基于事件的網(wǎng)絡(luò)入侵檢測系統(tǒng)EIDS.pdf

1、隨著黑客入侵事件的日益猖獗,人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的.入侵檢測技術(shù)對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和響應(yīng),不僅檢測外部入侵行為,同時也監(jiān)督內(nèi)部用戶未授權(quán)活動.本文首先分析當前網(wǎng)絡(luò)安全情況,將入侵檢測和防火墻進行比較,指出防火墻難以防御內(nèi)部攻擊的重要不足,然后介紹了"可適應(yīng)網(wǎng)絡(luò)安全理論"的主要模型---PPDR模型(策略、防護、檢測、響應(yīng)).第二章是對入侵檢測技術(shù)進行簡單介紹,包括通用入侵檢測框架CIDF、IDS

2、分類和檢測方法等.基于網(wǎng)絡(luò)入侵檢測系統(tǒng)具有配置費用低、隱蔽性好、實時檢測和響應(yīng)、不依賴操作系統(tǒng)、不占用被檢測系統(tǒng)的資源、不易被欺騙等優(yōu)點,因此在實際中獲得很大的運用.雖然入侵檢測技術(shù)發(fā)展到今天已經(jīng)取得了巨大的進展,但現(xiàn)有的入侵檢測系統(tǒng)還存在著很多不足之處,比如誤報警、檢測速度和性能等.第三章設(shè)計和實現(xiàn)了一個入侵檢測系統(tǒng)---EIDS,這是論文的重點.EIDS是基于事件的網(wǎng)絡(luò)入侵檢測系統(tǒng),它通過監(jiān)聽,獲得鏈路層數(shù)據(jù)包,事件引擎通過分析這些

3、網(wǎng)絡(luò)數(shù)據(jù)包后生成事件,這些事件反應(yīng)了不同的網(wǎng)絡(luò)活動:有些是請求建立連接,有些是網(wǎng)絡(luò)協(xié)議(如FTP請求和響應(yīng)),還有一些是用戶登陸的認證.通過簡要分析其特點和系統(tǒng)結(jié)構(gòu),對EIDS有一個總體上的把握.然后根據(jù)TCP/IP協(xié)議族,相應(yīng)實現(xiàn)EIDS各個層次的協(xié)議解析處理流程.EIDS通過對協(xié)議的解析,提高了匹配的效率,通過模擬應(yīng)用層某些協(xié)議的命令語法,提高了入侵監(jiān)測的準確性.接著實現(xiàn)EIDS分布式檢測思想、入侵響應(yīng)和策略腳本解釋語言.論文的最后