学位论文 > 优秀研究生学位论文题录展示

一种分布式入侵检测系统的设计与实现

作 者: 王士乾
导 师: 李东生
学 校: 太原理工大学
专 业: 计算机应用
关键词: 入侵检测系统 模式匹配 异常检测 误用检测
分类号: TP393.08
类 型: 硕士论文
年 份: 2004年
下 载: 123次
引 用: 4次
阅 读: 论文下载
 

内容摘要


当今互联网的广泛应用极大地方便了人们的工作与生活。但网络所面临的安全威胁也使人们的正常生活受到了干扰。以往的网络安全防御措施主要是采用防火墙技术,但防火墙也有其自身的局限性,它不能检测出来自网络内部的攻击。所以入侵检测技术构成了继防火墙之后的又一道网络安全闸门。 本文设计了一种基于部件的分布式入侵检测系统。系统由数据采集器、存储系统、日志集、控制系统、分析引擎、通信部件和响应系统构成。系统的设计采用的是模块化的设计思想。各个功能部件可以独立运行、协同工作、相互交换信息,并由控制系统进行统一的管理,充分地发挥其各自的功效。这样的设计既简化了各部件之间数据交换的复杂性,又使它们可以非常容易地分布在不同主机上。 本系统将数据采集器与分析引擎实现了分离,使得分析引 太原理工大学硕士研究生学位论文擎可以专注于入侵行为的特征分析。数据采集器先对网络包进行初步简单地过滤,然后直接向上层部件提交格式化的事件,使得上层部件的分析与决策完全与底层透明。数据采集器能对分段报文进行重组测试,可以很容易的检测到利用报文重组方式来发动的攻击,从而提高了检测的速度。存储系统中采用了临时库和永久库,使得系统可以更加有效地利用有限的磁盘空间。规则库的组织形式采用的是链表结构,使得分析引擎可以更加方便和高效地对其进行查询。日志集的出现使系统可以记录下某些敏感的事件信息,方便了以后对入侵信息的分析与查询。控制系统采用的是主/从体系结构,避免了由于控制系统失效而使得整个入侵检测系统瘫痪的问题。控制系统通过组织成树型结构的配置文件来管理和配置系统中的各个部件。分析引擎使用了协议分析和模式匹配相结合的检测方法以及改进了的匹配算法,提高了检测速度。通信部件采用特定的通信格式与不同的旧S间进行信息交换。 本文主要由以下几个部分组成:(1)第一章介绍了当前的网络安全技术和常见的攻击手段;(2)第二章对入侵检测技术的现状以及旧S的标准化工作做了简要的叙述;(3)第三太原理工大学硕士研究生学位论文章讲述了本系统的整体设计情况;(4)第四章对系统中各个组成部件的设计和实现进行了详细的叙述。

全文目录


一 绪论  14-19
  1 选题的目的和意义  14-16
  2 国内外研究动态  16-18
  3 本文的主要研究内容  18-19
二 网络安全与入侵检测概述  19-39
  1 网络安全知识概述  19-23
    (1) 网络安全的定义  19-20
    (2) 网络安全所面临的威胁  20-21
    (3) 网络安全的目标  21-22
    (4) 传统的网络安全技术  22-23
  2 常见的攻击方式  23-26
    (1) 收集信息攻击  23-24
    (2) 拒绝服务攻击  24-25
    (3) Spoofing Attack(电子欺骗)  25-26
    (4) CGI攻击  26
    (5) 后门  26
    (6) 日志修改  26
    (7) 其它的攻击方法  26
  3 入侵检测概述  26-35
    (1) 入侵检测的基本工作思想  27-28
    (2) 入侵检测原理  28-29
    (3) 入侵检测系统的分类  29
    (4) IDS的评价标准  29-30
    (5) 常用检测方法概述  30-32
    (6) 入侵检测的标准化  32-34
    (7) 入侵检测技术的发展趋势  34-35
  4 TCP/IP协议  35-39
    (1) TCP/IP协议概述  35-36
    (2) IP协议  36-37
    (3) TCP协议  37-38
    (4) UDP协议  38-39
三 分布式入侵检测系统的整体设计  39-45
  1 设计原则  39
  2 系统整体结构  39-42
  3 系统的部署  42
  4 系统的优化  42-43
  5 系统整体流程  43-45
四 系统各部件的设计与实现  45-91
  1 数据采集器  45-58
    (1) 数据采集器的整体设计  45-48
    (2) 报文重组器  48-49
    (3) 本地数据采集器  49-51
    (4) 网络包捕获器  51-53
    (5) 通信接口  53
    (6) 事件生成器  53-58
  2 存储系统  58-65
    (1) 临时库和永久库  58-59
    (2) 规则库  59-64
    (3) 其它主要结构表  64-65
  3 日志集  65-67
  4 控制系统  67-73
    (1) 控制系统功能  68-70
    (2) 配置文件的组织形式  70
    (3) 控制系统的主/从体系  70-73
  5 分析引擎  73-87
    (1) 分析引擎的构造  73-74
    (2) 协议树分析技术  74-76
    (3) 匹配算法  76-79
    (4) 基于特征的检测方法  79
    (5) 状态转换检测方法  79-81
    (6) 基于统计的检测方法  81-83
    (7) 数据包分析  83-86
    (8) 访问频率表  86-87
  6 响应系统  87
  7 通信部件  87-91
    (1) 通信机制  88-89
    (2) 交换信息的格式  89-91
五 系统测试  91-96
  1 匹配算法测试  91-92
  2 数据包截获测试  92-93
  3 对入侵活动的检测测试  93-96
六 结论  96-98
参考文献  98-102
致谢  102-103
攻读硕士期间发表的学术论文目录  103

相似论文

  1. 基于核方法的高光谱图像异常检测算法研究,TP751
  2. 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
  3. 一种多数据流聚类异常检测算法,TP311.13
  4. Web环境下基于语义模式匹配的实体关系提取方法的研究,TP391.1
  5. 基于投影寻踪回归的网络异常检测机制研究,TP393.08
  6. 基于启发式算法的恶意代码检测系统研究与实现,TP393.08
  7. 无线传感器网络定位及目标跟踪的研究,TN929.5
  8. 基于CUDA的正则表达式匹配系统的设计与实现,TP311.52
  9. Windows系统内核Rootkit的检测技术研究,TP309
  10. 僵尸控制行为识别及检测方法研究,TP393.08
  11. 基于Petri网的网络入侵检测系统研究与实现,TP393.08
  12. Ares协议分析与流量检测机制研究,TP393.06
  13. 基于Web日志的入侵检测系统设计与实现,TP393.08
  14. 云计算中依赖任务动态并行调度机制的研究,TP3
  15. 虹膜识别关键技术的研究,TP391.41
  16. 基于模式匹配与协议分析的分布式入侵检测研究,TP393.08
  17. Web敏感信息监测优化方法研究,TP393.08
  18. 基于关联规则的数据库安全审计系统,TP311.13
  19. 反抄袭检测系统的研究与实现,TP391.1
  20. 指纹识别相关算法的改进研究,TP391.41
  21. 聚类技术在网络入侵检测中的研究与应用,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com