基于协议分析技术的IDS研究与实现

来源 :中国地质大学(武汉) | 被引量 : 0次 | 上传用户:zhuxiangyuzhucendsc
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
本课题从这个角度出发,试图介绍一些技术和产品发展的新动向,并对当前入侵检测热门技术作一个初步的研究和分析.对入侵检测系统的研究,核心的部分就是对入侵检测技术的研究.当前入侵检测技术应用最多的是入侵特征模式匹配,但此方法已经暴露出很多的不足.随着网络规模的不断扩大和黑客攻击手法的日益复杂,人们对于网络安全的需求与日俱增,因此探讨新的检测技术已成为当前刻不容缓的重要课题.本文将探讨一种高效、可靠的检测方法,即协议分析技术.协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术.它充分利用了网络协议的高度规则性,并结合了高速数据包捕捉、命令解析和模式匹配,来快速检测某个攻击特征是否存在.协议分析技术优势在于能够详细解析各种协议,如命令字符串解析器能对不同的高层协议——如Telnet、FTP、HTTP、SMTP、SNMP、DNS等的用户命令进行详细的分析.探测碎片攻击和协议确认技术可以因为系统在每一层上都沿着协议栈向上解码,从而使用所有当前已知协议信息,来排除所有异常协议结构的攻击.同时大大降低传统模式匹配带来的误报问题、提高了效率,减少了系统资源消耗.当协议分析入侵检测系统引擎评估某个数据包时,需要考虑在这之前相关的数据包内容,以及接下来可能出现的数据包.基于状态的协议分析就是在常规协议分析技术的基础上,加入状态特性分析,即不仅仅检测单一的连接请求或响应,而是将一个会话的所有流量作为一个整体来考虑.有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的,因为攻击行为包含在多个请求中,此时状态协议分析技术就显得十分必要.本课题的研究目标是,通过分析、总结当前比较好IDS体系结构,提出一种适合基于协议分析技术的IDS模块化系统结构.从系统构成上看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分,本文重点研究了基于TCP/IP协议模型中的协议解析引擎的设计方法,并分析了基于Libpcap库的WinPcap机制架构,实现Windows环境中的基于协议分析技术入侵检测系统的数据提取功能.
其他文献
本文主要研究探讨企业CIMS进行信息集成时,如何建立具有良好的可移植性、可重用性、可扩展性的异构数据集成模型,使它基于企业的信息特征,在异构分布环境(操作系统、网络、数
医学领域已成为数据挖掘的一个重要领域.在当前医学中,存在大量的可以使用的历史成功案例数据,这些数据中蕴含着很有实用价值的规则,医生可以利用这些规则对新的病人进行辅助
集装箱货运是现代物流业中很重要的环节,各地的集装箱码头、船运公司采用了各种办法来提高集装箱周转的效率。人们发现,在码头机械上运用自动化控制装置能够极较大的提高集装箱
从目前的网络安全状况来看,非授权访问已经成为威胁网络安全的重要因素.而认证技术是防止非授权访问网络的重要手段.随着计算机网络的迅猛发展,如何防止有效地非授权访问,如
B/S模式是指浏览器/服务器模式,是随着Internet的兴起,是在二十世纪九十年代计算机网络技术兴起的前提下,逐步被人们认识到优越于传统的C/S模式的优点,才把这种三层结构应用到软
众所周知,由传统专家系统方法建立的诊断系统存在诸多缺陷,如所收集知识的不完备性、系统对知识的依赖性、获得专家知识不一致性等。基于模型诊断推理正是克服传统专家系统的这
20世纪90年代以来,随着Internet和多媒体技术的迅速发展,静态图片与文本信息已经不能满足实际应用的需求,网络多媒体成为当前计算机领域研究的热点之一.Internet工程任务组发
在移动IP环境下,移动网络中的组播协议不仅要处理组播组中动态变化的组成员关系,而且要处理组成员位置动态变化的情况.当组成员移动时,如果重新构建组播树,就意味着增加网络
一般来说,一个软件系统在交付使用之后,会经历无数次的更新。我们通常所接触的更新都是静态软件更新,它是按照“关闭-更新-重新启动”这样的步骤进行的。和它相对应的是动态软件
论文在研究工作流原型模式和几种分布式工作流系统实现机制的基础上提出基于GIS网络的工作流管理系统,并在此基础上提出地籍管理信息系统的设计方案,讨论了地籍管理信息系统