防火墻與入侵檢測聯(lián)動響應(yīng)策略研究及系統(tǒng)實現(xiàn).pdf

1、隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為信息化建設(shè)的一個核心問題。防火墻和入侵檢測是目前使用最為廣泛的兩種技術(shù)，它們分別代表了傳統(tǒng)網(wǎng)絡(luò)安全的靜態(tài)技術(shù)和動態(tài)技術(shù)。如何實現(xiàn)“動”“靜”結(jié)合，關(guān)聯(lián)互動的安全體系，已成為網(wǎng)絡(luò)安全一個新的發(fā)展方向。因此聯(lián)動技術(shù)應(yīng)運而生，并成為目前國內(nèi)外研究的焦點和熱點。而現(xiàn)有的聯(lián)動技術(shù)都存在著資源利用率低，誤報率高等問題，成為聯(lián)動技術(shù)進一步發(fā)展的瓶頸。 本文的重點就是研究防火墻和入侵檢測的聯(lián)動技術(shù)，提出

2、了聯(lián)動響應(yīng)策略的優(yōu)化算法。本文采用聯(lián)動模塊來進行防火墻模塊與入侵檢測模塊之間的信息傳遞。聯(lián)動模塊作為整個系統(tǒng)的核心，需要對報警進行分析、處理，制定、調(diào)整相關(guān)安全策略，發(fā)出響應(yīng)命令。系統(tǒng)通過分析入侵檢測模塊性能，得到入侵檢測性能參數(shù)，并對響應(yīng)損失進行分析，在此基礎(chǔ)上對響應(yīng)策略的選擇進行優(yōu)化，實現(xiàn)以最小的代價換取最大的安全的目標(biāo)。提高報警的準(zhǔn)確率和減少誤報率，減少安全組件間的通信流量。解決了防火墻與入侵檢測聯(lián)動技術(shù)中資源利用率低，數(shù)據(jù)傳輸速

3、度慢，誤報率、漏報率高等問題。在此基礎(chǔ)上，本文實現(xiàn)了防火墻與入侵檢測聯(lián)動系統(tǒng)，防火墻模塊采用Linux2.4系統(tǒng)中Netfilter防火墻框架結(jié)構(gòu)，入侵檢測模塊采用分布式入侵檢測系統(tǒng)。聯(lián)動模塊由分析、響應(yīng)策略、數(shù)據(jù)交換三大部分組成。入侵發(fā)生時，系統(tǒng)入侵檢測模塊產(chǎn)生報警信息，經(jīng)聯(lián)動模塊分析參數(shù)，制定響應(yīng)策略后，由防火墻采取相應(yīng)措施，有效的實現(xiàn)了動靜結(jié)合的整體安全結(jié)構(gòu)。最后本文對系統(tǒng)進行了實驗測試，實驗結(jié)果表明本系統(tǒng)能夠針對不同的攻擊產(chǎn)生自