1、隨著網(wǎng)絡(luò)環(huán)境的不斷復(fù)雜，各種網(wǎng)絡(luò)攻擊的頻繁發(fā)生，網(wǎng)絡(luò)安全在Internet中的重要性越來越明顯，具有主動(dòng)防御功能的入侵檢測(cè)系統(tǒng)IDS新的方法和技術(shù)不斷提出和應(yīng)用。本文在分析了CIDF框架和傳統(tǒng)DIDS框架的基礎(chǔ)上，構(gòu)建了一個(gè)基于CORBA的輕負(fù)載代理分布式入侵檢測(cè)系統(tǒng)模型CL-DIDS(CORBA-based Lightweight-Agent Distributed Intrusion Detection System)，該模型不僅可

2、以檢測(cè)基于主機(jī)和網(wǎng)絡(luò)的入侵，而且可以快速檢測(cè)大規(guī)模的分布式入侵。 CL-DIDS充分利用了CORBA中間件作為系統(tǒng)間集成的總線，發(fā)揮了CORBA對(duì)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議和編程語言的透明性等優(yōu)點(diǎn)，使把工作重點(diǎn)放到伺服對(duì)象的實(shí)現(xiàn)上。CL-DIDS利用系統(tǒng)命令實(shí)現(xiàn)了系統(tǒng)調(diào)用序列所耗時(shí)間、所占內(nèi)存的大小收集，利用與具體實(shí)現(xiàn)無關(guān)的訪問操作系統(tǒng)所提供的分組捕獲機(jī)制的函數(shù)庫Libpcap對(duì)網(wǎng)絡(luò)數(shù)據(jù)包截獲，并進(jìn)行協(xié)議解碼，分離出TCP/IP協(xié)議層的

3、各個(gè)字段，降低了在不同平臺(tái)上開發(fā)檢測(cè)代理的難度。CL-DIDS實(shí)現(xiàn)了基于危害系數(shù)動(dòng)態(tài)隊(duì)列的主機(jī)調(diào)用序列檢測(cè)方法和對(duì)網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議分析和模式匹配相結(jié)合的檢測(cè)方法研究，同時(shí)對(duì)NFR入侵檢測(cè)規(guī)則的描述格式也進(jìn)行了研究，降低了誤報(bào)和漏報(bào)，提高了匹配的速度，檢測(cè)的實(shí)時(shí)性和準(zhǔn)確性。CL-DIDS引入了代理敏感度的新概念，利用動(dòng)態(tài)加載技術(shù)提高或降低代理敏感度，實(shí)現(xiàn)對(duì)DDOS等分布式入侵的檢測(cè)。同時(shí)中心分析器對(duì)個(gè)代理的可疑數(shù)據(jù)匯集，綜合分析各種數(shù)據(jù)源，