一種分布式入侵檢測系統(tǒng)的研究與設(shè)計.pdf

1、本文在分析了單純的網(wǎng)絡(luò)防護(hù)技術(shù)存在著問題基礎(chǔ)之上，闡述出了一種新的網(wǎng)絡(luò)安全技術(shù)——入侵檢測。IDS很好地彌補(bǔ)了防火墻、訪問控制、身份認(rèn)證等傳統(tǒng)保護(hù)機(jī)制所不能解決的問題。接著對入侵檢測系統(tǒng)進(jìn)行了詳細(xì)地論述，包括基本概念、分類、分布式入侵檢測系統(tǒng)存在的問題及難點以及DNIDS的發(fā)展趨勢等各個方面的內(nèi)容。在分析了集中式NIDS的體系結(jié)構(gòu)及其存在的問題，闡述了本系統(tǒng)所采用的一種分布式NIDS的體系結(jié)構(gòu)。系統(tǒng)主要由四種基本單元所組成：局部檢測器、

2、區(qū)域監(jiān)視器、全局合成器和系統(tǒng)管理器。 最后在Linux平臺下分析研究了基于網(wǎng)絡(luò)的入侵檢測技術(shù)及其系統(tǒng)設(shè)計，提出了一個結(jié)構(gòu)完整的入侵檢測系統(tǒng)框架，主要包括的模塊有：網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、網(wǎng)絡(luò)協(xié)議解析模塊、規(guī)則解析模塊、決策模塊、響應(yīng)模塊、通信模塊、存儲模塊、互動接口和界面管理模塊。本文對其中幾個重要模塊進(jìn)行了設(shè)計。分析和實現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)、協(xié)議分析技術(shù)、規(guī)則解析技術(shù)、通信技術(shù)和互動接口技術(shù)。在數(shù)據(jù)包捕獲部分設(shè)計中主要討論了Li

3、nux下的BPF機(jī)制和Libpcap函數(shù)庫，利用它們實現(xiàn)了Linux下網(wǎng)絡(luò)數(shù)據(jù)包的捕獲技術(shù)，它們使得系統(tǒng)設(shè)計具有跨平臺性。在協(xié)議分析中詳細(xì)討論了IP、TCP、UDP、ICMP等協(xié)議的解析過程，協(xié)議分析得出的結(jié)果是入侵檢測部分的基礎(chǔ)。在分析模塊設(shè)計中對入侵檢測規(guī)則進(jìn)行了深入分析，采用了Snort的規(guī)則庫，本系統(tǒng)試圖對規(guī)則匹配的次序進(jìn)行動態(tài)調(diào)整，以提高數(shù)據(jù)包匹配效率，從而提高入侵檢測系統(tǒng)的整體性能。在通信模塊中采用了一種非對等實體間的通信機(jī)