具有主動防御能力的入侵檢測系統(tǒng)研究.pdf

1、入侵檢測系統(tǒng)通常包括事件產(chǎn)生器、事件分析器、響應單元以及事件數(shù)據(jù)庫四部分。其中，事件分析器又是我們?nèi)肭謾z測技術的關鍵部分。 在網(wǎng)絡入侵檢測系統(tǒng)的事件分析器中，截獲網(wǎng)絡的每一個數(shù)據(jù)包，都要進行分析、匹配，這就需要花費大量的時間和系統(tǒng)資源。大部分現(xiàn)有的網(wǎng)絡入侵檢測只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡的大量應用，入侵檢測的速度已經(jīng)遠遠落后于網(wǎng)絡速度。對于這一檢測速度的瓶頸，對此我們改進了AC-BM算法以解決這一問題。

2、除了入侵檢測系統(tǒng)外，我們的計算機中還可能使用了防火墻、漏洞掃描等其他類別的安全設備，這些安全組件之間如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊、作出響應并阻止攻擊關系到整個系統(tǒng)的安全性。另外，對間諜軟件和廣告軟件的檢測也是一個令人頭疼的問題。對此，我們在改進了的AC-BM算法的基礎上建立了具有主動防御能力的主動防御模塊以解決問題。 介紹了一般的入侵檢測系統(tǒng)的概念、模型，入侵檢測技術的分類。然后，描述了網(wǎng)絡入侵檢測系統(tǒng)的CIDF模型，以及入

3、侵檢測存在的弱點和局限性，從而引出了我們課題研究的意義、現(xiàn)狀和背景。 闡述了數(shù)據(jù)采集的原理。因為我是在Linux操作系統(tǒng)下，用Libpcap庫函數(shù)實現(xiàn)的數(shù)據(jù)包的捕獲，所以就介紹一下Libpcap的有關函數(shù)和數(shù)據(jù)結構。重點闡述了網(wǎng)絡數(shù)據(jù)包的捕獲程序，并輸出了實驗結果。 簡要介紹了TCP/IP的四層模型、數(shù)據(jù)報的封裝過程，IP、TCP等協(xié)議的格式和數(shù)據(jù)結構。這些是非常重要的，因為它們是進行數(shù)據(jù)報協(xié)議分析、負載分析所必須的。當