一種分布式入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì).pdf

1、本文在分析了單純的網(wǎng)絡(luò)防護(hù)技術(shù)存在著問題基礎(chǔ)之上，闡述出了一種新的網(wǎng)絡(luò)安全技術(shù)——入侵檢測(cè)。IDS很好地彌補(bǔ)了防火墻、訪問控制、身份認(rèn)證等傳統(tǒng)保護(hù)機(jī)制所不能解決的問題。接著對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了詳細(xì)地論述，包括基本概念、分類、分布式入侵檢測(cè)系統(tǒng)存在的問題及難點(diǎn)以及DNIDS的發(fā)展趨勢(shì)等各個(gè)方面的內(nèi)容。在分析了集中式NIDS的體系結(jié)構(gòu)及其存在的問題，闡述了本系統(tǒng)所采用的一種分布式NIDS的體系結(jié)構(gòu)。系統(tǒng)主要由四種基本單元所組成：局部檢測(cè)器、

2、區(qū)域監(jiān)視器、全局合成器和系統(tǒng)管理器。 最后在Linux平臺(tái)下分析研究了基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)及其系統(tǒng)設(shè)計(jì)，提出了一個(gè)結(jié)構(gòu)完整的入侵檢測(cè)系統(tǒng)框架，主要包括的模塊有：網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議解析模塊、規(guī)則解析模塊、決策模塊、響應(yīng)模塊、通信模塊、存儲(chǔ)模塊、互動(dòng)接口和界面管理模塊。本文對(duì)其中幾個(gè)重要模塊進(jìn)行了設(shè)計(jì)。分析和實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、規(guī)則解析技術(shù)、通信技術(shù)和互動(dòng)接口技術(shù)。在數(shù)據(jù)包捕獲部分設(shè)計(jì)中主要討論了Li

3、nux下的BPF機(jī)制和Libpcap函數(shù)庫(kù)，利用它們實(shí)現(xiàn)了Linux下網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)，它們使得系統(tǒng)設(shè)計(jì)具有跨平臺(tái)性。在協(xié)議分析中詳細(xì)討論了IP、TCP、UDP、ICMP等協(xié)議的解析過程，協(xié)議分析得出的結(jié)果是入侵檢測(cè)部分的基礎(chǔ)。在分析模塊設(shè)計(jì)中對(duì)入侵檢測(cè)規(guī)則進(jìn)行了深入分析，采用了Snort的規(guī)則庫(kù)，本系統(tǒng)試圖對(duì)規(guī)則匹配的次序進(jìn)行動(dòng)態(tài)調(diào)整，以提高數(shù)據(jù)包匹配效率，從而提高入侵檢測(cè)系統(tǒng)的整體性能。在通信模塊中采用了一種非對(duì)等實(shí)體間的通信機(jī)