主動(dòng)入侵行為發(fā)現(xiàn)技術(shù)應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，Internet在日常的生活、學(xué)習(xí)和工作中發(fā)揮著越來越重要的作用。大多數(shù)企業(yè)和政府部門都通過Web服務(wù)器提供網(wǎng)頁信息服務(wù)，由于Web服務(wù)器暴露在不安全的Internet中很容易成為攻擊的目標(biāo)，Web服務(wù)器的安全性問題日益嚴(yán)重。近年來大規(guī)模的針對(duì)網(wǎng)站的安全事件不斷發(fā)生，網(wǎng)頁仿冒、網(wǎng)頁篡改、惡意代碼、分布式拒絕服務(wù)等攻擊手段層出不窮，致使很多網(wǎng)站無法正常工作，給網(wǎng)絡(luò)用戶帶來了巨大的損失。目前主流的網(wǎng)絡(luò)安全防護(hù)技術(shù)有防

2、火墻、入侵檢測等，這些安全技術(shù)大都是基于特征規(guī)則匹配，采用被動(dòng)的安全策略，對(duì)于未知的攻擊行為不能夠做出有效的響應(yīng)，面對(duì)不斷增長的新的攻擊方式，始終處于被動(dòng)的地位。因此，基于主動(dòng)入侵發(fā)現(xiàn)策略的技術(shù)手段顯得尤為重要。 本文首先探討了網(wǎng)絡(luò)安全問題現(xiàn)狀，分析了入侵行為的特點(diǎn)和入侵檢測技術(shù)，然后在研究入侵檢測關(guān)鍵性技術(shù)的基礎(chǔ)上，提出了針對(duì)主機(jī)的主動(dòng)入侵發(fā)現(xiàn)技術(shù)和方法。本文的主要工作包括以下幾個(gè)方面： 1)研究現(xiàn)有的入侵檢測技術(shù)和

3、網(wǎng)絡(luò)數(shù)據(jù)捕獲方法。 2)分析并實(shí)現(xiàn)主機(jī)資源監(jiān)視技術(shù)，重點(diǎn)對(duì)協(xié)議連接狀態(tài)、端口、進(jìn)程、重要文件等方面進(jìn)行主動(dòng)資源監(jiān)控。 3)分析主機(jī)流量檢測技術(shù)，根據(jù)實(shí)時(shí)流量狀態(tài)主動(dòng)進(jìn)行異常檢測，分析主機(jī)Web日志，進(jìn)行數(shù)據(jù)挖掘，分析歷史流量和用戶訪問方式異常。 4)綜合上述各方面，結(jié)合入侵誘捕技術(shù)，給出一個(gè)輕量級(jí)的主動(dòng)入侵行為發(fā)現(xiàn)模型，并實(shí)現(xiàn)了主要模塊。 5)最后，給出測試結(jié)果，證明該入侵發(fā)現(xiàn)模型的有效性，具有較