分布式入侵检测系统与信息融合技术研究与实践.pdf

分布式入侵检测系统与信息融合技术的研究与实践 四川大学数学学院应用数学专业 研究生姜建国指导教师周仲叉 摘要 入侵检测系统作为一种能够自动、实时地保障网络信息安全的动念安全设 备，构成对防火墙一类的静态安全设备的必要补充，己经越来越受到人们的重 视，而分布式入侵检测系统更是随着网络的普及应用，成为技术发展的主流和 研究的前沿。 在目前入侵检测技术的研究中，一方面在检测技术上，针对越来越复杂的 攻击方法，如何提高检测能力。另一方面，利用代理(Agent)技术在检测系 统结构设计上，实现对大型网络，高速网，分布异构平台环境的适应。此外， 利用多传感器信息融合技术在分布式入侵检测系统中，实现多层次、多方面的 信息处理，以达到对网络安全状况的监控和评估，这方面的研究相对较少。 国外基于分拓式入侵检测技术进行研究和产品开发的机构、公司很多，到 目前为止，已有一些研究机构对分稚式入侵检测进行了有益的研究，也建立了 一些实验性系统。也有一些系统丌始采用信息融合的处理技术，如NIDES[6]， EMERALD[7】，只是采用的信息融合处理仅限于局部的、底层的实现，没有从 理论上、体系结构上作进一步研究，并加以系统化，以适应大规模异构网络环 境的需求．实现更高层次的信息融合和入侵检测。 4 四川大学博士学位论走 本课题试图将多传感器信息融合技术与分布式入侵检测技术相结合，希望 能够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一 的处理进程，来评估整个网络环境的安全状况。为此就需要设计和丌发一个适 、检测和安全响应，这种新一代IDS必须能够自动鉴别和追踪网络空『自J中动态 的网络活动，从而可以监控网络空间中的各种攻击。 传统IDS包括主机IDS和网络IDS，仅限于保护单一主机系统或网络系统， 保护的资源和范围都很有局限，而现有的分布式入侵检测系统对异构系统及 大规模网络的监测明显不足，加之不同的IDS系统之问不能协同工作，无法 相互配合，取长补短。本文针对现有入侵检测系统的不足，提出了基于多传感 器信息融合技术的分布式入侵检测系统即Cyber-IDS的概念。为了获得攻击者 行为的更加完整的图象，从根本上防范攻击者的入侵，我们必须把视野拓展到 多个网络和多个类型的防护系统，这样4i再把单一网络作为关注焦点，而是从 多个分布式系统收集和分析数据以获得攻击者行为的完整图象。我们需要既考 虑攻击的防护，也要考虑攻击者的追踪和监控，这就是Cyber-IDS的目的，我 们称之为以网络状况或念势为关注焦点。 ： 本文通过对分布式IDS体系结构进行的研究和分析，提出了适合大规模异 代理系统，所谓的多代理系统，就是将已有的IDS组织起来，共同完成那些 单个IDS无法胜任的工作。采用多代理系统(MAS)，不是简单的组合，而是 必须具有严格设计的体系结构，实现对多源信息的融合处理。严格设计的树形 层次结构保证了系统的可伸缩性、鲁棒性、实时性、可扩展性、安全性与可用 性等。 Cyber-IDS以网络态势为关注焦点，既要关注攻击的检测，也要进行攻击 者的追踪，因此需要一种数据多层提炼、抽象的结构。本文通过对信息融合系 统的研究．结合CybelIDS的体系结构，建立了用于入侵检测的多传感器信 息融合系统模型，它包括了系统的功能模型和结构模型．可以表示数据的多层 抽象。信息在系统结构中往上传递时，其表达层次也随之由低层向高层转换。 四川大学博士学位论文 在最低层，原始的传感数据被转换为信号型信息，经过一系列的融合步骤后． 信息可能又被逐步转换为更抽象的数字或符号表达的知以。 显然，Cyber-IDS的树形层次结构可以与信息融合模型很好地结合起辩黾．． 实现各个层次的功能。通过应用多传感器信息融合技术和多层抽象的观点， Cyber-IDS实现以网络念势为关注焦点，提供关于攻击、攻击者和它们之问关 相比，能够大大减低系统误报而不会造成大量报警以至淹没用户或管理者。 文章基于Cyber-IDS的融合模型，结合