主動(dòng)入侵檢測系統(tǒng)（AIDS）在SNMP（Simple Network Management Protocol）中的實(shí)現(xiàn)與分析.pdf

1、入侵檢測系統(tǒng)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域中的一個(gè)新的研究熱點(diǎn)，而如何改善入侵檢測系統(tǒng)中響應(yīng)的被動(dòng)性、滯后性又是基礎(chǔ)的核心問題之一。筆者曾參與過某公司關(guān)鍵服務(wù)器WWW日志的分析工作，深切體會(huì)到網(wǎng)絡(luò)安全的重要性以及事后分析攻擊的不足。所以本文在對當(dāng)前入侵檢測技術(shù)進(jìn)行研究分析的基礎(chǔ)上，結(jié)合了網(wǎng)絡(luò)管理思想和包過濾防火墻技術(shù)，根據(jù)本人參加的公司科研項(xiàng)目“大型商業(yè)聯(lián)盟信息平臺(tái)的研究”的需要，提出了“主動(dòng)入侵檢測系統(tǒng)(AIDS)在SNMP(Simple

2、Network Management Protocol)中的實(shí)現(xiàn)與分析”的研究課題。 本文首先研究了現(xiàn)有的入侵檢測系統(tǒng)的發(fā)展現(xiàn)狀和理論基礎(chǔ)，指出目前入侵檢測系統(tǒng)響應(yīng)性能的不足，提出了一種分布式主動(dòng)響應(yīng)的入侵檢測系統(tǒng)的結(jié)構(gòu)并給出了該系統(tǒng)的體系結(jié)構(gòu)圖。然后設(shè)計(jì)了系統(tǒng)中的三大部件：IDS群集、中央事件管理器、防火墻代理模塊，并對這三大部件的功能和特點(diǎn)進(jìn)行了詳細(xì)的分析。該系統(tǒng)在數(shù)據(jù)采集方面集中了基于主機(jī)的入侵檢測技術(shù)和基于網(wǎng)絡(luò)的入侵檢測

3、技術(shù)，以XML的方式傳遞報(bào)警信息，并在中央事件管理器端進(jìn)行數(shù)據(jù)融合，提高了宏觀檢測能力；同時(shí)能夠在不良攻擊到來之時(shí)以SNMP協(xié)議聯(lián)動(dòng)包過濾防火墻實(shí)時(shí)阻止，從而增強(qiáng)了本系統(tǒng)的主動(dòng)性。 本文在對系統(tǒng)進(jìn)行詳細(xì)設(shè)計(jì)之后，又給出了系統(tǒng)中三大部件的原型實(shí)現(xiàn)。IDS群集部分，給出其拓?fù)浣Y(jié)構(gòu)圖，分析了IDMEF數(shù)據(jù)模型并改進(jìn)了ALERT類；中央事件管理器部分，給出了程序總體實(shí)現(xiàn)流程圖以及一些關(guān)鍵部分的實(shí)現(xiàn)；防火墻代理模塊，本文對如何在防火墻端實(shí)