基于網(wǎng)絡(luò)異常流量的入侵檢測系統(tǒng)研究.pdf

1、由于因特網(wǎng)的盛行,人們可以很方便地透過因特網(wǎng)存取遠(yuǎn)程的資源,但是大量惡意的網(wǎng)絡(luò)事件,像是計(jì)算機(jī)病毒和黑客攻擊,使得網(wǎng)絡(luò)的管理越來越困難。因此,網(wǎng)絡(luò)入侵檢測系統(tǒng)的需求越來越迫切。流量數(shù)據(jù)的采集是整個流量監(jiān)控系統(tǒng)的基礎(chǔ),文章對現(xiàn)有的網(wǎng)絡(luò)流量監(jiān)控技術(shù)進(jìn)行了詳細(xì)的介紹和探討,然后深入地研究了基于NetFlow技術(shù)的網(wǎng)絡(luò)流量采集技術(shù),然后從基于NetFlow技術(shù)的角度分析現(xiàn)在網(wǎng)絡(luò)上普遍存在的掃描攻擊,資源濫用,DDOS攻擊的特征,然后針對這些特征

2、設(shè)計(jì)了一個在Linux平臺下的基于網(wǎng)絡(luò)異常流量的入侵檢測系統(tǒng)。並且還研究了了如何適當(dāng)調(diào)整和設(shè)定網(wǎng)絡(luò)設(shè)備將來自于內(nèi)部的網(wǎng)絡(luò)攻擊減到最小,并在這方面作了有益的嘗試。因特網(wǎng)成了日?；顒拥钠脚_,網(wǎng)絡(luò)攻擊的威脅也變得日益嚴(yán)重。只靠防火墻是不足以保護(hù)透過一般正常服務(wù)而來的攻擊。此外,大多數(shù)目前的入侵檢測系統(tǒng)都是針對網(wǎng)絡(luò)的入口處而設(shè)計(jì),無法阻止來自內(nèi)部用戶對內(nèi)部的網(wǎng)絡(luò)主機(jī)和網(wǎng)絡(luò)本身的攻擊。因此,除了防火墻和入口處之入侵檢測系統(tǒng),我們需要使用其它種類的

3、入侵檢測系統(tǒng)來保護(hù)關(guān)鍵的系統(tǒng)和網(wǎng)絡(luò)本身。文章對現(xiàn)有的數(shù)據(jù)采集技術(shù)進(jìn)行了分類,然后深入地研究了基于NetFlow技術(shù)的網(wǎng)絡(luò)流量采集技術(shù),提出了一個基于Linux的入侵檢測系統(tǒng),它是用路由器與交換機(jī)的NetFlow輸出的網(wǎng)絡(luò)流量信息為基礎(chǔ)而發(fā)展出來的基于異常流量檢測的入侵檢測系統(tǒng)。在分布式拒絕服務(wù)攻擊發(fā)生時(shí),會有大量的虛假IP地址,在流量中新的源IP地址產(chǎn)生的數(shù)據(jù)包的百分比明顯上升,但是在企業(yè)內(nèi)部IP地址范圍是固定可定義的,運(yùn)用方差分析算法