● 摘要
现代网络入侵手段多样,其中以造成目标网络流量异常为途经的网络入侵危害巨大。像分布式拒绝服务(DDoS)攻击这类协作式入侵行为的出现,使得网络入侵不再是单一的行为,亦呈现多元化。同时,随着网络系统结构的复杂化和大型化,系统的弱点和漏洞趋向于分布式。早期的集中式入侵检测系统已经无法有效地防止上述网络入侵,因此,研究分布式入侵检测系统是十分必要的。本论文来源于国防基础科研项目,主要针对分布式网络入侵检测问题进行研究。重点研究分布式入侵检测模型的建立,以多代理系统(MAS)为框架,配合改进的累积和(CUSUM)算法、基于事件驱动模型的异常检测方法和负载均衡策略给出了一套灵活、高效的入侵检测机制,并设计实现了一个入侵检测原型系统。利用该原型系统,可以对网络入侵,特别是基于网络流量异常的分布式入侵行为进行有效检测。本文首先对入侵检测系统相关理论进行研究,深入分析了现有分布式入侵检测系统架构及检测方法。基于上述研究,论文给出改进的CUSUM算法,并利用阈值回归算法克服了算法的不足,同时提出基于网络流量异常事件驱动的入侵检测策略。论文以CUSUM算法为核心,通过该算法对网络流量、SYN/FIN包的比例以及新源IP地址等特征进行检测,以检测结果为触发事件驱动入侵检测系统对网络异常进行有效响应。根据所建立的入侵检测系统模型,以分布式软件开发框架(JADE)为实现平台结合入侵检测系统负载均衡机制设计实现了一个入侵检测原型系统。该系统能够对网络入侵行为进行有效检测。本文最后依据入侵检测流程,对典型入侵环境下的系统表现进行评估,并分析该原型系统的检测结果,从而使研究内容的理解更加直观,验证了本文提出的入侵检测机制的可行性和实用性。