基于SNMP的分布式分層入侵檢測模型的研究與實(shí)現(xiàn).pdf

1、當(dāng)網(wǎng)絡(luò)的開放成為必要,當(dāng)網(wǎng)絡(luò)規(guī)模的快速增長成為趨勢,網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全將不再是兩個弧立領(lǐng)域.向?qū)Ψ綕B透、相互融合成為二者未來的發(fā)展方向之一.該論文從入侵檢測系統(tǒng)入手,探討入侵檢測與網(wǎng)絡(luò)管理相結(jié)合的必要性,試圖在兩個領(lǐng)域的融合上做一些研究性工作.簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是業(yè)界事實(shí)上的網(wǎng)絡(luò)管理標(biāo)準(zhǔn),因此,我們選用SNMP作為網(wǎng)管協(xié)議.一方面,SNMP作為入侵檢測系統(tǒng)的網(wǎng)絡(luò)管理工具,為系統(tǒng)對設(shè)備的控制和自動響應(yīng)提供方便;另一方面,通過共享

2、SNMP的管理信息庫(MIB),入侵檢測系統(tǒng)能實(shí)施有效的安全檢測策略,發(fā)現(xiàn)網(wǎng)絡(luò)中的違法行為.為了能從基于統(tǒng)計量的MIB數(shù)據(jù)源中發(fā)現(xiàn)攻擊行為,我們提出系統(tǒng)特征狀態(tài)分析(SCSA)技術(shù).與其它檢測方法不同,SCSA從攻擊產(chǎn)生的結(jié)果著手,在MIB統(tǒng)計量上建立特征規(guī)則,從而準(zhǔn)確發(fā)現(xiàn)針對協(xié)議棧的攻擊.SCSA是一種結(jié)合概率統(tǒng)計方法的特征分析技術(shù),它為入侵檢測與網(wǎng)絡(luò)管理的結(jié)合提供了新的思路,是該文的創(chuàng)新成果.在SCSA的基礎(chǔ)上,論文又提出針對大型網(wǎng)

3、絡(luò)的IDS模型——基于SNMP的分布式分層入侵檢測模型.模型采用網(wǎng)絡(luò)的分層架構(gòu)和入侵檢測的分布式檢測架構(gòu),兩種架構(gòu)獨(dú)立而互補(bǔ),不僅能擴(kuò)大檢測范圍而且能對網(wǎng)絡(luò)實(shí)行有效管理.這也是該論文的研究成果.論文的另一個工作重點(diǎn)是IDS模型中的關(guān)鍵組件——網(wǎng)絡(luò)管理系統(tǒng)代理(NMS AGENT).NMS AGENT是SCSA技術(shù)的實(shí)現(xiàn),是作者工作的主要內(nèi)容.因此,論文的后半部分詳細(xì)討論該組件的設(shè)計和實(shí)現(xiàn),并用一系列實(shí)驗(yàn)來證明它在入侵檢測和網(wǎng)絡(luò)管理兩方面