網(wǎng)絡(luò)拓?fù)湫畔⒓夹g(shù)在NIDS中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和黑客攻擊手法的日益復(fù)雜，人們對于網(wǎng)絡(luò)安全的需求與日俱增。單純的防火墻無法防范復(fù)雜多變的攻擊，入侵檢測技術(shù)應(yīng)運而生。網(wǎng)絡(luò)入侵檢測是一種動態(tài)安全防護(hù)技術(shù)。該技術(shù)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，為網(wǎng)絡(luò)系統(tǒng)提供保護(hù)。市場上主流的入侵檢測系統(tǒng)(IDS)產(chǎn)品經(jīng)常發(fā)出許多誤報，誤報往往掩蓋了真攻擊。在被測試的IDS產(chǎn)品中，有些產(chǎn)品在誤報重負(fù)下一再崩潰，而當(dāng)真正攻擊出現(xiàn)時，有些IDS產(chǎn)品不能捕獲攻擊，而

2、另一些IDS產(chǎn)品的報告混雜在假警報中，很容易被錯過。 本文首先對傳統(tǒng)NIDS體系結(jié)構(gòu)深入的研究分析，得出現(xiàn)有NIDS存在的問題，即：1.誤報漏報嚴(yán)重，信息量大、有效率低。2.報警信息較難區(qū)分重點。因此，NIDS的根本問題是“數(shù)據(jù)有效性低，針對性不強”。而造成這個結(jié)果的原因是NIDS對所處網(wǎng)絡(luò)環(huán)境了解太少，缺乏針對性。本文希望NIDS通過被動探測為主、手工輸入為輔的發(fā)現(xiàn)方式對所處網(wǎng)絡(luò)環(huán)境有更多的認(rèn)識，在此基礎(chǔ)上對發(fā)生的報警信息有針

3、對性的處理，進(jìn)而可以更加有效的工作。隨后介紹了一下“被動網(wǎng)絡(luò)特征發(fā)現(xiàn)”的研究情況，為NIDS的改進(jìn)提供了理論支持。 本文使用Java語言設(shè)計了一個基于Web的網(wǎng)絡(luò)拓?fù)湫畔?NTI)獲取系統(tǒng)，構(gòu)建了NTI分析器；采用“旗幟信息(Banner)識別服務(wù)軟件、操作系統(tǒng)”的方法對網(wǎng)絡(luò)拓?fù)溥M(jìn)行認(rèn)知，并創(chuàng)建了NTI數(shù)據(jù)庫。然后將NTl分析器、NTI數(shù)據(jù)庫應(yīng)用到NIDSSnort中。改進(jìn)后的NIDS實現(xiàn)了對所處網(wǎng)絡(luò)環(huán)境的拓?fù)浒l(fā)現(xiàn)功能，面對一條