基于 XML 的入侵检测主体通讯机制-毕业论文

本科毕业论文(科研训练、毕业设计)题目：基于 XML 的入侵检测主体通讯机制姓名：某某某学院：软件学院系：软件工程专业：软件工程 年级：学号：指导教师（校内）：职称：教师（校外）：职称： 年 月日厦门大学软件学院本科生毕业论文题目：基于XML 的入侵检测主体通讯机制中文摘要随着高速网络的快速发展、网络信息量的迅猛增长、网络攻击方式的不断翻新，网络入侵检测系统经过了由集中式处理到分布式处理、由单一主机到多主体技术、由简单软件结构到通用功能模块设计、由数据信息流动到代码移动的变化过程。目前基于多主体技术的分布式入侵检测系统已经成为当前入侵检测领域的研究热点，而良好的通讯机制是基于多主体技术的分布式入侵检测系统正常运行的前提保证，本文根据入侵检测中主体间通讯的特点并结合目前的基于多主体技术的分布式入侵检测系统的具体要求，提出了一种基于 的、适用于入侵检测主体间协作和信息交换的通讯机制，可满足基于多主体技术的分布式入侵检测系统中各个主体间的通讯需求。关键字：分布式入侵检测系统通讯语言XML第页- 29 -AbstractWith the rapid growth of high-speed networks, exponential increment of network information , constant variation of intrusion methods , intrusion detection system has been experienced the following evolution : from central process to distributed detection, from single host to N hosts , from simple software architecture to common function module , from transferring the data across the network to dispatching an agent to local process . Now , more and more people pay more attention to the Agent based distributed intrusion detection system .For a better work ,the Agent based distributed intrusion detection system must has a good communication mechanism . Based on the characteristics of the communication between the intrusion detection hosts and the request of the Agent based distributed intrusion detection system , we designed a communication mechanism which is based on the XML language , and is good at co works and communication between the intrusion detection hosts , this mechanism realizes the communication between the hosts of Agent based distributed intrusion detection system.：Distributed Intrusion Detection System , Communication language , XML第一章.