Linux環(huán)境下入侵檢測(cè)系統(tǒng)的研究和改進(jìn).pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的不斷增加，網(wǎng)絡(luò)安全成為人們關(guān)注的焦點(diǎn)。目前，解決網(wǎng)絡(luò)安全問(wèn)題的主要技術(shù)手段有加密技術(shù)、防火墻技術(shù)、安全路由器等，雖然完成大部分安全功能，但它們多采用靜態(tài)的安全策略，在防御網(wǎng)絡(luò)入侵方面具有一定的局限。入侵檢測(cè)系統(tǒng)通過(guò)動(dòng)態(tài)探察網(wǎng)絡(luò)內(nèi)的異常情況，及時(shí)發(fā)出警報(bào)，有效彌補(bǔ)了其他靜態(tài)技術(shù)的不足。 盡管入侵檢測(cè)技術(shù)近些年來(lái)已經(jīng)有了飛速的發(fā)展，從最早出現(xiàn)的基于主機(jī)的入侵檢測(cè)，到后來(lái)的基于網(wǎng)絡(luò)的入侵檢測(cè)，直到現(xiàn)在的將二者結(jié)

2、合的混合分布式入侵檢測(cè)系統(tǒng)，但隨著高速網(wǎng)絡(luò)的發(fā)展，又有新的問(wèn)題不斷出現(xiàn)。其中非常重要的一個(gè)問(wèn)題是傳統(tǒng)的入侵檢測(cè)系統(tǒng)已經(jīng)無(wú)法及時(shí)、有效的處理高速的網(wǎng)絡(luò)流量。本文主要的工作是Linux平臺(tái)下針對(duì)開(kāi)發(fā)出來(lái)的原型系統(tǒng)，研究如何提高入侵檢測(cè)系統(tǒng)的數(shù)據(jù)包捕獲的效率，并通過(guò)Linux安全模塊提出了一種TCP狀態(tài)驅(qū)動(dòng)入侵檢測(cè)機(jī)制。 論文首先論述了入侵檢測(cè)系統(tǒng)的模型和入侵檢測(cè)常用技術(shù)，然后對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)原理進(jìn)行了剖析。在此基礎(chǔ)上，對(duì)入侵檢測(cè)系

3、統(tǒng)的性能瓶頸進(jìn)行了分析，得出數(shù)據(jù)包捕獲和規(guī)則匹配是入侵檢測(cè)系統(tǒng)的性能瓶頸的結(jié)論。為提高系統(tǒng)性能，本文基于Linux平臺(tái)，采用了中斷減輕機(jī)制和零拷貝技術(shù)對(duì)原型系統(tǒng)的數(shù)據(jù)包捕獲進(jìn)行了改進(jìn)。為測(cè)試改進(jìn)后的性能，論文搭建了相應(yīng)的實(shí)驗(yàn)平臺(tái)，進(jìn)行實(shí)驗(yàn)測(cè)試。測(cè)試表明零拷貝技術(shù)和中斷減輕機(jī)制能有效提高網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包捕獲，提高了網(wǎng)絡(luò)的處理能力。改進(jìn)后的系統(tǒng)的性能較原來(lái)的系統(tǒng)有了較大的提高，最后論文提出了一種基于Linux安全模塊的rcP狀態(tài)驅(qū)動(dòng)入侵檢測(cè)