带入侵检测的Linux个人防火墙的研究与实现汇.ppt

贵州大学计算机软件与理论研究所 * 论文工作总结 本文对防火墙技术以及入侵检测技术进行了概述，重点讨论了Linux下的防火墙及入侵检测技术，包括其基本原理、体系结构、网络数据包的拦截、检测引擎如何对网络数据包进行检测，防火墙与入侵检测的联动。结合桌面操作系统用户的需求，利用这两项技术开发了Linux桌面系统的个人防火墙。 贵州大学计算机软件与理论研究所 * 论文工作的进一步研究构想 防火墙日趋走向一个大而全、协同工作的趋势，单一的纯防火墙已经不复存在，网络安全的概念不仅包括网络安全产品，而且还涉及用户的管理和维护方面的问题。技术发展也因此具备智能化、高速度、分布式、复合型、专业化等发展趋势。 设计一个既完整，效率又高的规则生成和查找机制、规则管理机制以及Linux系统下的连接跟踪机制。保证将安全组件的运行对系统效率的影响降到最低。 实现对数据流的深包检测必将成为防火墙技术的主流方向。 加强同各大高校、学院的合作，建立网络安全实验室也是我们的工作方向之一。 时代在变化，技术在提高，防火墙技术也在不断的发展，因此，进一步提高防火墙的稳定性、多变性、适应力。 贵州大学计算机软件与理论研究所 * 致谢 衷心感谢我的导师李祥教授！从论文的选题、可行性研究、文献的收集到研究工作的开展，特别是论文的撰写，导师都给予了无微不至的关怀，提出了许多宝贵的建设性意见。 感谢答辩委员会主席，感谢各位评委，感谢在座的各位来宾！ 最后，我还要感谢我的家人及朋友对我的学习工作的全力支持。 谢 谢！ 2006年5月 * 带入侵检测的Linux个人防火墙的研究与实现 贵州大学计算机软件与理论研究所 * 选题背景及意义 随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息，然而网络的开放性与共享性容易使它受到外界的攻击与破坏，信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 虽然防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一的防护手段已不能确保网络的安全，它存在以下的弱点和不足： 1）防火墙对信息流的控制缺乏灵活性 2）在攻击发生后，利用防火墙保存的信息难以调查和取证 为了确保计算机网络安全，必须建立一整套的安全防护体系，进行多层次、多手段的检测和防护。入侵检测就是安全防护体系中重要的一环，它能够及时识别网络中发生的入侵行为并实时报警。入侵检测所具有的实时性、动态检测和主动防御等特点，弥补了防火墙等静态防御工具的不足。将入侵检测与防火墙配合使用，可以极大地提高网络的安全防御能力，对信息安全的防范有参考价值。 贵州大学计算机软件与理论研究所 * Netfilter是Linux内核实现数据包过滤/数据包处理/NAT等的功能框架，它在Linux内核中的IPv4、IPv6和DECnet等网络协议栈中都有相应的实现，基于netfilter内核更加安全可靠，且运行时占用资源较少。讨论了在此框架上如何实现防火墙，以及如何将入侵检测的功能融合进防火墙中。 iptables是专门针对Linux内核的Netfilter制作的核外配置工具，通过socket接口对Netfilter进行操作，是操作核内Netfilter的用户界面。使用iptables及Netfilter可进行数据包过滤，但在现实中由于其配置较复杂，iptables经常被束之高阁。设计的软件向用户屏蔽掉晦涩复杂的iptables配置语法，取而代之的是提供方便、简易的操作模式。 对进出网络的数据包进行实时监控，当检测到攻击信息时及时通知用户。完善的访问记录功能，可显示所有被拦截的访问记录，包括访问的时间、来源、类型等都详细地记录下来，您可以清楚地看到是否有入侵者想连接到您的机器，从而制定更有效的防护规则。并且可将所有访问记录进行保存，以便用户在日后进行深入分析或者作为证据提交给用户的ISP。 本文所做的主要工作与创新之处 贵州大学计算机软件与理论研究所 * 检测引擎是入侵检测实现的核心，准确性和快速性是衡量其性能的重要指标，前者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用性，后者主要取决于引擎的组织结构，是否能够快速地进行规则匹配。到目前为止共有3066个可用的规则，并且还在不断加入更多规则，同时提供规则描述语言，这种语言灵活而强大，以便用户可以添加自己的检测规则。 入侵检测能够进行协议分析，内容的搜索/匹配。现在能够分析的协议有TCP、UDP、ICMP、IP和ARP。能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。 入侵检测模