论文部分内容阅读
入侵事件的日益猖獗,人们发现只从防御的角度构造安全系统是不够的。入侵检测系统IDS是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动,入侵检测技术是一种主动的网络安全防护技术。本文在分析了单纯的网络防护技术存在着问题基础之上,阐述了一种新的网络安全技术——入侵检测。IDS很好地弥补了防火墙、访问控制、身份认证等传统保护机制所不能解决的问题。接着对入侵检测系统进行了详细地论述,包括基本概念、分类、分布式入侵检测系统存在的问题及难点以及DNIDS的发展趋势等各个方面的内容。在分析了集中式NIDS的体系结构及其存在的问题,阐述了本系统所采用的一种分布式NIDS的体系结构。系统主要由四种基本单元所组成:局部检测器、区域监视器、全局合成器和系统管理器。最后在Linux平台下分析研究了基于网络的入侵检测技术及其系统设计,提出了一个结构完整的入侵检测系统框架,主要包括的模块有:网络数据包捕获模块、网络协议解析模块、规则解析模块、决策模块、响应模块、通信模块、存储模块、互动接口和界面管理模块。本文对其中几个重要模块进行了设计。在整个设计中作者分析和实现了网络数据包捕获技术、协议分析技术、规则解析技术、通信技术和互动接口技术。在数据包捕获部分设计中主要讨论了Linux下的BPF机制和Libpcap函数库,利用它们实现了Linux下网络数据包的捕获技术,它们使得系统设计具有跨平台性。在协议分析中详细讨论了IP、TCP、UDP、ICMP等协议的解析过程,协议分析得出的结果是入侵检测部分的基础。在分析模块设计中对入侵检测规则进行了深入分析,采用了Snort的规则库,本系统试图对规则匹配的次序进行动态调整,以提高数据包匹配效率,从而提高入侵检测系统的整体性能。在通信模块中采用了一种非对等实体间的通信机制。互动接口主要用API函数来实现。