本文提出了一種快速檢測、基于報警信息融合的關(guān)于教學(xué)網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)，并詳細論述了該系統(tǒng)的探測器模塊、信息預(yù)處理模塊、信息融合模塊和控制中心等各個環(huán)節(jié)的具體設(shè)計和實現(xiàn)。實驗表明文中提出的信息過濾模塊和信息關(guān)聯(lián)模塊對分布式入侵檢測系統(tǒng)是十分有效的。
關(guān)鍵詞：入侵檢測；信息融合；信息過濾；信息關(guān)聯(lián)
隨著網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)用戶的不斷增長，網(wǎng)絡(luò)攻擊日益頻繁，對入侵檢測技術(shù)提出了更高的要求，分布式入侵檢測系統(tǒng)（Distributed Intrusion Detection）是目前研究的熱點之一。然而，對于分布式入侵檢測系統(tǒng)，報警信息數(shù)量巨大，系統(tǒng)分析員面對這樣的數(shù)據(jù)通常無從下手。特別一些相關(guān)攻擊可能產(chǎn)生大量相關(guān)報警信息，但目前IDS 無法識別其相關(guān)性。雖然入侵檢測系統(tǒng)之間有邏輯上的連接，但他們只關(guān)注低級的攻擊和異常，并且各自產(chǎn)生自己的報警信息，彼此之間缺乏協(xié)調(diào)規(guī)范，不能捕捉到隱藏在這些攻擊背后的邏輯步驟和策略。分布式入侵檢測中的報警信息融合方法，將看似雜亂無章的報警信息互相關(guān)聯(lián)起來，并通過分析，過濾掉錯誤報警，減少信息冗余，獲得入侵者的攻擊序列及模式。[1]并且由于誤報警通常不與任何報警信息相互關(guān)聯(lián)，因此通過報警信息的管理也可以過濾掉大量的誤報警信息。
由于一些學(xué)生的不當(dāng)操作，我們學(xué)院的教學(xué)網(wǎng)絡(luò)常被學(xué)校列入黑名單，從而影響了教學(xué)工作的開展，我們就針對教學(xué)網(wǎng)絡(luò)的環(huán)境，研究開發(fā)了一套適合教學(xué)網(wǎng)絡(luò)的分布式入侵檢測預(yù)警系統(tǒng)，進一步的提高網(wǎng)絡(luò)安全性，其中信息融合等技術(shù)在該系統(tǒng)中得到了有效的利用。