引言研究背景和研究意义随着网络技术的发展和应用范围的扩大，特别是的兴起，许多商业组织开始把作为他们最重要的商业运作手段，政府机构也把作为向公众提供访问公共记录和信息的渠道，大众传媒的重心也逐渐向网络倾斜，人们越来越依赖于网络进行信息访问和信息处理，信息作为一种无形的资源也越来越得到人们的青睐，这一方面提供了资源的共享性，改变了以往单机工作模式，提高了效率，但是另一方面，在带来便利的同时也急剧地增加了网络安全的脆弱性和计算机系统的非安全因素。自年莫里斯蠕虫事件发生以来，侵犯安全的事件报道便不绝于耳， 处理的安全事故逐年呈爆炸性增长。世界著名的商业网站，如、都曾被黑客入侵过，造成巨大的经济损失，甚至连专门从事网络安全的网站也曾受到过黑客的攻击。据美国联邦调查局（）的估计，年全美因网络安全问题而造成的损失约为 万亿美元。我国的网络安全形势也十分严峻，频繁的黑客入侵事件和计算机病毒的泛滥，使我国的很多政府部门、国家重要商业和教育机构都受到了不同程度的侵害，有些造成了严重的社会影响和经济损失。如何有效保护重要的信息数据、提高计算机网络系统的安全性是当前必须考虑和解决的一个重要问题1。传统的网络安全技术主要包括：加密和数字签名机制、身份认证与访问控制机制、认证授权、安全审计、系统脆弱性检测、构筑防火墙系统等等。这些技术都发展得比较成熟，特别是防火墙技术，它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤信息的目的，防火墙配置的多样性和防护的有效性使它成为网络安全防线的中流砥柱，但是防火墙对于从内部发出攻击却无能为力。任何一种单一的安全技术都并非万能，而且随着攻击者经验日趋丰富，攻击工具与手法的日趋复杂多样，传统单一的安全技术和策略已经无法满足对安全高度敏感的部门的需要。因此，网络安全的防卫必须采用一种纵深的、多样的手段，形成一个多层次的防护体系，不再是单一的安全技术和安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的作用，这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥补。传统的安全技术虽然取得了很大的成效，但是它也存在一些固有的缺陷，比如访问控制可以拒绝未授权用户的访问，却并不能防止已授权访问用户获取系统中未授权信息；防火墙可以将危险挡在外面，却无法挡住内部的入侵。从网络安全的角度看，公司的内部系统被入侵、破坏与泄密是一个严重的问题，以及由此引出的更多有关网络安全的问题都应该引起重视。据统计，全球 以上的入侵来自于内部。因此，传统的安全技术更多的是一种基于被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患，正是在这样的环境下，入侵检测系统开始崭露头角，成为了安全市场上和研究上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥越来越重要的作用。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。如何更高效地检测入侵是每个入侵检测系统（，）最关注的问题，基于主机的入侵检测（，）和网络节点入侵检测（）各有其应用环境和优劣，但缺乏信息共享却是目前 的一个天生缺陷。较早出现的分布式利用分布在网络中的传感器扩大了数据源的范围因而可以更好地检测入侵。这可以认为是在 内部共享信息的较早的实例。但多数 只是简单地丰富了数据来源，并未有效地对信息共享进行细化，也没有对数据共享进行严格的访问控制。另外虽然数据的采集工作分布在不同的主机上进行，但最终的数据分析却是集中进行的。这样做带来的问题有两个：一是整个系统有一个中心控制点，该点的失效将导致整个系统失效；二是集中进行数据分析使负载集中在承担分析工作的主机上，限制了系统的可扩展性与效率的提高。基于多主体技术的入侵检测系统是针对常见分布式入侵检测系统存在的不足所设计的一种基于多主体技术的分布式入侵检测系统。目前已成为人们研究的热点。主体通讯是其与环境或其它主体进行协调、交流、合作和竞争的基础，多主体系统中需要解决的一个关键问题就是如何建立有效的通讯机制2。