基于网络的分布式入侵检测及其通信协议研究-计算机科学与技术专业论文.docx

Classified Index: TP393.08 U.D.C.:621.38 Dissertation for the Master Degree in Engineering RESEARCH ON DISTRIBUTED INTRUSION DETECTION AND COMMUNICATION PROTOCOL BASED ON NETWORK Candidate： Ma Chao Supervisor： Associate Professor Tong xiaojun Academic Degree Applied for： Master of Engineering Specialty： Computer Science and Technology Affiliation: School of Computer Science and Technology Date of Defence： June, 2008 Degree-Conferring-Institution： Harbin Institute of Technology 哈尔滨 哈尔滨工业大学工学硕士学位论文 摘 要 入侵检测技术作为一种能够自动、实时地保障网络信息安全的动态安全技 术，构成了继防火墙、身份验证等传统的静态安全设备之后的第二道防线，越 来越受到国内外学者的重视；而分布式入侵检测系统更是随着高速网络、分布 式网络技术的普及和大规模、分布协作式入侵攻击的出现，如 DDOS，成为目 前入侵检测的研究热点。 首先，本文将数据融合技术与分布式入侵检测技术相结合，利用免费开源 的入侵检测软件 Snort，开发一个基于网络的分布式入侵检测原型系统，通过 在需要监控的局域网内的各关键节点合理设置网络入侵检测引擎，收集网络数 据包，进行入侵检测，然后将产生的告警传递到控制台进行告警事件分析，最 后向网络管理员报告受监控网络内的整体安全状况。本文解决了 Snort 局限于 单一的主机或网络架构，对异构系统及大规模网络的监测明显不足的问题。 然后，本文对IETF入侵检测交换格式工作组IDWG( Intrusion Detection exchange format Working Group )正在标准化的IDXP进行了研究，并在此基础上 设计了适合于混合型分布式入侵检测系统的通信协议，为入侵检测系统内部组 件之间的信息交换提供了完整性、保密性、正确性的保障，同时也使得IDS本 身具有良好的鲁棒性。 最后，本文对入侵检测系统的测试技术进行了研究，分别对基于网络的分 布式入侵检测系统进行了离线和在线的测试。在线测试时，本文模拟了一个局 域网络环境，借助攻击模拟工具 IDS Informer对本系统进行测试， 实验的结 果表明，本系统具有较高的检测率，并且误报率在可以接受的范围之内，整个 分布式入侵检测运行正常；离线测试时，本文使用了权威的DARPA的Tcpdump 数据集，再一次对本系统进行了测试，结果表明对于一些典型的网络攻击，本 系统的检测性能同样良好。 关键词 入侵检测；分布式系统；通信协议；Snort；数据融合 - I - Abstract The intrusion detection technology takes one kind of dynamic network information security technology which is able automatic, real-time to safeguard the network, becomes the second defense lines after the traditional，static safety equipment comprising firewall，identification authentication and so on, more and more has already been paid more attention by the scholars at home and abroad; But with popularity of the high-speed network and the distributed network technology and with appearance of the large-scale, distributed cooperative intrusion attack, as DDOS, the distributed intrusion detection system becomes a research focus in the intrusion detectio