基于協(xié)議分析的入侵防御系統(tǒng)的研究與實現(xiàn).pdf

1、當今的網(wǎng)絡已是人們辦公和生活不可缺乏的依賴，網(wǎng)絡安全也逐漸成為人們關注的焦點。從單一的防火墻到可對入侵行為檢測的入侵檢測系統(tǒng)，人們一直尋找可以信賴的安全體系。在目前，防護功能最全面的安全產(chǎn)品——入侵防御系統(tǒng)的提出，有效地彌補了入侵檢測系統(tǒng)及防火墻功能單一的缺點，是網(wǎng)絡安全領域新興發(fā)展的一種安全技術。
　　 本文從入侵檢測系統(tǒng)相關研究現(xiàn)狀入手，系統(tǒng)研究了入侵檢測技術、入侵防御技術、協(xié)議分析技術、插件技術以及防火墻聯(lián)動技術。針對傳統(tǒng)

2、入侵檢測系統(tǒng)對應用層攻擊的檢測能力有限、缺乏發(fā)現(xiàn)攻擊行為的時候阻斷攻擊能力的缺點，本文提出了一種新型的基于應用層協(xié)議分析的入侵防御體系架構，并根據(jù)該體系架構設計并實現(xiàn)了基于應用層協(xié)議分析的入侵防御系統(tǒng)。本文所做的主要工作如下：
　　 ①設計高效的系統(tǒng)體系架構。本論文采用插件的方式，在保證系統(tǒng)的模塊化的同時，也有利于系統(tǒng)的動態(tài)擴展。利用動態(tài)添加插件的方式，使系統(tǒng)能夠根據(jù)環(huán)境做相應的配置，有利于在真實網(wǎng)絡環(huán)境中的部署和使用。

3、　　 ②詳細設計了各個功能模塊，其中重點設計檢測引擎模塊和防火墻聯(lián)動模塊。在基于模式匹配的入侵檢測系統(tǒng)中，大部分檢測引擎只能在網(wǎng)絡層和傳輸層進行數(shù)據(jù)分析，對網(wǎng)絡數(shù)據(jù)包的深度解析能力不足。因此，在檢測引擎設計過程中采用基于應用層協(xié)議分析技術增加系統(tǒng)對應用層協(xié)議解析的能力，從而提高系統(tǒng)對數(shù)據(jù)的檢測能力，降低誤報率。同時，設計實現(xiàn)決策模塊使系統(tǒng)在檢測到入侵行為后，通過防火墻聯(lián)動技術實現(xiàn)系統(tǒng)防御能力，從而有效地將系統(tǒng)與防火墻連接，進行有效地阻