明 本人鄭重聲明：所呈交 的論文是本人在導(dǎo)師的指導(dǎo)下獨(dú)立進(jìn)行研究所取得的研究成果。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。本人完全意識(shí)到本聲明的法律后果由本人承擔(dān)。 作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。本人授權(quán) 大學(xué)可以將 本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 涉密論文按學(xué)校規(guī)定處理。 作者簽名： 日期： 年 月 日 導(dǎo)師簽名： 日期： 年 月 日 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 目 錄 引言 ..................................................................................................................1 第一章 入侵檢測(cè)系統(tǒng)概述 ............................................................................2 TCSEC 難以適應(yīng)新的網(wǎng)絡(luò)環(huán)境 ........................................................2 P2DR：動(dòng)態(tài)安全模型 .......................................................................4 入侵檢測(cè)系統(tǒng) ....................................................................................5 入侵檢測(cè)系統(tǒng)的分類 ..............................................................5 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì) ......................................................8 CIDF 模型 ......................................................................................... 11 第二章 分布式入侵檢測(cè)系統(tǒng) ......................................................................12 現(xiàn)有入侵檢測(cè)系統(tǒng)的不足 ..............................................................12 主要功能要求 ..................................................................................13 系統(tǒng)概述 ..........................................................................................14 系統(tǒng)部署 ..........................................................................................15 第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 ......................................................................19 網(wǎng)絡(luò)引擎的設(shè)計(jì) ..............................................................................19 檢測(cè)匹配方法的改進(jìn) ............................................................19 網(wǎng)絡(luò)引擎設(shè)計(jì) ........................................................................21 主機(jī)代理 ..........................................................................................25 數(shù)據(jù)來源 ................................................................................25 代理結(jié) 構(gòu) ................................................................................26 第四章 存儲(chǔ)系統(tǒng)和分析系統(tǒng) ......................................................................29 存儲(chǔ)系統(tǒng) ..........................................................................................29 數(shù)據(jù)載入 ................................................................................29 數(shù)據(jù)縮減 ................................................................................30 推與拉技術(shù) ............................................................................31 分析系統(tǒng) ..........................................................................................32 基于行為的檢測(cè) ....................................................................32 基于知識(shí)的檢測(cè) ....................................................................34 第五章 控制臺(tái)與響應(yīng)系統(tǒng) ..........................................................................37 控制臺(tái) ..............................................................................................37 事件管理 .......................................................................................37 安全管理 .......................................................................................38 報(bào)告生成 .......................................................................................38 部件管理 .......................................................................................38 分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) 誤報(bào)警管理 ...................................................................................39 響應(yīng)系統(tǒng) ........................................................................