基于規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用已經(jīng)相當(dāng)?shù)钠毡?，并且深刻的影響了人們的生活方式。網(wǎng)絡(luò)給人們生活帶了便捷的同時(shí)，也帶來(lái)了越來(lái)越多的安全問(wèn)題。網(wǎng)絡(luò)入侵和攻擊問(wèn)題每天都有發(fā)生。如何在享用網(wǎng)絡(luò)帶來(lái)的福利的同時(shí)，又免遭網(wǎng)絡(luò)入侵和攻擊的損害，成了日益關(guān)注的問(wèn)題。網(wǎng)絡(luò)防火墻能夠在一定程度上保護(hù)系統(tǒng)，避免網(wǎng)絡(luò)使用者成為網(wǎng)絡(luò)安全問(wèn)題的受害者，它通常被稱為網(wǎng)絡(luò)安全的第一道防線。一旦第一道防線被突破，就需要布防第二道防線。入侵檢測(cè)系統(tǒng)可以作為一個(gè)理想的選擇。目前有多重入

2、侵檢測(cè)產(chǎn)品在保護(hù)著計(jì)算機(jī)網(wǎng)絡(luò)，其中Snort是最為具有代表性的一種。它是一種基于規(guī)則的數(shù)據(jù)包檢測(cè)系統(tǒng)。
　　在對(duì)入侵檢測(cè)系統(tǒng)工作原理和對(duì)Snort系統(tǒng)研究的基礎(chǔ)上，本文設(shè)計(jì)了一款簡(jiǎn)易的基于規(guī)則的數(shù)據(jù)包檢測(cè)系統(tǒng)，命名為PacketGuard。它相比于Snort在多個(gè)地方進(jìn)行了重新設(shè)計(jì)。考慮到應(yīng)對(duì)數(shù)據(jù)包到達(dá)的瞬時(shí)高峰，在數(shù)據(jù)包捕獲和預(yù)處理階段加入了兩個(gè)緩沖區(qū)和兩個(gè)線程池，這使得系統(tǒng)具有了多線程并發(fā)處理數(shù)據(jù)包的能力。同時(shí)對(duì)數(shù)據(jù)包檢測(cè)規(guī)則

3、進(jìn)行了重新設(shè)計(jì)，使得規(guī)則的使用變得更加靈活。在數(shù)據(jù)包檢測(cè)規(guī)則管理上，給出了一種用戒備集合、高溫集合和低溫集合三個(gè)集合共同管理規(guī)則的辦法。這種辦法提高了數(shù)據(jù)包檢測(cè)時(shí)掃描規(guī)則集的速度。這充分利用了數(shù)據(jù)包特征和數(shù)據(jù)包攻擊在一段時(shí)間內(nèi)相對(duì)集中的特點(diǎn)。在系統(tǒng)結(jié)構(gòu)上增加了外聯(lián)模塊，多個(gè)系統(tǒng)之間能夠互相發(fā)送檢測(cè)結(jié)果和規(guī)則，這使得多個(gè)系統(tǒng)能夠共同協(xié)作，共同對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)。這提高了單系統(tǒng)應(yīng)對(duì)威脅數(shù)據(jù)包檢測(cè)的反應(yīng)速度。最后本文還解釋了控制管理模塊對(duì)系統(tǒng)性