密技术是静态的，弱加密相当脆弱且易于被攻破，强加密会导致网络的延迟。防火墙是由计算机硬件和软件来实现的，尽管设计人员对防火墙自身的安全性能下过很大功夫，安全弱点和薄弱环节仍旧可能出现，这些缺陷会被人发现而加以利用。另外，防火墙主要是有效地阻止外部网络的非法进入，而对内部网络的攻击行为无法监测和控制，即无法分析每个数据包的内容。有资料表明，网络上的安全攻击事件有以上来自内部另方面，防火墙的安全控制主要是基于地址的，很难和用户身份控制策略紧密结合起来。设计安全措施来防范未经授权访问系统的资源和数据，这是当前网络安全领域个十分重要而迫切的问题。就目前来说，要想完全避免安全事件的发生并不太现实。网络安全工作还必须尽力发现和察觉入侵及入侵企图，以便采取有效的措施来堵塞漏洞和修复系统。现行系统安全策略的最重要的手段是访问控制。但是，无论在理论上还是在实践中，试图保证任何个系统中不存在安全漏洞是不可能的，填补所有安全漏洞是不可行的，也还没有种切实可行的办法解决合法用户在通过身份认证后滥用特权的问题。因此，从传统网络安全技术存在着不足，迫使我们研究新的网络安全技术，主要包括技术和入侵检测技术等，以弥补传统技术的不足。入侵检测是动态的跟踪和检测方法，与静态加密技术相比，它具有更强的自主性，作为种积极主动的安全防护技术，入侵检测提供了对内部攻击外部攻击和误操作的实时检测，进而在网络系统受到危害之前进行拦截入侵或最大程度减小入侵危害。从网络安全立体纵深多层次防御的角度出发，入侵检测已逐渐成为网络安全领域最活跃的研究课题之。这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门关键业务越来越多，迫切需要具有自主版权的入侵检测产品。可见，入侵检测技术应该进行进步的研究。分布式网络入侵检测系统的应用价值本文提出的分布式网络入侵检测系统，是将网络数据包捕获技术模式匹配数据库技术分布式控制技术及统计技术等有机地融合在起，通过分析直接从网络捕获的数据包，发现违背安全策略或危及系统安全的行为和活动，它能够检测到超过授权的非法访问，并进行实时显示和数据库存储，通过即时感知网络中的入侵攻击行为，为有效阻止入侵提供决策依据，有效地弥补了传统网络安全技术的不足。系统采用分布检测，集中监控管理的架构，提高了检测效率，克服了检测器单点失效问题，方便了使用和管理，通过修改安全策略来感知新的攻击，这使安全风险得到有效的控制和减轻，本系统具有定的实用价值。在经济领域中它可以及时发现阻拦入侵行为,保护企业来自不满员工黑客和竞争对手威胁，保证企业信息平台的正常运转在军事领域，可用于网络战的防御系统在司法领域可用于计算机犯罪的取证等。研究的主要内容基于网络的入侵检测原理与技术分布式网络入侵检测系统的架构分布式网络入侵检测系统各组成部分的设计与实现相关技术领域国内外发展现状和趋势相关技术领域内外发展现状网络入侵检测技术在国外研究和开发进行得较早及深入。年月，詹姆斯安德森为美国空军做的题为计算机安全威胁监控与监视的技术报告中，第次详细阐述了入侵检测的概念，并首先为入侵和入侵检测提出了个统的架构，这是该领域的开山之作。年，提出了第个入侵检测模型入侵检测系统专家框架,该模型可以检测出黑客入侵越权操作以及其他种类的非正常使用计算机系统的行为。年，加州大学戴维期分校开发出了，第次直接将网络流作为入侵征兆信息源，至此，形成了基于主机的入侵检测系统和基于网络的入侵检测系统两大阵营，随后，此加利福尼亚州立大学提高模型，该模型主要是针对近年来日渐猖獗的网络协同攻击而提出的。它主要通过,探测器统计直方图其余统计略„„„接口函数在检测器状态监视窗口及检测管理窗口，通过右键快捷菜单，提取检测器地址，并调用函数将将控制命令字串及受控端地址参数传入控制代理，以实现远程控制。,启动将控制命令字串及受控端地址参数传入控制代理运行启动失败界面设计设计个良好的人机接口界面是系统能够被用户方便使用的前提。良好的接口界面应该是有弹性和清晰的，容易被定制以适应其系统环境，应能方便调整以适应从初学者到高手的各种专业水平，最重要的是，能方便地显示和操作必要信息。在现实环境下，良好的人机接口界面应该是图形命令方式的。实时检测显示界面图专家建议显示界面双击实时检测显示界面的指定事件时弹出专家建议显示界面，如下所示图事件查询界面图统计界面图第八章结束语随着网络的飞速发展，信息安全问题也日渐突出和复杂，新的威胁和脆弱点不断出现，对网络安全系统提出了更高的要求。本论文的工作是研究与实现种新的网络安全系统，即分布式网络入侵检测系统。本系统通过即时感知网络中的入侵攻击行为，为有效阻止网络入侵提供决策依据，以弥补传统网络安全系统的不足，并非取代传统网络安全系统。网络安全是个整体的概念，本系统还需要同其他网络安全系统的紧密配合，起来构筑全方位的立体防御系统。本系统具有如下特点远程管理，集中监控采用集中管理的分布式网络安全检测模式，有效地解决了检测器部件单点失效的问题。配置灵活检测器部件相对，可根据需要进行配置，有较好的扩展性。