城域網(wǎng)入侵檢測系統(tǒng)的研究與設計.pdf

1、隨著計算機和網(wǎng)絡技術(shù)在社會生活各方面應用的深入發(fā)展，計算機網(wǎng)絡系統(tǒng)的安全已成為計算機科學研究的熱點。隨著網(wǎng)絡技術(shù)的發(fā)展及攻擊者技術(shù)的日益提高，單純的防火墻已經(jīng)不能滿足安全需求，它無法控制內(nèi)部網(wǎng)絡用戶和透過防火墻的入侵者的行為。因此需要采用多方位，多式樣的手段來保證網(wǎng)絡安全。在當前的網(wǎng)絡安全技術(shù)中，IDS（Intrusion Detection System，入侵檢測系統(tǒng)）無疑是最熱門的技術(shù)之一。入侵檢測技術(shù)能檢測出針對某一系統(tǒng)的入侵或入

2、侵企圖，并實時作出反應。 本文提出了城域網(wǎng)入侵檢測系統(tǒng)的實現(xiàn)研究。交換機、路由器等網(wǎng)絡設備是構(gòu)成城域網(wǎng)的重要設備，許多網(wǎng)絡癱瘓都與這些設備有關(guān)。特別是路由器，作為互聯(lián)網(wǎng)絡的核心設備 ，是網(wǎng)絡安全的前沿關(guān)口。城域網(wǎng)入侵檢測系統(tǒng)就是專門加強城域網(wǎng)核心部分安全性的一種入侵檢測系統(tǒng)。本文設計的城域網(wǎng)入侵檢測系統(tǒng)模塊包括以下六個模塊：網(wǎng)絡數(shù)據(jù)包捕獲模塊、數(shù)據(jù)處理模塊、分類器、分析模塊、入侵規(guī)則庫模塊、入侵響應及控制模塊。數(shù)據(jù)包捕獲和處理模

3、塊主要是獲取流經(jīng)城域網(wǎng)的網(wǎng)絡流量，包括所有協(xié)議端口、所有子網(wǎng)主機的所有交互數(shù)據(jù)，采用Sniffer技術(shù)與NetFlow技術(shù)相結(jié)合的辦法，并以Linux為開發(fā)平臺、以Perl語言為開發(fā)工具、將所采集的網(wǎng)絡數(shù)據(jù)預處理成NetFlow格式。分析模塊將定時分析采集后所生成的NetFlow數(shù)據(jù)文件，自動生成報表。這些報表主要產(chǎn)生城域網(wǎng)中各IP地址的流量和各種應用類型的流量報告；基于流量報告的基礎，還可以根據(jù)需要做出趨勢報告，即特征數(shù)據(jù)的時序分析。