基于Linux的網(wǎng)絡(luò)入侵檢測系統(tǒng)的研究與設(shè)計.pdf

1、入侵檢測作為一種積極主動的安全防護技術(shù)，它不僅能檢測未經(jīng)授權(quán)的對象對系統(tǒng)的入侵，而且也能監(jiān)視授權(quán)對象對系統(tǒng)資源的非法使用。隨著因特網(wǎng)應(yīng)用的日益普及，基于網(wǎng)絡(luò)的入侵檢測也越來越受到重視。但是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)也面臨著諸多挑戰(zhàn)，例如：如何提高入侵檢測系統(tǒng)的檢測速度，以適應(yīng)網(wǎng)絡(luò)通信的要求；如何減少入侵檢測系統(tǒng)的漏報和誤報來提高其安全性和準確度等。 本文首先討論了網(wǎng)絡(luò)安全問題及其對策，包括網(wǎng)絡(luò)安全目的、網(wǎng)絡(luò)現(xiàn)存的威脅、傳統(tǒng)的網(wǎng)絡(luò)安全

2、技術(shù)和網(wǎng)絡(luò)安全模型PPDR。接著對入侵檢測系統(tǒng)進行了詳細地論述，包括其產(chǎn)生的原因、作用、標準化等各個方面的內(nèi)容。入侵檢測系統(tǒng)根據(jù)檢測的數(shù)據(jù)源可以分為基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，本文主要探討了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。對入侵檢測模型和檢測技術(shù)，及其發(fā)展方向進行了探討。入侵檢測技術(shù)主要有異常入侵檢測和誤用入侵檢測兩種。接下來分析了基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的設(shè)計原理和體系結(jié)構(gòu)。 然后，建立了系統(tǒng)的整體框架，主要包括7個

3、模塊：網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議解析模塊、規(guī)則解析模塊、入侵事件檢測模塊、響應(yīng)模塊、存儲模塊和界面管理模塊。設(shè)計了系統(tǒng)的頂層數(shù)據(jù)流圖、功能流圖以及體系結(jié)構(gòu)，并且對各個模塊進行設(shè)計，分析和實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、規(guī)則解析技術(shù)以及入侵檢測技術(shù)，對傳統(tǒng)的入侵檢測系統(tǒng)作如下改進： 首先，針對傳統(tǒng)模式匹配檢測技術(shù)存在的計算量大、誤報警率高等問題，提出了一種基于協(xié)議分析的檢測技術(shù)。該檢測技術(shù)充分利用了TCP/IP協(xié)議技術(shù)的