基于Linux的網絡入侵檢測系統(tǒng)的研究與設計.pdf

1、入侵檢測作為一種積極主動的安全防護技術，它不僅能檢測未經授權的對象對系統(tǒng)的入侵，而且也能監(jiān)視授權對象對系統(tǒng)資源的非法使用。隨著因特網應用的日益普及，基于網絡的入侵檢測也越來越受到重視。但是基于網絡的入侵檢測系統(tǒng)也面臨著諸多挑戰(zhàn)，例如：如何提高入侵檢測系統(tǒng)的檢測速度，以適應網絡通信的要求；如何減少入侵檢測系統(tǒng)的漏報和誤報來提高其安全性和準確度等。 本文首先討論了網絡安全問題及其對策，包括網絡安全目的、網絡現(xiàn)存的威脅、傳統(tǒng)的網絡安全

2、技術和網絡安全模型PPDR。接著對入侵檢測系統(tǒng)進行了詳細地論述，包括其產生的原因、作用、標準化等各個方面的內容。入侵檢測系統(tǒng)根據(jù)檢測的數(shù)據(jù)源可以分為基于主機的入侵檢測系統(tǒng)和基于網絡的入侵檢測系統(tǒng)，本文主要探討了基于網絡的入侵檢測系統(tǒng)。對入侵檢測模型和檢測技術，及其發(fā)展方向進行了探討。入侵檢測技術主要有異常入侵檢測和誤用入侵檢測兩種。接下來分析了基于網絡的入侵檢測系統(tǒng)的設計原理和體系結構。 然后，建立了系統(tǒng)的整體框架，主要包括7個

3、模塊：網絡數(shù)據(jù)包捕獲模塊、網絡協(xié)議解析模塊、規(guī)則解析模塊、入侵事件檢測模塊、響應模塊、存儲模塊和界面管理模塊。設計了系統(tǒng)的頂層數(shù)據(jù)流圖、功能流圖以及體系結構，并且對各個模塊進行設計，分析和實現(xiàn)了網絡數(shù)據(jù)包捕獲技術、協(xié)議分析技術、規(guī)則解析技術以及入侵檢測技術，對傳統(tǒng)的入侵檢測系統(tǒng)作如下改進： 首先，針對傳統(tǒng)模式匹配檢測技術存在的計算量大、誤報警率高等問題，提出了一種基于協(xié)議分析的檢測技術。該檢測技術充分利用了TCP/IP協(xié)議技術的