目前，基于多主体技术的分布式入侵检测模式3已经成为分布式入侵检测系统的一个重要发展方向，因此如何在整个系统各个检测、分析主体间建立有效的通讯机制就成为需要解决的关键问题。目前主体通讯领域具有代表性的语言是KQML4语言和FIPA ACL 语言，虽然这两种语言可以较好地满足了主体通信的基本要求，较为灵活、通用，支持知识共享和主体合作，然而其本身不具有描述与入侵检测有关知识的能力，而且缺乏有关的标准化规范和实现平台5。而反观入侵检测领域，目前具有代表性的，一个是CIDF（ Common Intrusion DetectionFramework）小组提出的通用入侵描述语言CISL6 （ Common Intrusion Specification Language ）， 另一个是IDWG 小组提出的入侵检测消息交换格式IDMEF7（ Intrusion Detection Message Exchange Format) 。虽然CISL 提供了一个合理的、丰富的词汇表来表述与网络计算机有关的一组具体事件，但表述能力有限，如对事件之间的关系、对特定属性的量化描述以及对不确定、不存在或否定概念等信息进行表述时能力不足或较为复杂。IDMEF 虽然制定了一套较为完善的入侵报警消息格式，但同CISL 一样，缺乏完善的事件查询和回复机制，而这一点恰恰是多主体协作的基础5。由上述的分析可知，虽然基于多主体技术的入侵检测技术的研究已经取得了一定的成果，但在应用于入侵检测领域的主体通讯语言方面的研究却进展缓慢，缺乏一种能满足基于多主体技术的分布式入侵检测系统中主体间进行协作的通 讯机制。研究内容本文根据入侵检测主体之间通讯的特点和目前的通用语言的特点，提出了基于 的，适用于入侵检测主体间协作和数据交换的一种通讯机制，以满足未来基于多主体技术的分布式入侵检测系统中不同主体间的通讯需求。并对该通讯机制的可行性进行了实验分析和验证，通过对入侵报警和不同主机之间的询问机制的实验，说明了该通讯机制已基本满足我们提出的对于基于多主体技术的分布式入侵检测系统之间的通讯需求。论文组织结构本文将从以下几个方面进行说明：第二章介绍基本的概念和相关的技术知识；第三章介绍系统的设计方案，包括语言的通讯格式和通讯机制；第四章介绍系统的实现方法和实验分析，最后是全文总结以及参考文献和致谢。第二章基本概念及相关技术由于本通讯语言是用XML进行封装，在基于多主体技术的分布式入侵检测系统上，利用Snort8 作为入侵检测工具， 和MySQL9 数据库进行数据存储的通讯研究，所以本章将从入侵检测系统、SNORT、MYSQL和XML等几个方面分别介绍。入侵检测系统入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全、审计、监视、进攻、识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击外部攻击和误操作的实时保护。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更还能给网络安全策略的制订提供指南。入侵检测分类根据数据源分类的数据源一般来自网络数据和系统数据。根据数据源可以把系统分为基于主机和基于网络的入侵检测。网络型入侵检测网络型入侵检测系统的数据源则是网络上的数据包。可以将某台主机的网卡设于混杂模式（） 监听所有本网段内的数据包并进行判断或直接在路由设备上放置入侵检测模块。一般网络型入侵检测系统担负着保护整个网段的任务。一般来说，在防火墙之外的检测器采用基于网络的入侵检测系统，负责检测来自的攻击。主机型入侵检测主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。防火墙内部的 ， 和等服务器是大部分攻击的目标，这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。根据检测方法分类入侵检测根据检测方法可以分为两大类：异常入侵检测和误用入侵检测。