入侵(Intrusion)指的就是试图破坏计算机保密性、完整性、可用性或可控性的一系列活动。入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键结点的信息进行收集分析,对计算机和网络资源上的恶意使用行为进行识别和响应,检测其中是否有违反安全策略的事件发生或攻击迹象。它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。一般把用于入侵检测的软件、硬件合称为入侵检测系统IDS(Intrusion Detection System)。 入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。这几年,我国政府也加大了对入侵检测研究的投入。2000年6月,863计划把入侵检测研究列入信息安全技术应急计划。 本文提出一种分布式移动代理的入侵检测系统,它将基于网络和基于主机的入侵检测系统有机地结合在一起,具有良好的分布性能和可扩展性。 本文的工作主要是在以下几个方面: 使用移动代理技术设计了一个分布式入侵检测系统。使用了协议分析和模式匹配相结合的方法,有效减小目标的匹配范围,提高了检测速度。同时改进了匹配算法,使得网络引擎具有更好的实时性能。在CIDF(Common Intrusion Detection Framework)系统架构的基础上,采用了分布式的三层体系结构和两级分析结构设计,保证了系统的扩展性和自适应性。把组件间加密及认证的功能交给专门的CA认证系统,有效地解决了入侵检测系统自身的安全问题。 第1章和第2章分别介绍了现有安全技术的不足以及入侵检测系统的发展;以及CIDF模型、入侵检测系统的工作原理、系统架构以及分类,最后介绍了现有入侵检测技术的不足和发展趋势。 第3章、第4章和第5章分别讨论了分布式入侵检测系统的设计;攻击分类的方法以及入侵规则语言的设计和入侵检测子系统的设计。 第6章讨论了分布式入侵检测系统自身的安全问题及对策;然后指出本系统的特点和不足之处及未来的工作。