網(wǎng)絡(luò)拓?fù)湫畔⒓夹g(shù)在NIDS中的應(yīng)用研究.pdf

1、隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和黑客攻擊手法的日益復(fù)雜，人們對(duì)于網(wǎng)絡(luò)安全的需求與日俱增。單純的防火墻無(wú)法防范復(fù)雜多變的攻擊，入侵檢測(cè)技術(shù)應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵檢測(cè)是一種動(dòng)態(tài)安全防護(hù)技術(shù)。該技術(shù)通過(guò)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，為網(wǎng)絡(luò)系統(tǒng)提供保護(hù)。市場(chǎng)上主流的入侵檢測(cè)系統(tǒng)(IDS)產(chǎn)品經(jīng)常發(fā)出許多誤報(bào)，誤報(bào)往往掩蓋了真攻擊。在被測(cè)試的IDS產(chǎn)品中，有些產(chǎn)品在誤報(bào)重負(fù)下一再崩潰，而當(dāng)真正攻擊出現(xiàn)時(shí)，有些IDS產(chǎn)品不能捕獲攻擊，而

2、另一些IDS產(chǎn)品的報(bào)告混雜在假警報(bào)中，很容易被錯(cuò)過(guò)。 本文首先對(duì)傳統(tǒng)NIDS體系結(jié)構(gòu)深入的研究分析，得出現(xiàn)有NIDS存在的問(wèn)題，即：1.誤報(bào)漏報(bào)嚴(yán)重，信息量大、有效率低。2.報(bào)警信息較難區(qū)分重點(diǎn)。因此，NIDS的根本問(wèn)題是“數(shù)據(jù)有效性低，針對(duì)性不強(qiáng)”。而造成這個(gè)結(jié)果的原因是NIDS對(duì)所處網(wǎng)絡(luò)環(huán)境了解太少，缺乏針對(duì)性。本文希望NIDS通過(guò)被動(dòng)探測(cè)為主、手工輸入為輔的發(fā)現(xiàn)方式對(duì)所處網(wǎng)絡(luò)環(huán)境有更多的認(rèn)識(shí)，在此基礎(chǔ)上對(duì)發(fā)生的報(bào)警信息有針

3、對(duì)性的處理，進(jìn)而可以更加有效的工作。隨后介紹了一下“被動(dòng)網(wǎng)絡(luò)特征發(fā)現(xiàn)”的研究情況，為NIDS的改進(jìn)提供了理論支持。 本文使用Java語(yǔ)言設(shè)計(jì)了一個(gè)基于Web的網(wǎng)絡(luò)拓?fù)湫畔?NTI)獲取系統(tǒng)，構(gòu)建了NTI分析器；采用“旗幟信息(Banner)識(shí)別服務(wù)軟件、操作系統(tǒng)”的方法對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行認(rèn)知，并創(chuàng)建了NTI數(shù)據(jù)庫(kù)。然后將NTl分析器、NTI數(shù)據(jù)庫(kù)應(yīng)用到NIDSSnort中。改進(jìn)后的NIDS實(shí)現(xiàn)了對(duì)所處網(wǎng)絡(luò)環(huán)境的拓?fù)浒l(fā)現(xiàn)功能，面對(duì)一條