随着计算机网络的发展和普及,人们在享受了网络带来的便利的同时也对网络本身的安全呈现出越来越多的关注。入侵检测(Intrusion Detection)虽然被称为网络安全的第二道防线,但由于其能够主动识别入侵行为并能够按照既定的策略进行响应,可以有效地弥补传统安全防护技术的缺陷,已经成为了网络安全系统的必不可少的部分。 本文的研究目的是结合本课题的应用背景,对入侵检测系统的现状和发展进行了研究,提出一种适合本课题应用背景的入侵检测系统体系结构——基于分层结构体的分布式入侵检测系统(Based Layered Structures Distributed Intrusion Detection System,BaLaSDIDS)的体系结构,并设计和实现系统原型。BaLaSDIDS由分层的结构体(Structures)组成,每一结构体都能够独立完成一定的检测和响应任务。此外,更高层次的结构体还可以综合分析其下属的结构体的报告信息,以发现和检测到更大范围和更为复杂的攻击行为。 文章还研究了系统设计和实现的几个关键问题:针对集中式和分散式这两种分布式系统的不足,提出了一种“兼收”的通信机制,即上级结构体可以同时兼收到其下属结构体的接收通信信息,较好解决了这一难点;针对常用的Boyer-Moore算法的不足,提出了一种高效的规则匹配检测算法,并将该算法扩展为多模式匹配检测,实现了算法的并行化,通过一次有回溯的搜索就可以同时完成对多个模式的匹配检测,大大提高了系统的检测速度和效率;实现了一种使用数据挖掘技术对网络数据流进行分类处理的入侵特征规则提取方法;最后,本文对BaLaSDIDS的实现技术进行了研究,并指出了下步的研究重点。 本文提出的基于分层结构体的分布式入侵检测系统体系结构结合了具体的应用环境,该系统的层次结构、通信和协作机制思路给分布式系统的设计提供了很好的参考。另外,高效的模式匹配算法和对网络数据流进行分类处理的方法也在解决各自的问题上具有较好的优越性。实验表明,基于分层结构体的分布式入侵检测系统能够实现对入侵的检测、处理和响应的分布化和智能化。