自适应网络检测采用与兼容的开放式规则定义，可自行定义新的规则以检测新的网络攻击。透明工作方式静静地监视本网段数据流，对网络通讯不附加时延。本系统还存在着许多不完善的地方，仍有许多工作要做，主要是以下五个方面完成通信控制子系统的加密证功能确保系统自身的安全。实现分析报表功能为日后分析入侵事件，优化检测规则提供方便。实现规则可视化图形界面编辑更新功能简化规则的编辑方式。完善检测预处理功能增强入侵检测的准确性。实现与防火墙联动功能入侵检测发现攻击，自动发送给防火墙，防火墙加载动态规则拦截入侵。随着检测准确度的提高，联动功能日益趋向实用化。参考文献谭思亮编,网络侦听揭密与数据保护技术，人民邮电出版社，年月。美著，邓琦皓等译，入侵检测实用手册，中国电力出版社，年月。朱鸣文，网络安全现状和发展趋势，计算机应用与软件，年月。美,等著，宋劲松等译，入侵检测，国防工业出版社，年月。杨威文，从入侵检测系统到入侵防御系统，。胡华平陈海涛文，入侵检测系统研究现状及发展趋势，计算机工程与科学，年卷期蒋建春冯登国编，网络入侵检测原理与技术，国防工业出版社，年月。谢希仁编，计算机网络，大连理工大学出版社，年月。。致谢在本文的的撰写过程中，我得到了导师同学战友和家人的帮助和支持。在此表示衷心的感谢。首先感谢我的导师李彤教授对我的指导帮助和鼓励。李老师严谨的态度广博的学识精益求精的科研作风以及坦诚无私奉献的精神，令我钦佩，值得我学习。感谢所有给我授课的教师，他们孜孜不倦的教导，拓展了我的知识面，使我在软件工程领域奠定了基础，为进步的学习和工作增强的信心。感谢我的同学们，通过相互帮助，增进了友谊，我使积累了宝贵的精神财富。感谢我的战友章颖，为我提出的许多有益建议并给予了大力支持。感谢我的家人，给予我极大的鼓励和支持。摘要传统的网络安全技术种类繁多，然而却已无法满足网络安全的新需求。网络入侵检测技术应运而生，它已逐渐成为网络安全研究最活跃的领域，这预示着网络安全技术正在朝着智能化的方向发展。网络入侵检测是继防火墙数据加密等传统安全保护技术后新代的网络安全技术。网络入侵检测通过对计算机和网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的黑客入侵，同时也监督内部用户的未授权活动。本文简要分析了入侵检测系统的技术与发展方向。提出了种基于企业内部网络的分布式入侵检测系统，给出了系统总体结构主要模块的设计与实现方法和关键数据结构。该系统能以友好的图形化方式显示入侵事件,并且能实现分布式的检测与控制。关键词入侵检测，分布式，数据包，规则，模式匹配，远程控制目录第章引言研究背景选题依据及应用价值选题依据分布式网络入侵检测系统的应用价值研究的主要内容相关技术领域国内外发展现状和趋势特色与技术创新点论文的组织第二章入侵检测系统原理和技术入侵检测系统概述入侵检测系统的分类基于主机的入侵检测系统基于网络的入侵检测系统入侵检测系统原理概要异常入侵检测原理误用入侵检测原理入侵检测技术概要异常入侵检测技术误用入侵检测技术其他检测技术分布式网络入侵检测系统检测原理与技术分布式入侵检测框架模型中的入侵检测技术第三章系统体系结构需求分析检测需求操作需求平台范围需求性能需求系统功能需求系统体系结构系统组成总体结构入侵检测流程系统逻辑层次中央控制台体系结构检测系统结构数据存储系统结构系统部署方案第四章检测器的设计与实现网络数据包捕获模块设计系统无关捕获函数库体系统结构常用数据类型常用函数协议分析模块设计协议分析流程主要数据结构主要函数规则解析模块规则解析方式主要数据结构主要处理函数检测引擎模块检测处理流程主要数据结构主要处理函数输出组件模块主要数据结构主要函数第五章数据库设计数据表设计数据表关系设计实现要点第六章通信控制代理设计通信控制代理逻辑结构受控端设计名字空间导入类设计控制端设计名字空间导入类设计第七章中央控制台设计组成及功能报警事件管理报告生成安全管理规则维护与更新数据库维护检测器管理查询与统计主要模块设计查询模块统计模块接口函数界面设计实时检测显示界面专家建议显示界面事件查询界面统计界面第八章结束语参考文献致谢第章引言研究背景随着网络的飞速发展，信息安全问题也日渐突出和复杂，新的威胁和脆弱点不断出现，对网络安全技术提出了更高的要求，从而网络信息的安全防护技术逐渐成为个新兴的重要技术领域，在传统的加密和防火墙技术已不能完全满足安全需求的同时，入侵检测技术作为种新的安全手段，正受到越来越大的重视，已经成为当前网络安全技术领域内的个研究热点，它的快速发展和极具潜力的应用前景需要有更多的研究和工程技术人员投身其中。随着上网的关键部门关键业务越来越多，迫切需要具有自主版权的入侵检测产品，可见，对入侵检测技术应该进行进步的研究和应用实现。选题依据及应用价值选题依据网络安全的主要威胁表现在受到网络入侵，网络入侵是指试图破坏信息系统的完整性机密性和可信性的任何网络活动的集合。其中，机密性要求只有授权才能访问信息完整性要求信息保持