分布式网络入侵检测系统的研究与开发

摘要
入侵检测技术是网络信息安全保护措施的一种技术，对各种入侵攻击具有防范作用。但当遭遇到分布式入侵攻击时，单机方式的入侵检测就难以应对了。因此，本文提出了基于分布式的网络入侵检测系统。利用分布式的端口获取数据，基于规则匹配过滤数据，集中分析和处理数据，在此基础之上构造了一个网络化、分布式数据采集、集中式数据管理的入侵检测系统基本实验模型。
本文以DDoS的攻击模型为基础，选择审计数据的匹配规则，以数据包嗅探器snort为数据采集的核心构件，以流量阀值统计分析为处理背景，构建了一个具有数据采集、数据过滤、数据统计分析和报警反馈等功能的分布式入侵检测系统。文章详细介绍了系统开发的流程，希望以此抛砖引玉, 为进一步研究分布式入侵检测奠定良好的基础。

关键字 网络安全，入侵检测，DDOS，分布式入侵检测系统（DIDS）
目 录
第1章 研究的背景及现状 1
1.1问题的提出 1
1.2 现状分析及系统结构简介 2
1.2.1 现状分析 2
1.2.2 系统结构简介 2
第2章 系统设计 4
2.1 概念域及系统主要功能 4
2.1.1 概念域 4
2.1.2 系统主要功能 5
2.2 系统模型综述 5
2.2.1 入侵检测系统模型 5
2.2.2 网络模型 7
2.2.3 软件模型 7
2.3 系统网络协议简述 9
2.3.1 协议层次 9
2.3.2 协议格式分组 9
2.3.3 协议通信模型 9
2.4 数据库设计简述 10
2.5 实现方法的讨论 11
第3章 系统实现 11
3.1 网络端口数据采集 11
3.1.1 数据采集简介 11
3.1.2 本系统采用的数据采集方式 12
3.1.3 数据包嗅探器snort简介 12
3.2 概要设计 14
3.2.1 数据流分析 14
3.2.2 阀值检测策略设计 15
3.3 详细设计 16
3.3.1 模块设计 16
3.3.2 界面设计 21
3.3.3 部分算法说明 22
第4章 系统实际效果及改进的研究 23
4.1 完成情况 23
4.2 实测状况 23
4.3 遗留问题 27
4.4 改进方案 27
第5章 结束语 28
参考文献 29
致谢 30