异常入侵检测异常入侵检测根据用户的异常行为或者对资源的异常存取来判断是否发生入侵事件。例如一个用户一般在早上九点到晚上五点之间登录到服务器，那么如果有一天，服务器发现该用户账号在午夜点登录到服务器来，就认为是一次入侵事件。异常入侵检测要建立一个阀值来区分正常事件与入侵事件。在此基础上把入侵分为外部渗透（），内部渗透（），滥用（）。外部渗透指的是非授权用户试图使用系统；内部渗透是合法用户试图访问非授权的数据，如经过窃权伪装或绕过访问控制；滥用指合法用户对数据和资源的滥用。误用入侵检测误用检测是根据已定义好的入侵模式，运用已知的攻击方法来判断入侵是否出现。由于大部分入侵是利用了系统的脆弱性，所以通过分析入侵过程的特征、条件、排列以及事件间的关系，能具体描述入侵行为的迹象。这种检测方法的优点是只关心必须用于匹配模式的数据项，也可减少需要监控事件的数量和类型；另外，由于统计量中没有浮点计算，所以检测效率高。但是，它也存在一定的缺点：可测量性和性能与模式数据库或规则库的大小和体系结构有关；同时，因为没有通用模式规格说明语言，可扩展性很差。基于这种技术方法的模型包括专家系统、模型推理、状态转移分析等。及工作组的目的是使各个入侵检测研究项目可以共享信息和资源，便得各组件可以共享使用，并定义一系列协议和应用程序接口。的概念首先由（）（）的女士提出，随后对概念进行拓宽，并吸引了来自世界各地的参加者。分布式入侵检测技术入侵检测的核心是数据分析过程，通过对网络通讯、主机状态的实时分析，找出系统异常和遭受攻击的情况。早期的检测系统都是基于中心式的数据处理机制，信息通过网络上几个节点收集并汇总到中心进行分析。在网络规模小，层次简单，通讯速度慢时，该机制可以做到信息实时的中心处理。但随着高速网络的发展，网络范围的拓宽，各种分布式网络技术、网络服务的发展，使原来的网络入侵检测系统很难适应此状况，因此有必要把检测分析过程也实现分布。集中式检测结构实现相对容易，如图。图集中式检测与分布式检测模型集中式入侵检测系统通过 个嗅探器收集数据，经过过滤和简化处理后的数据再通过网络传输到检测器，系统存在一个通讯和计算的瓶颈。而分布式结构中， 个嗅探器分布在网络环境中，有效地利用各主机的资源，部分消除了集中式检 测的运算瓶颈与安全隐患，降低了网络带宽的占用，提高了系统的运行效率。分布式检测系统在充分利用系统资源的同时，还可以实现对分布式攻击等复杂网络行为的检测。基于多主体技术的分布式入侵检测系统基于多主体技术的入侵检测系统是针对常见分布式入侵检测系统存在的不足所设计的一种基于多主体技术的分布式入侵检测系统。目前，基于多主体技术的分布式入侵检测技术的研究已经成为入侵检测领域的一个研究热点。目前出现的基于多主体技术的分布式入侵检测系统有等，比较有代表性的是美国普度大学设计了一个基于自治的分布式入侵检测系统结构。该系统使用代理作为数据收集和分析的最底层的元素，系统中包含 个部件：代理（）、过滤器（）、收发器（）、监视器（）。这些部件都称为实体，由这些实体组成的系统就称为系统。一个系统可以分布于网络中的任意多台主机上，每台主机包含任意多个监视主机上发生敏感事件的代理。代理可以使用过滤器以独立于系统的方式得到数据，主机上的所有代理将其发现报告给一个收发器。在每个主机上有一个收发器，负责该主机上所有运行的代理的操作，可以开始、停止和向代理发送配置命令，还可以进一步提炼从代理处收到的数据。收发器将结果报告给一个或多个监视器，每个监视器负责管理几个收发器的操作。监视器有权访问整个网络中数据，因此可以完成高级的关联和检测包含多个主机的入侵。监视器可以按层次组织，一个监视器可以向更高级的监视器报告。收发器也可以向一个以上的监视器报告。最后，一个监视器负责与用户接口交互。的 结 构 如 图 所 示 。图系统结构简介是一款轻量级的网络入侵检测系统，能够在 网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配，而且能用于侦测诸如缓冲溢出、隐秘端口扫描、 攻击、 探测、操作系统指纹识别等大量的攻击或非法探测。