基于攻击响应分布式NIDS设计和实现.docVIP

南京航空航天大学硕士学位论文 　 摘　要　 随着网络技术的快速发展，网络的规模和速度得到了大幅度的提升，随之 而来的是越来越严峻的安全形势。入侵检测（ＩＤ）作为一种积极主动的安全防 御技术，受到了越来越多的关注。它比较全面地提供了对内部攻击、外部攻击 和误操作的实时保护，能够在网络受到攻击时对攻击行为做出正确的响应。但 是通常使用的入侵检测技术在适应大规模高速网络、减少误报和漏报、对网络 攻击自动做出合理的响应等方面还存在很多问题，这也是入侵检测技术当今和 未来一段时间内需要研究解决的课题。　 本文从网络安全的主要技术入手，首先介绍了入侵检测系统（ＩＤＳ）的概念、 功能和结构，比较了不同类别入侵检测系统的优缺点，并回顾了入侵检测系统 的发展历史。然后，分析比较了各种分布式入侵检测系统的优缺点，在此基础 上引入了负载均衡的概念，并提出集中式和分布式两种平衡入侵检测系统负载 的负载均衡方案。随后设计并实现了基于攻击响应的入侵检测系统，该系统采 用分布式结构，主要包括分析控制中心、网络检测部分和主机检测引擎三个层 次。网络检测部分的域代理负责实施各网络检测引擎的负载均衡，分析控制中 心的中心控制模块实施对网络攻击的响应决策，主机检测引擎中的攻击响应模 块实施具体的响应措施，并提供了文件和注册表保护、文件完整性检测等主机 资源检测保护工具。与通常的入侵检测系统相比，该系统增强了适应复杂网