基于三維規(guī)則解析的網(wǎng)絡入侵檢測系統(tǒng)設計與實現(xiàn).pdf

1、入侵檢測系統(tǒng)是保護網(wǎng)絡安全和主機安全的主要手段之一。本文在分析入侵檢測技術(shù)發(fā)展現(xiàn)狀的基礎上，深入研究了入侵檢測系統(tǒng)中使用的協(xié)議分析技術(shù)和規(guī)則解析方法，并在此基礎上設計和實現(xiàn)了—基于Linux的輕量級入侵檢測系統(tǒng)MINIIDS。 本文在Linux平臺下實現(xiàn)了一個網(wǎng)絡入侵檢測檢測系統(tǒng)MINIIDS。該系統(tǒng)遵循CIDF標準，包括數(shù)據(jù)包捕獲、協(xié)議分析、顯示存儲、規(guī)則解析、入侵檢測和響應6個模塊，數(shù)據(jù)包捕獲模塊基于開源數(shù)據(jù)包捕獲平臺Lib

2、pcap進行，協(xié)議分析模塊能夠提供數(shù)據(jù)包的2—7層協(xié)議分析，在對數(shù)據(jù)包協(xié)議異常的分析基礎之上進行入侵檢測。重點分析了IP，ARP，TCP，UDP和ICMP五種協(xié)議，數(shù)據(jù)存儲模塊使用Mysql數(shù)據(jù)庫存儲經(jīng)協(xié)議分析后的數(shù)據(jù)信息，具有良好的通用性。 在分析目前網(wǎng)絡攻擊方法和網(wǎng)絡入侵檢測的規(guī)則解析方法的基礎上，設計規(guī)則解析模塊的三維鏈表數(shù)據(jù)結(jié)構(gòu)，將規(guī)則庫中所有規(guī)則按類別添加到三維鏈表的相應位置。該數(shù)據(jù)結(jié)構(gòu)能夠節(jié)約網(wǎng)絡入侵檢測系統(tǒng)規(guī)則組織