使用灵活的规则去描述哪些流量应该被收集或被忽略，并且提供一个模块化的探测引擎。有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作11。与数据库作为一个分布式的入侵检测系统，所面临的需要处理的数据是比较巨大的，仅仅通过把数据存入本地硬盘是不能达到综合数据处理的能力，因此将的检测数据写入数据库是必要的。由于是一个免费软件，可以节省软件的开发成本，因此在本系统中使用建立数据库。12技术可延伸标记语言（），是现今因特网中储存和传送信息中最有发展希望的程序语言。虽然超文字标记语言（）是目前建立网页最常使用的程序语言， 然而在储存信息的能力上有其限制。相较之下，具有较大的弹性，允许你使用任何虚拟型态的信息，从简单的单笔数据到复杂的数据库（因此称为可延伸标记语言）。一个文件通常与样式表或传统的网页连结在一起，因此文件可以轻易地在网页浏览器中显示出来。 文件以有效率的结构和卷标来储存其所包含的信息，因此浏览器可以使用较弹性的方式来寻找、撷取、排序、筛选、排列和处理信息。 提供了一个理想的解决方法来处理快速增加的网站数据量和信息复杂度的问题13。本章小结本章介绍了入侵检测的相关知识和背景，着重介绍了与本系统相关的基于多主体技术的分布式入侵检测系统，另外还介绍了以及 的相关技术知识。使读者对本系统通讯语言的设计有更好的理解。第三章系统设计方案前面我们对基于多主体的分布式入侵检测系统的分析，并对相关的技术进行介绍，本章我们将给出具体的设计方案。语言设计方案语言设计目标和要求我们认为，入侵检测主体之间进行入侵信息交换的通讯语言应具有以下特点： 该通讯语言应具有灵活性、可扩展性、可实现性、易用性和跨平台特性；具有以统一的、层次化的表述格式对网络安全和主体等相关领域知识进行精确描述的能力；支持知识共享和数据交换，满足入侵检测主体间基于查询 回复模式的协作要求。通讯语言的设计思想正是建立在上述要求的基础上。下面我们将具体给出通讯语言中相关概念、关系的定义和通讯语法。标准词汇集设计在通讯语言中，我们定义了关于多主体协作和入侵检测领域的相关实体、概念和关系的一套标准词汇集，保证主体在通信时可以根据同一的标准词汇集来生成通信内容，确保主体间通讯内容的一致性，避免主体互相不理解或误解，从而导致协作失败。图 给出了中所定义的一套标准词汇集。在标准词汇集中，任务负责表明本次通讯的任务，一般放在整个通讯内容的开始处，其中表示本次通讯的任务是执行系统维护及更新，和在任务性质上比较相似，都是希望从其它主体处获取特定信息，但所对应的任务实时性要求要高于。角色 表明了通讯中相关实体的身份，其中 、 、 、 分别对应于移动主体、基于主机的入侵检测主体、基于网络的入侵检测主体和网络安全管理主体，其中有些主体功能我们已经实现，有些将在今后的工作中进行开发设计。图通讯语言中的标准词汇集任务状态对应于某项任务的执行进度，其中表示任务仍在进行， 而和虽然都表明任务已经结束，但前者表示任务是在未完成的情况下被终止的，而后者表示任务是在完成后结束的。参数给出了通讯中所需要使用的某些具体参数名，如表示主机的网络标识（ 如“”）， 而对应的是这台主机的地址（如“”）。逻辑操作提供了描述事件之间逻辑关系的表述方法，判断给出了对事件量化属性的比较方法。而在条件中，的作用相当于高级编程语言中的， 如表明只有在成立的的情况下才成立。给出相关事件成立的前提，而给出了信息回复所要遵从的格式，和多用于查询通讯中。命名 主要负责对某些属性进行声明。数据类型 提供了对事件的量化属性进行描述的手段，其意义同一般高级编程语言中的数据类型相似。而引用 的功能与高级编程语言中的“类”的定义和引用功能相似，它对于通讯语言的可扩展性具有非常重要的意义。攻击给出了目前主要的攻击类型。动作给出了为描述入侵和主体活动而定义的一组动作集，而结果给出了某项任务的执行结果。给出了与主体意图、决策有关的属性的表述方法。安全则给出了对某些事件的安全状况。而错误给出了对一次通讯所可能出现的错误。