传统的计算机网络安全解决方案包括对操作系统进行安全加固,使用防火墙和入侵检测系统,这些方法都有其自身的不足之处。 本文在分析了传统安全解决方案的不足之处的基础之上介绍了入侵防御系统的概念。入侵防御系统不但能检测入侵的发生,还能及时中止入侵行为的发展,是实时地保护系统不受实质性攻击的一种智能化安全产品。 本文阐述了一种入侵防御系统的总体设计、详细设计和具体实现方法。我们设计的入侵防御系统由防火墙子系统,入侵检测与响应子系统,内容过滤子系统组成。论文在各系统实现部分均给出了系统结构图和流程图,以及其中的对象。我们将这三方面的功能有机地结合在一起,既充分发挥各方面的功能,又相辅相成。 系统主要实现了如下几方面的功能: 防火墙过滤功能 本文对Linux内核过滤框架Netfilter的工作原理和工作过程进行了仔细分析,并在其基础之上扩展了功能模块,同时开发了图形化的Web管理界面,使系统能够对网络连接进行细粒度的监控和过滤。 2) 入侵检测和响应功能 我们在Snort探测器基础之上开发了入侵检测子系统,并提出了一种安全事件聚类分析算法,使系统能从众多的安全事件中挖掘出真正的入侵者,及时进行响应。这样可以有效的减少一般入侵检测系统误报率高的缺点。 3) 内容过滤功能 内容过滤子系统可以根据关键字过滤WEB连接和FTP文件下载连接。为系统和网络提供更高的安全性。 论文还对系统设计中若干关键技术进行了详细的论述。本文详细介绍了采用谓词逻辑理论解决安全策略一致性冲突的方法。论文最后对我们的入侵防御系统进行了测试,并分析了测试的数据。从实际运行效果看,我们的入侵防御系统的设计是成功的,所提出的安全策略一致性冲突的解决方法也是有效的,防范效果明显。