基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)的研究與實(shí)現(xiàn).pdf

1、網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的概念，有效的安全策略或方案的制定，是網(wǎng)絡(luò)信息安全的首要目標(biāo)。網(wǎng)絡(luò)安全技術(shù)主要有認(rèn)證授權(quán)、數(shù)據(jù)加密、訪問(wèn)控制、安全審計(jì)等。入侵檢測(cè)技術(shù)是安全審計(jì)中的核心技術(shù)之一，是網(wǎng)絡(luò)安全防護(hù)的重要組成部分。入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 論文首先介紹了入侵檢測(cè)系統(tǒng)的概念及分類(lèi)，明確了入侵檢測(cè)系統(tǒng)在

2、網(wǎng)絡(luò)安全中的地位。同時(shí)簡(jiǎn)要討論了目前入侵檢測(cè)系統(tǒng)存在的問(wèn)題，指出了提高入侵檢測(cè)系統(tǒng)分析數(shù)據(jù)的效率是提高系統(tǒng)性能的關(guān)鍵所在。論文根據(jù)CIDF模型，設(shè)計(jì)了基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，該系統(tǒng)主要包括規(guī)則解析模塊、數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊、響應(yīng)模塊和日志模塊五個(gè)模塊。 在系統(tǒng)的規(guī)則部分借鑒了經(jīng)典的snort規(guī)則描述語(yǔ)言，這種描述語(yǔ)言簡(jiǎn)單、靈活、易于擴(kuò)展且功能強(qiáng)大，能夠描述絕大多數(shù)的入侵行為。 數(shù)據(jù)采集模塊中采用了專(zhuān)門(mén)為數(shù)據(jù)監(jiān)聽(tīng)?wèi)?yīng)用

3、程序設(shè)計(jì)的開(kāi)發(fā)包WinPcap來(lái)實(shí)現(xiàn)數(shù)據(jù)采集。該開(kāi)發(fā)包中內(nèi)置的內(nèi)核層實(shí)現(xiàn)的BPF(BerKeley Packet Filter)過(guò)濾機(jī)制和許多接口函數(shù)，不但能夠提高監(jiān)聽(tīng)部分的效率，也降低了開(kāi)發(fā)的難度。同時(shí)WinPcap是從UNIX平臺(tái)上的LibPcap移植過(guò)來(lái)的，它們具有相同的接口，減輕了不同平臺(tái)上開(kāi)發(fā)網(wǎng)絡(luò)代理的難度。 數(shù)據(jù)分析模塊中采用了協(xié)議分析技術(shù)，利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在，有效的提高了數(shù)據(jù)分析效率，同時(shí)還

4、避免了單純模式匹配帶來(lái)的誤報(bào)。作為本文重點(diǎn)，在該模塊中著重討論了檢測(cè)引擎中模式匹配的算法，通過(guò)對(duì)BF、KMP、BM、BMH等單模式算法的分析比較，以及對(duì)多模式匹配WM算法的研究，最后設(shè)計(jì)出了適合本系統(tǒng)的單模式算法與多模式算法相結(jié)合的優(yōu)化算法，使系統(tǒng)性能得到了較大的提高。 雖然研究得到的成果與真正適用的產(chǎn)品還有較大的差距，但通過(guò)對(duì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，使系統(tǒng)具備了基本的入侵檢測(cè)功能，并在數(shù)據(jù)分析效率上相對(duì)傳統(tǒng)的入侵檢測(cè)系統(tǒng)有了較大的提