基于Linux的主機入侵檢測系統(tǒng)設計.pdf

1、Internet蓬勃發(fā)展到今天,計算機已經(jīng)從獨立的主機發(fā)展到復雜、互連的開放式系統(tǒng),這給人們在信息利用和資源共享上帶來了很大的便利。由Internet來傳遞和處理各種生活信息,早已成為人們重要的溝通方式之一,隨之而來的各種攻擊事件與入侵手法更是層出不窮,引發(fā)了一系列安全問題。曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對網(wǎng)絡安全的需求。作為對防火墻及其有益的補充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴展

2、了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高了信息安全基礎結構的完整性。入侵檢測作為一種積極主動的安全防護技術,也越來越受到人們的關注。
　　 本文首先討論了網(wǎng)絡安全現(xiàn)狀,包括網(wǎng)絡安全問題、網(wǎng)絡安全目標和網(wǎng)絡安全技術。接著對入侵檢測系統(tǒng)進行了詳細地論述,包括發(fā)展歷史、研究現(xiàn)狀、相關定義和分類等各個方面的內(nèi)容。入侵檢測系統(tǒng)根據(jù)檢測的數(shù)據(jù)源可以分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡的入侵檢測系統(tǒng),本文主要探討

3、了基于Linux的主機入侵檢測系統(tǒng)。通過將應用程序的經(jīng)常調(diào)用的庫函數(shù)短序列構造一個正常行為特征庫,以界定程序操作是否屬于正常行為特征庫內(nèi)的庫函數(shù)來判斷系統(tǒng)是否受到攻擊,我們認為應用這樣一個特征庫可以用于入侵檢測。
　　 本文的主要工作就是實現(xiàn)這種以庫函數(shù)調(diào)用作為數(shù)據(jù)源的,基于主機檢測的入侵檢測系統(tǒng),用于檢測來自內(nèi)部和外部的攻擊。這套入侵檢測系統(tǒng)主要由審計數(shù)據(jù)采集模塊、審計數(shù)據(jù)發(fā)送模塊、正常行為特征庫的建立和管理模塊,異常檢測模塊