随着网络技术和攻击技术的不断发展,在巨大的网络规模及流量环境下,面对大规模的、有组织的各种分布式的攻击行为,传统的入侵检测技术已经不能满足需要,暴露出了漏报,误报和响应智能化不足等问题,具体如下: 1.自身安全性的缺乏; 2.对新攻击检测能力的缺乏; 3.人机交互能力的缺乏; 4.响应缺乏智能化; 5.误报、漏报问题; 为克服传统入侵检测技术的种种缺陷,论文在研究了传统入侵检测技术的基础上,引入了协同入侵检测模型,设计了基于该模型下的商业化应用-入侵检测与管理系统。它在新一代入侵检测技术的基础上,利用全面流量监控发现异常,结合地理信息显示入侵事件的定位状况,应用入侵和漏洞之间具有的对应关联关系,给出了入侵威胁和资产脆弱性之间的风险分析,从而有效地管理安全事件并进行及时处理和响应。在具体实现上,不同的功能对应相应的模块,各模块之间可独立工作,也可以协同工作,并可以实现在同一个平台上管理。 通过各模块之间的协同数据采集,数据关联分析,基本上解决了误报的问题;而数据的处理上采用并行多线程的技术,在千兆网络环境下,也基本解决了漏报的问题;并且在解决误报、漏报问题的基础上,通过响应协同(入侵检测与防火墙和交换机之间的协同响应)进行合理阻断,在一定程度上解决了响应智能化的问题;最后通过各模块统一平台的管理,采用图形化的方式,解决了人机之间交互的问题,体现在检测、防御、协调、管理等各个方面,并通过技术整合,实现:“可视+可控+可管”,深入挖掘不同安全产品的内在相关性,加强安全产品之间的优势互补,提高安全产品协同作战能力。 论文阐述了以协同入侵检测技术为核心的一种应用的发展趋势—入侵检测与管理平台,通过对入侵检测与管理平台的简要分析,总结了目前基于协同入侵检测技术的应用存在的问题,并提出了相应的解决方法供探讨。