本文提出了一種快速檢測(cè)、基于報(bào)警信息融合的關(guān)于教學(xué)網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)，并詳細(xì)論述了該系統(tǒng)的探測(cè)器模塊、信息預(yù)處理模塊、信息融合模塊和控制中心等各個(gè)環(huán)節(jié)的具體設(shè)計(jì)和實(shí)現(xiàn)。實(shí)驗(yàn)表明文中提出的信息過濾模塊和信息關(guān)聯(lián)模塊對(duì)分布式入侵檢測(cè)系統(tǒng)是十分有效的。
關(guān)鍵詞：入侵檢測(cè)；信息融合；信息過濾；信息關(guān)聯(lián)
隨著網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)用戶的不斷增長(zhǎng)，網(wǎng)絡(luò)攻擊日益頻繁，對(duì)入侵檢測(cè)技術(shù)提出了更高的要求，分布式入侵檢測(cè)系統(tǒng)（Distributed Intrusion Detection）是目前研究的熱點(diǎn)之一。然而，對(duì)于分布式入侵檢測(cè)系統(tǒng)，報(bào)警信息數(shù)量巨大，系統(tǒng)分析員面對(duì)這樣的數(shù)據(jù)通常無從下手。特別一些相關(guān)攻擊可能產(chǎn)生大量相關(guān)報(bào)警信息，但目前IDS 無法識(shí)別其相關(guān)性。雖然入侵檢測(cè)系統(tǒng)之間有邏輯上的連接，但他們只關(guān)注低級(jí)的攻擊和異常，并且各自產(chǎn)生自己的報(bào)警信息，彼此之間缺乏協(xié)調(diào)規(guī)范，不能捕捉到隱藏在這些攻擊背后的邏輯步驟和策略。分布式入侵檢測(cè)中的報(bào)警信息融合方法，將看似雜亂無章的報(bào)警信息互相關(guān)聯(lián)起來，并通過分析，過濾掉錯(cuò)誤報(bào)警，減少信息冗余，獲得入侵者的攻擊序列及模式。[1]并且由于誤報(bào)警通常不與任何報(bào)警信息相互關(guān)聯(lián)，因此通過報(bào)警信息的管理也可以過濾掉大量的誤報(bào)警信息。
由于一些學(xué)生的不當(dāng)操作，我們學(xué)院的教學(xué)網(wǎng)絡(luò)常被學(xué)校列入黑名單，從而影響了教學(xué)工作的開展，我們就針對(duì)教學(xué)網(wǎng)絡(luò)的環(huán)境，研究開發(fā)了一套適合教學(xué)網(wǎng)絡(luò)的分布式入侵檢測(cè)預(yù)警系統(tǒng)，進(jìn)一步的提高網(wǎng)絡(luò)安全性，其中信息融合等技術(shù)在該系統(tǒng)中得到了有效的利用。