基于行為特征的網(wǎng)絡(luò)異常檢測(cè)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)于國(guó)家經(jīng)濟(jì)的發(fā)展和人民生活水平的提高越來(lái)越重要。然而，近年來(lái)全球互聯(lián)網(wǎng)絡(luò)安全威脅事件頻發(fā)，計(jì)算機(jī)網(wǎng)絡(luò)不僅為我們帶來(lái)了便捷和高效的生活，同樣也帶來(lái)了各種各樣的安全問(wèn)題。黑客利用多種入侵手段攻擊目標(biāo)主機(jī)，通過(guò)防火墻攔截，安全訪問(wèn)控制，對(duì)數(shù)據(jù)加密處理以及身份認(rèn)證等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)也無(wú)法感知，靜態(tài)的防御體系已經(jīng)無(wú)法滿(mǎn)足當(dāng)前的安全需要。
　　入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，能夠?qū)崟r(shí)監(jiān)測(cè)

2、被保護(hù)網(wǎng)絡(luò)。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術(shù)使得木馬難以被發(fā)現(xiàn)，但木馬的通信過(guò)程均能呈現(xiàn)較固定和明顯的通信特征。相較于簡(jiǎn)單特征碼匹配技術(shù)，基于通信行為特征的分析檢測(cè)技術(shù)在對(duì)木馬的檢測(cè)上更有優(yōu)勢(shì)，且能夠發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)竊密行為和威脅，具有更廣闊的應(yīng)用前景。
　　本文實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署在企業(yè)網(wǎng)絡(luò)關(guān)口處，利用網(wǎng)絡(luò)通信中的行為特征進(jìn)行異常檢測(cè)，保障企業(yè)網(wǎng)絡(luò)安全。本文基于TCP/IP協(xié)議棧對(duì)行為特征進(jìn)行分層

3、提取，設(shè)計(jì)并實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)會(huì)話的多維特征集合，通過(guò)與規(guī)則庫(kù)進(jìn)行匹配從而發(fā)現(xiàn)異常行為。規(guī)則庫(kù)是嗅探入侵行為的關(guān)鍵，本文設(shè)計(jì)了一套規(guī)則描述語(yǔ)言為用戶(hù)提供強(qiáng)大的異常行為表示接口，可用于系統(tǒng)規(guī)則庫(kù)的快速構(gòu)建和更新，使系統(tǒng)能夠?qū)π鲁霈F(xiàn)的網(wǎng)絡(luò)攻擊行為及時(shí)響應(yīng)。另外由于系統(tǒng)部署在高速網(wǎng)絡(luò)環(huán)境下，本文基于零拷貝技術(shù)和多線程技術(shù)，同時(shí)設(shè)計(jì)和實(shí)現(xiàn)快速查找算法以提高系統(tǒng)的統(tǒng)計(jì)和分析效率。使用Libnids、Libpcap等開(kāi)源庫(kù)進(jìn)行系統(tǒng)數(shù)據(jù)包處理功能的快速開(kāi)發(fā)