基于多層架構(gòu)的分布式入侵檢測系統(tǒng)研究.pdf

1、 本系統(tǒng)采用分層的分布式結(jié)構(gòu)將整個系統(tǒng)分為四大子系統(tǒng)，通過相互協(xié)同工作有效實現(xiàn)入侵檢測。傳感器收集原始信息并進(jìn)行特征匹配，第一時間發(fā)現(xiàn)入侵并告知上層處理部件采取措施。事件收集器對傳感器發(fā)現(xiàn)的事件進(jìn)行關(guān)聯(lián)分析，從宏觀的角度發(fā)現(xiàn)潛在的入侵威脅，同時將事件繼續(xù)轉(zhuǎn)發(fā)到上層處理部件?？刂浦行氖盏骄瘓笮畔⒑髮嵤┤肭猪憫?yīng)措施。數(shù)據(jù)庫記錄全部的安全事件以便日后進(jìn)行查詢、統(tǒng)計和分析。 本系統(tǒng)提出的事件收集器一方面能將入侵檢測的處理分散到更多部件，減

2、輕各子系統(tǒng)負(fù)載，提高處理效率；另一方面通過事件收集器的關(guān)聯(lián)分析算法提高了入侵識別性能。 為了有效的實現(xiàn)系統(tǒng)間協(xié)調(diào)通信，同時確保系統(tǒng)具有良好的可擴(kuò)展性，本系統(tǒng)采用了入侵檢測的國際標(biāo)準(zhǔn)通信格式傳遞信息。利用標(biāo)準(zhǔn)格式通信是入侵檢測發(fā)展的必然趨勢，不同入侵檢測系統(tǒng)之間的交互依賴于共同的數(shù)據(jù)格式，本系統(tǒng)的開發(fā)也正是基于這一目的。 本系統(tǒng)的設(shè)計結(jié)合了分布式與層的思想，并且加強(qiáng)了系統(tǒng)各個組件的功能以及組件之間的協(xié)同工作能力，為入侵檢測的進(jìn)一步