论文部分内容阅读
入侵事件的日益猖獗,人们发现只从防御的角度构造安全系统是不够的。入侵检测系统IDS是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动,入侵检测技术是一种主动的网络安全防护技术。 本文首先讨论了网络安全问题及其对策,包括网络安全目的、网络现存的威胁、传统的网络安全技术和网络安全模型PPDR。接着对入侵检测系统进行了详细地论述,包括其产生的原因、作用、标准化等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于网络的入侵检测系统。对入侵检测模型和检测技术,及其发展方向进行了探讨。入侵检测技术主要有异常入侵检测和误用入侵检测两种。接下来分析了基于网络的入侵检测系统的设计原理和体系结构。对入侵检测系统的位置,特别是网络检测器的位置进行了论述。对入侵检测系统中的数据源和响应技术进行了分析。数据源是系统分析的对象,是整个系统能够运转的基础,而响应技术是系统检测到入侵行为后所要采取的措施。 最后在Linux平台下分析研究了基于网络的入侵检测技术及其系统设计,着重对TCP/IP协议分析技术在IDS中的应用进行了深入探讨。作者建立了系统的整体框架,主要包括7个模块:网络数据包捕获模块、网络协议解析模块、规则解析模块、入侵事件检测模块、响应模块、存储模块和界面管理模块。对各个模块进行了设计和实现。在整个设计中作者分析和实现了网络数据包捕获技术、协议分析技术和入侵事件描述语言。在数据包捕获部分设计中主要讨论了Linux下的BPF机制和Libpcap函数库,利用它们实现了Linux下网络数据包的捕获技术,它们使得系统设计具有跨平台性。在协议分析中详细讨论了IP、TCP、UDP、ICMP等协议的解析过程,协议分析得出的结果是入侵检测部分的基础。在入侵事件检测模块设计中对入侵检测方法进行了深入分析,比较了模式匹配技术和协议分析技术。把协议分析技术应用到入侵检测系统中可以提高其检测的准确率和系统效率。存储部分武汉理工大学硕士学位论文利用MySQL数据库来存储网络数据,主要供事后分析所用。在协议分析的基础上建立了入侵事件描述语言,主要对特征选择,规则格式,规则选项,规则的匹配流程进行了分析。入侵事件描述语言的提出可以使入侵事件的定义更加方便,使系统的扩展性更强。