可扩展网络入侵检测系统的和开发.docVIP

南开大学 硕士学位论文 可扩展网络入侵检测系统的研究和开发 姓名：周宇 申请学位级别：硕士 专业：计算机应用 指导教师：韩毅刚 2001.5.1  摘要 形? 可扩展网络入侵检测系统的研究和开发 摘要 网络攻击方法层出不穷，导致网络入侵检测系统???成为网络安全方面的 一个重要研究课题。目前的误用检测和异常检测等几种入侵检测模型尚不能满足 决定网络入侵检测系统的检测能力的两个主要因素是信息的准确度、全面 性，以及检测模型的合理性。入侵检测系统的发展经历了从只能对数据包进行域 以增加判断的准确性，目前已开始研究分布式有状态转换机制的大型网络入侵检 测系统。 ? 《提供快捷的配置方式和全网络的统一监控功能对于大型网络的安全管理至 ???且恢只?赪? 关重要。?衫┱雇?缛肭旨觳庀低矱???????? 的分布式网络入侵检测系统，它包括检测器、管理器、静态配置、处理逻辑四个 模块，其中检测器是系统的关键部分。检测器采用了基于规则的入侵检测方式， 结构上将插件机制和网络知识库结合起来。睐用该方式设计的系统具有高度的可 扩展性和检测能力，表现在：由第三方针对特殊攻击编制的检测模块，以及为满 足专门需要特别编制的响应模块很容易加入系统；系统能以统计方式检测攻击， 易于实现基于误用的检测和基于异常的检测方式的平滑结合。检测器可以作为一 ??? ?作。同时，在设计和实现过程中特别注意了系统的效率和跨平台等问题／本文 ／＼、  业坐? ?????? ???? ??? ???? ? ????? ?????，????猙?? ???? ???????瓼??? ???? ?? ? ??????? ? ? ???? ?? ??． ????? ??? ?????? ?????? ??????瑃? ?? ? ???? ??猙???? ???????? ?? ??? ? ??????? ??? ????．?????? ??????????甌? ? ??? ? ?? ? ? ?? ?????? ?????? ??—?????? ????????? ? ??????????琣???????? ? ???????????? ?? ? ???． ? ???? ?? ?????瑃? ? ???? ?????琋 ? ????篘???，????， ???????琖?，  第 ? 章引言 信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生 活方式。?年代中期以来，随着信息技术特别是????的迅猛发展，各国的信息化进程急 剧加快。 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益 于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏或复制，数据的安全性 和自身的利益受到了严霞的威胁。随着全球信息化的飞速发展，我国大量建设的各种信息化 系统已经成为国家关键基础设施，其中许多业务要与国际接轨，诸如电信、电子商务、金融 网络等。网络环境中的信息安全己成为急待解决的重大关键问题。它不但是发挥信息革命带 来的高效率、高效益作用的有力保证，而且是对抗科技霸权、抵御信息侵略的重要屏障。 目前，信息安全已经形成一种产业，关于信息安全的标准也在不断地演化着。?年代 初，美、法、德、荷四国联合提出了包括保密性、完整性、可用性等概念的“信息技术安全 在技术上，网络入侵与防范入侵永远都如矛与盾一样的斗争着。网络的入侵方法多种多 样，并且还在不断变化更新。它们有各自的技术、目的，结果也各不相同。同时，也有应用 位于网络边界的防火墙：查杀病毒的反病毒产品；防止泄密的数据加密产品；扫描系统漏洞 的集成入侵扫描系统等。 点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络 进行监视，从而提供对内部攻击、外部攻击和误操作的实时检测。入侵检测系统分为主机型 和网络型两种。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，因此一 般只是在入侵发生过之后才会发出告警。网络型入侵检测系统一般是将一台主机的网卡设于 混杂模式?????? 检测系统一般担负着保护整个网段的任务。因为网络入侵检测系统能实时检奇网上数据包， 所以能够在入侵发生前发出告警通知。 从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这 从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务 越来越多，迫切需要具有自主版权的入侵检测产品。但??年的现状是入侵检测仅仅停留 在研究和实验样品?狈ι?逗头??阶段，或者是防火墙中集成较为初级的入侵检测模块。 由此可见，入侵检测产品具有很大的发展空闻。本文讨论