面向大规模网络的入侵检测与预警系统研究

入侵检测

第$)卷第!期国防科技大学学报]^1Z:/B^X:/,O^:/B1:OY>ZDO,<^XJ>X>:D>,>=0:^B^;<Y@E*$):@*!$""(文章编号：（$""(）!""!#$%&’"!#""$!#")

面向大规模网络的入侵检测与预警系统研究!

胡华平!，张怡!，陈海涛!，宣蕾!，孙鹏$

!"""&(）（!*国防科技大学计算机学院，湖南长沙

摘北京%!""+(；$*北京科技大学信息工程学院，要：开展面向大规模网络的入侵检测与预警系统的研究，对于提高我国网络系统的应急响应能力、缓

解网络攻击所造成的危害、提高系统的反击能力等具有十分重要的意义。首先对国内外的研究现状进行综

述；然后，提出了面向大规模网络的入侵检测与预警系统的体系结构与组成；最后，着重对与本系统研制相关

的关键技术与难点进行论述。

关键词：入侵检测；战略预警；数据融合；数据挖掘；威胁评测

中图分类号：,-(.(*"&文献标识码：/

!"#$%&’()*+,-.#$/,0#1#%2)-3456%-&47)68#%#/%7)6

,6’9,-676.$(4%#:

0102345678!，90/:;<6!，=0>:0364?3@!，A1/:BC6!，D1:-C78$

（!*=@EEC8C@F=@G52?CH，:3?6@73E176I*@FJCFC7KC,CLM7@E@8N，=M378KM3%!""+(，=M673；$*=@EEC8C@FO7F@HG3?6@7>7867CCH678，1D,P，PC6Q678!"""&(，=M673）

（BD:OJUD），SM6LML37674;<4%-,/%：O?6KICHN6G5@H?37??@K?2RNB3H8CDL3EC:C?S@HTKO7?H2K6@7JC?CL?6@737RU3H7678DNK?CG

LHC3KC?MC7C?S@HTKNK?CGKHC3L?6@73V6E6?N?@L3?3K?H@5MC，KE@SR@S7?MCM3HG@F?MC7C?S@HT3??3LT，C7M37LCKNK?CGL@27?CH3??3LT3V6E64?N*,MCK2GG3H6W3?6@7@FK?2RN678K6?23?6@767?MCS@HER6KF6HK?5HCKC7?CR*,MC7，?MCK?H2L?2HC37R6?KL@G5@7C7?@FBD:OJUD3HC5HC4KC7?CR*X673EEN，?MCTCN?CLM7@E@8N37RR6FF6L2E?6CKHCE3?CR?@V26ER678BD:OJUD5H@?@?N5C3HCR6KL2KKCR*

=#(2)-’4：67?H2K6@7RC?CL?6@7；K?H3?C86LS3H7678；R3?3F2K6@7；R3?3G67678；?MHC3?3KKCKKGC7?

主要包括基于主机的入侵检测系统和基于网络的入侵检测系统。OJD的研究始于$"世纪&"年代，

因为基于主机的入侵检测需要在所有受保护的主机上均安装检测系统，配置费用高，所以实际应用较多

加密传输的发展都对基于网络的入的是网络型的入侵检测系统。但是高带宽网络、交换式网络、YB/:、

侵检测造成了很大限制，所以最好的策略是两者相结合。现有的主流的基于网络的商业入侵检测系统都准备或已经增加了基于主机的检测功能。目前的主要研究为适用于大型网络的入侵检测系统，主要有已经实现的:/JOZ系统和=D[（合作安全管理），以及正在研究中的>[>Z/BJ（>IC7?[@76?@H678>74

项目和//XOJ（?MC/2?@7@G@2K/8C7?KF@HO7?H2K6@7JC?CL?6@7）。3VE678ZCK5@7KCK?@/7@G3E@2KB6ICJ6K?2HV37LCK）

它们都在OJD体系结构、而相应有关预警技术的研究较OJ技术和网络安全策略等方面展开了研究，

［!］。少

国外早已开展了早期预警系统及入侵检测技术的研究，在一些重要的政治、军事和经济网络上对非法入侵实施监控。这些系统在保障信息网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方

负责网络信息面发挥着重要的作用。美国国家安全局设有国家计算机安全中心\系统与网络攻击中心，

战的战略情报预警、网络攻防技术开发和网络信息战指导；国防信息系统局成立了网络战战术预警中心。自!..+年以来，美、英等国一直在进行网络安全预警技术的研究。!..&年，美国针对各个信息基础设施提出了分三阶段、长达!)年的实现预警系统的计划。美国战略司令部已经于!...年.月进行了

$""$#"+#")!收稿日期：

第1页下一页