防火墻與入侵檢測(cè)聯(lián)動(dòng)算法研究.pdf

1、防火墻和入侵檢測(cè)技術(shù)作為常用的安全技術(shù)，在網(wǎng)絡(luò)系統(tǒng)中得到廣泛應(yīng)用。面對(duì)日益變化的網(wǎng)絡(luò)環(huán)境，安全產(chǎn)品的單獨(dú)使用已不能滿足需求。針對(duì)現(xiàn)有聯(lián)動(dòng)技術(shù)和聯(lián)動(dòng)系統(tǒng)的研究，本文研究防火墻與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)的流程，就現(xiàn)有聯(lián)動(dòng)系統(tǒng)技術(shù)和算法的缺陷，我們提出了新的算法，以及對(duì)原有算法進(jìn)行改進(jìn)。
　　 本文所做的工作主要有：
　　 (1)分析防火墻與入侵檢測(cè)各自的功能原理，及常用的方法，分析了各自的優(yōu)點(diǎn)和缺陷，提出了聯(lián)動(dòng)的必要性。
　　

2、 (2)提出了防火墻與入侵檢測(cè)的聯(lián)動(dòng)模型，闡述各個(gè)模塊作用，實(shí)現(xiàn)基于socket的通信，詳細(xì)分析了基于Snort的入侵檢測(cè)系統(tǒng)和基于Netfilter/Iptables的防火墻的結(jié)構(gòu)和工作流程，實(shí)現(xiàn)基于Libpcap的數(shù)據(jù)包捕獲模塊和Iptables包過濾防火墻的配置。
　　 (3)分析入侵檢測(cè)系統(tǒng)的性能參數(shù)，計(jì)算聯(lián)動(dòng)系統(tǒng)的聯(lián)動(dòng)損耗，作為選擇適當(dāng)?shù)捻憫?yīng)策略的依據(jù)。分析聯(lián)動(dòng)系統(tǒng)工作流程，設(shè)計(jì)了預(yù)分析組件、分析組件、策略選擇模塊等

3、，定義了系統(tǒng)通信格式，重點(diǎn)分析策略過程。
　　 (4)根據(jù)IDS的性能和報(bào)警正確率，分析由于IDS性能缺陷帶來的損耗，改進(jìn)了同一入侵信息隸屬度算法，該算法根據(jù)攻擊的源目的地址、端口和作用時(shí)間等，判斷是否是前次入侵的后續(xù)，有效減少多次聯(lián)動(dòng)的不必要的損耗。
　　 (5)根據(jù)防火墻的動(dòng)態(tài)規(guī)則的處理原則，提出了防火墻動(dòng)態(tài)規(guī)則維護(hù)和更新算法，該算法充分考慮實(shí)際攻擊的各種因素，根據(jù)具體攻擊的危害度，系統(tǒng)的可恢復(fù)程度等進(jìn)行量化分析，最