论文部分内容阅读
网络入侵检测系统作为网络安全中一项重要的动态安全技术,用来检测网络系统中的恶意行为,进而发现系统的安全隐患并改善安全性,得到了越来越广泛的应用。但网络入侵检测系统本身也存在漏洞,作为安全组件,它比普通应用更容易受到安全威胁,单纯在网络和应用环境中部署网络入侵检测系统并不一定能提升安全性;另一方面,当前的网络入侵检测系统广泛存在难以部署、管理和维护的问题,在一定程度上影响了它们应用的广度和深度。因此,提供安全可靠、可管理、易于部署和维护的网络入侵检测系统也成为人们关注的焦点。
基于这个背景,本文以Earth Server安全操作系统为基础,以Snort入侵检测系统为核心,从提供安全可靠、可管理并易于使用的角度出发,提出基于安全操作系统的网络入侵检测服务。从部署网络入侵检测服务的基础、检测规则的管理和分析、报警实时处理及报警分析这几个角度出发,分析部署和管理网络入侵检测系统中几个主要方面的技术和实践。
为简化网络入侵检测服务的部署,本文采用分布式三层体系结构,满足复杂多变、具有一定规模应用的需要。详细讨论了安全操作系统提供的安全机制和对网络入侵检测服务的保护以及相关配置。这些工作构成了网络入侵检测服务运行和管理的基础。
网络入侵检测服务包括规则管理、报警实时处理和报警分析。规则描述了网络行为的流量特征,良好的规则是提高检测效率和准确度的先决条件。本文提出发现规则冲突的方法,首先提出通过规则的两两比较来发现冲突的基本算法,它的时间复杂度为指数级。在基本算法的基础提出改进算法,定义规则之间的关系并由策略树表示,由冲突状态转换图描述冲突发现的过程,基于策略树和冲突状态转换图实现了检测算法,改善了时间复杂度。在冲突检测算法的基础上实现了规则编辑算法,为规则编辑提供建议和效验。报警实时处理在检测到恶意行为时,及时采取应对措施来保障应用环境的安全。本文提出报警分级和报警处理方法,它们是报警实时处理的前提,并在这两者的基础上实现灵活、可定制的报警实时处理服务。为了在报警处理中及时阻断攻击,利用防火墙提供的数据包过滤功能,本文通过代理程序协调入侵检测和防火墙软件,从检测结果中获取恶意行为的数据,构建防火墙规则并部署到防火墙中,从而实现了针对攻击的主动、实时响应。最后本文提出分析报警数据的方法,报警数据不仅记录了恶意行为,还包含网络和应用环境安全隐患和威胁的信息,如何获取这些信息,改善应用环境的安全性是报警分析关注的问题。本文通过基于统计和基于聚类的分析技术在报警数据中查找有用信息,为持续改善应用环境的安全指出方向。