基于信息融合的分布式入侵检测系统

本文提出了一种快速检测、基于报警信息融合的关于教学网络的分布式入侵检测系统，并详细论述了该系统的探测器模块、信息预处理模块、信息融合模块和控制中心等各个环节的具体设计和实现。实验表明文中提出的信息过滤模块和信息关联模块对分布式入侵检测系统是十分有效的。关键词：入侵检测；信息融合；信息过滤；信息关联随着网络带宽、网络用户的不断增长，网络攻击日益频繁，对入侵检测技术提出了更高的要求，分布式入侵检测系统（Distributed  Intrusion  Detection）是目前研究的热点之一。然而，对于分布式入侵检测系统，报警信息数量巨大，系统分析员面对这样的数据通常无从下手。特别一些相关攻击可能产生大量相关报警信息，但目前IDS  无法识别其相关性。虽然入侵检测系统之间有逻辑上的连接，但他们只关注低级的攻击和异常，并且各自产生自己的报警信息，彼此之间缺乏协调规范，不能捕捉到隐藏在这些攻击背后的逻辑步骤和策略。分布式入侵检测中的报警信息融合方法，将看似杂乱无章的报警信息互相关联起来，并通过分析，过滤掉错误报警，减少信息冗余，获得入侵者的攻击序列及模式。[1]并且由于误报警通常不与任何报警信息相互关联，因此通过报警信息的管理也可以过滤掉大量的误报警信息。由于一些学生的不当操作，我们学院的教学网络常被学校列入黑名单，从而影响了教学工作的开展，我们就针对教学网络的环境，研究开发了一套适合教学网络的分布式入侵检测预警系统，进一步的提高网络安全性，其中信息融合等技术在该系统中得到了有效的利用。