论文部分内容阅读
随着计算机网络技术的发展和应用的广泛,网络入侵事件发生的越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。因此,入侵检测已经成为网络安全领域研究与开发的新热点。网络入侵检测系统是当前确保系统或网络资源完整性和可获得性的最重要的工具之一,其主要任务是识别和围堵各种各样基于网络的入侵攻击。 本文首先从数据来源、数据处理周期、数据收集和分析、入侵检测方法、系统运行平台等七个方面对当前较具有影响力的24种入侵检测系统或原型进行了详细的比较,分析了现有入侵检测系统在系统平台的异构性、系统检测方法的效率、入侵数据分析的智能性、面临新的入侵方法时的适应性和网络配置发生变化时的可扩展性等方面的不足和问题。 针对这些不足和问题,本文提出了一个新的网络入侵检测系统模型。该模型结合专家系统和数据挖掘两种智能信息处理技术,以增强模型分析的智能性和对新入侵的适应性。专家系统技术用于误用入侵的检测,具有实时性好、检测结果准确率高等优点,弥补了数据挖掘技术实时性较差的缺点。而利用数据挖掘技术能够自动提取模式的特点进行异常检测,能够自动发现未知模式的入侵,降低了专家系统对知识库中规则的依赖性。 该模型扩展了现有网络入侵检测系统分布性的概念,不但具有数据收集和数据分析的分布性,还具有入侵检测方法的分布性。这种分布性能够很好地平衡系统负载,明显地减少大型网络入侵检测系统中分散的检测点与管理点之间的通信量,显著提高系统运行效率。同时该模型还充分利用CORBA技术的运行平台、实现语言无关性和面向对象的特点,具有很好网络环境异构性、可扩展性、分布性和安全性。 在这个模型的基础之上,实现了一个基于智能的网络入侵检测系统INIDS(Intelligent Network Intrusion Detection System)。论文详细讨论了该模型的体系结构、通信模型和对象模型,给出了系统中关键对象的IDL描述和关键处理过程的时序图。并分别研究了利用专家系统和数据挖掘技术实现入侵检测的关键问基于智能的分布式网络入侵检测系统题,例如入侵特征的规则描述、数据挖掘建立的三种模型以及模型可用性的评估等。 取IDS系统结构清晰,智能性、可扩展性和异构性好,对于目前复杂的网络结构具有良好的应用前景。 本文以我们承担的“国家信息关防与网络安全持续发展项目”《XXX》(绝密)为背景完成,作者参与项目分析、设计、实现和测试等全过程。该项目己于2002年12月顺利通过了国家网络安全管理中心的严格测试和验收。