網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)引擎的設(shè)計(jì)實(shí)現(xiàn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，社會(huì)信息化程度的不斷提高，網(wǎng)絡(luò)在帶來(lái)巨大的經(jīng)濟(jì)效益和社會(huì)效益的同時(shí)，也面臨著日益嚴(yán)重的安全問(wèn)題。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的最大威脅是計(jì)算機(jī)病毒和黑客攻擊。高速的網(wǎng)絡(luò)為攻擊者提供了方便，攻擊模式和方法越來(lái)越復(fù)雜，攻擊者的水平也在不斷提高，攻擊規(guī)模日益擴(kuò)大，越來(lái)越多的系統(tǒng)受到攻擊，如何保護(hù)網(wǎng)絡(luò)系統(tǒng)不受入侵成為目前迫切需要解決的問(wèn)題。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)工具，提供了對(duì)內(nèi)部攻擊和外部攻擊的實(shí)時(shí)防護(hù)，在計(jì)算機(jī)網(wǎng)絡(luò)遭

2、受危害之前進(jìn)行報(bào)警、攔截和響應(yīng)。 論文首先在討論網(wǎng)絡(luò)安全缺陷和漏洞的基礎(chǔ)上，對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了概述性介紹。入侵檢測(cè)的分析技術(shù)主要分為濫用入侵檢測(cè)和異常入侵檢測(cè)，目前國(guó)內(nèi)外流行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)大都是采用濫用入侵檢測(cè)技術(shù)。本文采用濫用檢測(cè)技術(shù)，實(shí)現(xiàn)了基于網(wǎng)絡(luò)數(shù)據(jù)包的檢測(cè)。濫用檢測(cè)使用模式匹配方法，它是對(duì)已知的攻擊技術(shù)進(jìn)行分析，提取攻擊的特征，然后對(duì)收集到的網(wǎng)絡(luò)數(shù)據(jù)包與建立的入侵規(guī)則進(jìn)行匹配，判斷是否有攻擊事件發(fā)生。 其次

3、，在介紹常用入侵手段和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究現(xiàn)狀的基礎(chǔ)上，討論了當(dāng)前入侵檢測(cè)技術(shù)面臨的挑戰(zhàn)和發(fā)展趨勢(shì)展望。 最后，設(shè)計(jì)實(shí)現(xiàn)了采用協(xié)議分析和模式匹配方法的網(wǎng)絡(luò)入侵檢測(cè)引擎系統(tǒng)。本課題使用Snort系統(tǒng)定義的規(guī)則庫(kù)，實(shí)現(xiàn)了規(guī)則解析程序，通過(guò)建立規(guī)則選項(xiàng)索引鏈表，動(dòng)態(tài)調(diào)整規(guī)則順序，有效地提高了規(guī)則檢測(cè)的速度和效率。對(duì)于捕獲的數(shù)據(jù)包根據(jù)不同的協(xié)議進(jìn)行解碼，預(yù)處理模塊則能對(duì)IP分片進(jìn)行重組和對(duì)TCP流數(shù)據(jù)還原，規(guī)則檢測(cè)模塊采用了改進(jìn)的BM模