基于服务器安全入侵检测系统在Linux系统上实现.pdfVIP

第43卷增刊】 大连理工大学学报 V01．43．s1 2 00 003年10月 ofDalian of 0ct．2 3 Journal UniversityTechnology 基于服务器安全的入侵检测系统在Linux系统上实现 孙建华’ (北京联合大学应用文理学院网络中心，北京 100083) 摘要：为防止黑客入侵，提出一种在Linux环境下实现网络入侵检测系统的实现方法．此系 统由嗅探器、分析器和处理嚣组成．程序用C语言实现．针对网络层与传输层的IP攻击、 1CMP攻击、UDP攻击、TCP攻击特征和数据掇做了详细的分析；在网络入侵检测的实现上， 使用IP重组预处理和模式匹配相结台的方法，提升了系统检测网络攻击行为的能力．两种检 测方法成为有效的互补． 关键词：入侵检测}TCP／IP协议；Linux；Snort；Perl；网络攻击 中图分类号：TP393；TP316．8文献标识码：A 0 引 言 供实时的入侵检测能力，对于企业内部人员所做 的攻击，防火墙形同虚设． 在网络高度发展的今天，互联网成为企业之 网络的安全建设遍布OSI模型的每一层，网 间、个人与企业之间以及个人与个人之间进行通 络的安全管理是一个实时的动态过程，需要及时、 讯的主要途径．网络之所以得到如此普遍的应 主动地发现问题、解决问题．入侵检测系统可以 用，很大程度上在于选择了简单易用的网络协议 存在于核心交换设备，或网络的任何位置．本文 TCP／IP．为了实现易用性，TCP／IP协议放弃了 介绍针对业务服务器在Linux系统[11上实现的入 所有像IBM、SNA这样的商业网络协议中的保护 侵检测系统，是对防火墙及其他网络安全设置的 机制，这就给黑客们更多攻击网络的机会． 补充． 随着互联网在世界范围内的发展和普及，黑 入侵检测被认为是防火墙之后的第二道安全 客攻击、电脑病毒等发生的概率越来越高．网络 闸门，在不影响网络性能的情况下能对网络进行 的安全漏洞给各种网上交易带来巨大破坏．然 监听，从而提供对内部攻击、外部攻击和误操作的 而，随着企业对其电子化的信息系统的依赖程度 实时保护，大大提高了网络的安全性． 越来越高，越来越多的企业看中了互联网这个带 有巨大潜在商机的交易媒体，争先构建各自的网 1 网络安全体系 上交易系统． 构建安全的网络体系包含网络群、系统群、数 当前网络安全的建设有着较大的漏洞：政府、 据群和应用群4个层面的内容．在图1中给出了 银行、大企业等机构都有自己的内网资源．然而，