通讯格式通讯语言的通讯格式与语言的通讯格式相似，都采用了一种树型描述结构，这种表述方式有利于编码 解码的实现（如利用类定义）、复杂内容的表述、语言功能的扩展和基于语言的封装，便于发送方与接收方对通讯内容的组织和理解。图中给出了我们所设计的通讯格式， 其中项和项主要用于“ 查询（）” 和“ 要求（）”通讯以及入侵策略描述。图通讯语言的通讯格式通讯机制设计层次化的通讯模式本通讯语言为主体通讯提供了语言规范，但是如何在异构的网络环境下实现多主体之间的信息交流和数据交换仍是我们需要解决的问题。这里我们设计一种层次化的通讯模式，它由多个独立的、有次序的层次构成：传输层、描述层和内容 消息层。传输层为主体提供了最基础的通讯设施（利用现有的网络协议， 如）。内容 消息层提供了通报入侵步骤和入侵进展细节的通讯机制以及一个有限的但具有可扩展性的行为消息集，如通知、报警、请求和查询等，将被用来完成对内容 消息层的构建。描述层界于传输层和内容 消息层之间，其主要目的是为内容 消息层中的通讯内容提供一种简单、灵活且具有扩展性的数据描述方法，以满足异构网络环境下不同主体间的数据的解析、交换和存储的需要，而 技术14,15无疑是构建描述层的首选。 是 协会于年提出的一个基于文本的、可扩充的标识语言规范，它所具有的简单性、灵活性和可扩展性等优点使其迅速成为网络数据交换的标准。因此，利用 技术构建通讯机制的描述层不仅具有现实意义，更具有长远意义。在基于 技术的通讯模式中，当两个主体进行通讯时，作为发起者的 首先根据具体的通讯要求（如报警、查询等），按照内容 消息层所定义的内容格式产生具体的通讯内容 ，然后利用 封装器将其封装成 文档并通过传输层将其发送给接收者 ； 在收到该 文档后，就使用 解析器从中分离出具体的通讯内容 ，并根据内容 消息层的定义规范对其进行解释，从而了解 的具体通讯要求。图 给出了一次通讯的执行过程。图主体 、间一次通讯的执行过程代理联盟和“黑板”相结合的框架基于多主体的入侵检测系统同其它多主体系统一样，需要建立一个合理的通讯框架，使不同主体可以通过该框架实现信息交流。在多主体系统中，常用的通讯框架设计方案为：直接通讯、基于代理转发的通讯和基于代理联盟的通讯。根据多主体分别式入侵检测系统的结构特点，这里我们提出了一种改进的基于代理联盟的通讯框架（见图 ），我们在系统中的每台主机上都安装了一个通讯代理（即图 中所示的“通讯组件”），让它负责本地主体之间以及本地主体同异地主体之间的通讯协调工作。对于汇报性质的通讯，如向上一级发送入侵报警和可疑事件通报，通讯代理在处理这类通讯时基本上就是完成一次简单的消息封装和转发的过程；而对于“查询”和“回答”这类协作性 质的通讯，通讯代理则采用基于“黑板”的方式来对这类通讯过程进行处理，即将通讯信息放在可本地可存取的“黑板”上，主体可以在其上张贴信息或读取其它主体放在上面的信息。在具体设计时，可以采用数据库加一个事件触发引擎来实现基于“黑板”的通讯方式。图通讯框架本章小结本章在第二章的基础上介绍了基于多主体技术的分布式入侵系统中通讯语言的设计方案，提出了作为通讯语言的要求，并设计了作为通讯用的标准词汇集和通讯格式；在通讯机制设计中，提出了层次化的通讯模式及代理联盟与“黑板” 相结合的框架体系。第四章实验分析与结论本章我们将通过部分实验来论证我们所设计的这种基于的通讯机制的可行性。系统实现我们的实验平台是在系统下利用作为检测工具，和数据库链接进行的。选用的编程语言是。基本程序如图所示：存储报警Message提取信息XML封装控制终端通讯模块通讯规则SnortNet 入 侵图某一主机上通讯模块的工作方式当发现一个入侵之后，首先将数据存入本地数据库，然后向通讯模块（即端）发送一个消息，告之有一个报警，然后通讯模块从本地数据库中读取相关信息根据通讯规则用封装后发送给控制终端（在这里为端）。基于的封装实现当数据要在网络中传输之前，通讯模块会根据要传送的内容对数据进行封装。格式定义由于是利用 进行封装，因此对封装的数据必须定义其格式。