基于入侵檢測(cè)和日志審計(jì)的網(wǎng)絡(luò)安全方案.pdf

1、由于計(jì)算機(jī)和通信技術(shù)的發(fā)展，使得互聯(lián)網(wǎng)成為信息傳遞和展現(xiàn)的重要媒介。網(wǎng)絡(luò)不僅在慢慢的改變著人類的工作和生活方式，而且對(duì)經(jīng)濟(jì)和文化也產(chǎn)生了巨大的影響。然而，便捷的背后也隱藏一些危險(xiǎn)，其中尤為明顯的就是網(wǎng)絡(luò)信息的安全問題。入侵檢測(cè)系統(tǒng)的出現(xiàn)在很大程度上給人們上網(wǎng)加了一把安心鎖，但是，目前的入侵檢測(cè)系統(tǒng)存在著很多問題，例如漏/誤報(bào)率較高、沒有主動(dòng)防御能力、缺乏精準(zhǔn)定位等，不能很高效的保護(hù)網(wǎng)絡(luò)。
　　 網(wǎng)絡(luò)環(huán)境的復(fù)雜性決定了安全工具的多

2、向性，入侵檢測(cè)系統(tǒng)是一種事前檢測(cè)系統(tǒng)，然而字符串匹配的問題一直是此系統(tǒng)高效檢測(cè)的瓶頸。本文通過闡述Snort的模式匹配原理，對(duì)常見的匹配算法進(jìn)行了分析，然后提出了一種數(shù)組標(biāo)記定位法。此法通過記錄被匹配串中字符的位置，并存入定位表中來進(jìn)行字符匹配，類似于路由算法中的路由表。同時(shí)對(duì)規(guī)則庫中的規(guī)則進(jìn)行了動(dòng)態(tài)的排序和刪除，提高了匹配常見規(guī)則的匹配速度。
　　 但是對(duì)于新型的網(wǎng)絡(luò)攻擊入侵檢測(cè)系統(tǒng)卻無能為力，并且對(duì)于事后攻擊更沒有應(yīng)對(duì)的方案

3、。本文通過對(duì)事后審計(jì)方案的分析，尤其是基于日志的審計(jì)系統(tǒng)，提出了一種更加智能的網(wǎng)絡(luò)安全日志審計(jì)模型。該模型動(dòng)態(tài)增加了關(guān)于網(wǎng)絡(luò)危機(jī)的規(guī)則，可以根據(jù)具體的需求對(duì)新規(guī)則進(jìn)行添加和修改。同時(shí)在日志分析之前加入了日志歸類系統(tǒng)，極大提高了日志審計(jì)的效率。
　　 以上方案不僅能夠解決入侵檢測(cè)效率低的問題，而且能夠?qū)θ肭职l(fā)生之后的特征進(jìn)行捕捉和跟進(jìn)，對(duì)網(wǎng)絡(luò)中將要存在或已經(jīng)存在的危險(xiǎn)給出報(bào)警和相應(yīng)的處理。從入侵發(fā)生之前到入侵發(fā)生之后，都有系統(tǒng)的應(yīng)