基于Linux的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì).pdf

1、入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，它不僅能檢測(cè)未經(jīng)授權(quán)的對(duì)象對(duì)系統(tǒng)的入侵，而且也能監(jiān)視授權(quán)對(duì)象對(duì)系統(tǒng)資源的非法使用。隨著因特網(wǎng)應(yīng)用的日益普及，基于網(wǎng)絡(luò)的入侵檢測(cè)也越來(lái)越受到重視。但是基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)也面臨著諸多挑戰(zhàn)，例如：如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度，以適應(yīng)網(wǎng)絡(luò)通信的要求；如何減少入侵檢測(cè)系統(tǒng)的漏報(bào)和誤報(bào)來(lái)提高其安全性和準(zhǔn)確度等。 本文首先討論了網(wǎng)絡(luò)安全問(wèn)題及其對(duì)策，包括網(wǎng)絡(luò)安全目的、網(wǎng)絡(luò)現(xiàn)存的威脅、傳統(tǒng)的網(wǎng)絡(luò)安全

2、技術(shù)和網(wǎng)絡(luò)安全模型PPDR。接著對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了詳細(xì)地論述，包括其產(chǎn)生的原因、作用、標(biāo)準(zhǔn)化等各個(gè)方面的內(nèi)容。入侵檢測(cè)系統(tǒng)根據(jù)檢測(cè)的數(shù)據(jù)源可以分為基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，本文主要探討了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。對(duì)入侵檢測(cè)模型和檢測(cè)技術(shù)，及其發(fā)展方向進(jìn)行了探討。入侵檢測(cè)技術(shù)主要有異常入侵檢測(cè)和誤用入侵檢測(cè)兩種。接下來(lái)分析了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理和體系結(jié)構(gòu)。 然后，建立了系統(tǒng)的整體框架，主要包括7個(gè)

3、模塊：網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議解析模塊、規(guī)則解析模塊、入侵事件檢測(cè)模塊、響應(yīng)模塊、存儲(chǔ)模塊和界面管理模塊。設(shè)計(jì)了系統(tǒng)的頂層數(shù)據(jù)流圖、功能流圖以及體系結(jié)構(gòu)，并且對(duì)各個(gè)模塊進(jìn)行設(shè)計(jì)，分析和實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、規(guī)則解析技術(shù)以及入侵檢測(cè)技術(shù)，對(duì)傳統(tǒng)的入侵檢測(cè)系統(tǒng)作如下改進(jìn)： 首先，針對(duì)傳統(tǒng)模式匹配檢測(cè)技術(shù)存在的計(jì)算量大、誤報(bào)警率高等問(wèn)題，提出了一種基于協(xié)議分析的檢測(cè)技術(shù)。該檢測(cè)技術(shù)充分利用了TCP/IP協(xié)議技術(shù)的