定义的内容包括源 ，目的 ，源端口，目的端口，攻击时间，攻击方式，攻击端口等等。图 是 某 一 个 片 断 。图某一个片断封装方法对于要传送的数据，根据 定义的格式，分别给每个元素赋值，然后以一个 文件的格式在网络上传输。图 为某一个经过封装后的 文件片断。图某个经过封装后的文件片断端和端的实现端要对端进行不断的监听，因此端将开放一个端口去监听的数据。这里我们在实验时以端口作为通讯端口。端负责本地的报警信息，以及询问信息，利用封装后通过数据流发送给端。端将接受到的信息进行解封，并对不同的信息进行不同的处理：报警存入数据库，回复端的询问。部分通讯代码如下： 端：发送代码：端：实验分析下面通过实验来证明本通讯机制的可行性：入侵通报当检测到入侵时，端发送一个报警，并且通过进行封装发送给端。图给出了负责通报入侵的通讯模板，图给出了其对应的文档。图给出了某一次入侵检测的通报实例。图入侵通报模板图报警所对应的文档图某一次入侵通报入侵查询当发现一个可疑的入侵事件时，可以通过询问其它主机来获取是否有来自某个 的入侵事件。端向端发送一个询问，端通过数据库查看是否有某个 的入侵记录。图是某次的一个询问，图是端的回应。由于目前的分布式入侵检测系统中的通讯还仅限与报警通告，还没有询问功能，因此，询问功能的实现使基于多主体技术的分布式入侵检测系统的检测效率大大提高。图向进行查询图对于某次查询的结果结论实验结果显示我们所设计的这种基于的多主体通讯机制在处理基于多主体的分布式入侵检测系统中不同主体之间的通讯方面是可行的，具有较好的灵活性、表述性、可实现性和可扩展性，而且由于本通讯语言在设计时也兼顾到其它分布式入侵检测系统的特点，因此该通讯机制在根据实际系统特点对的标准词汇集进行一定的修改和扩充之后，可以推广到其它分布式入侵检测系统中。第五章全文总结计算机和网络技术的高速发展引起的安全问题使得人们对入侵检测技术越来越重视，入侵检测技术也快速发展。基于多主体的分布式入侵检测技术已成为目前研究的重点，良好的通讯机制是基于多主体技术的分布式入侵检测系统正常运行的前提保证。在本文中，我们根据入侵检测中主体间通讯的特点并结合基于多主体技术的分布式入侵检测系统的具体要求，设计了一种基于 的、适用于入侵检测主体间协作和数据交换的通讯机制，并通过实现验证该机制的可行性。由于该机制采用的是 语言进行数据封装，因此可以实现不同主机、不同操作系统和检测系统之间的数据共享和通讯，更多利用网络中不同主机资源来保证网络安全。询问机制的出现加强了不同主机之间的协作，增强了检测能力，减少误报率， 能更好的保证整个网络系统的安全。由于目前的时间关系，实验中只从入侵源、入侵目标、入侵时间和入侵事件几个方面进行了测试。今后将逐步完善到对攻击的每个方面进行测试（包括攻击类型、攻击次数、攻击结果等等）。另外本系统也存在着一些需要改进的地方：如果在黑客进行诸如大量的连续不断的端口扫描的时候会产生过多的报警，会引起报警延迟，也可能会引起服务器的瘫痪；实验中采用的入侵检测工具会产生一些误报，因此要加强某些规则的制订，以减少误报率；目前本系统采用的是编码，代码执行的时效性不是很高，以后将采取 、 来对本系统进行重新编码，以提高代码执行的时效性。另外以后的工作也将侧重于建立以时间段为单位的报警机制。致谢在我的论文和大学生活即将结束之时，我首先要感谢我的指导老师博士。在这最后的三个月时间里，史老师给了我极大的帮助和支持。没有史老师的指导和帮助，就没有我最后完整的大学生活。其次要感谢软件学院的许多老师，他们让我在这里学得了许多专业知识，也让我学到了许多做人做事的道理。特别要提到的是朱宗番老师，他是我遇到的最尽职的老师之一。在下来要感谢软院的同学们，特别是林铭、赵纬还有林培训，他们在我毕业设计的完成上给了我很多的技术上的帮助。还有许多是和我一起生活，一起学习的同学们，对于他们，我只能说友谊是永远的！最后是我的家人，是他们让我有了这个学习的机会，他们为了我付出了太多， 唯有以后的好好工作好好生活才能更好的回报。参考文献1 史 美 林 钱 俊 董 永 乐 , 入 侵 检 测 技 术 及