基于Linux的入侵防御系統(tǒng).pdf

1、本文論述了一個以Linux系統(tǒng)為運行平臺的網絡入侵防御系統(tǒng)(SIPS)的設計與實現(xiàn)。作者在對入侵檢測和入侵防御系統(tǒng)做了大量研究后，提出了以LJnux系統(tǒng)結合普通PC方式，來實現(xiàn)低成本網絡入侵防御系統(tǒng)的設計與實施：使用Red HatLinux Advance Server 4.0系統(tǒng)，利用開源免費的網絡入侵檢測系統(tǒng)Snort來實時檢測網絡中的流量，使用自主開發(fā)的響應模塊實時接收Snort的告警輸出，然后進行告警分析，獲得攻擊者的信息和攻擊

2、手段，并實時的調整防火墻規(guī)則，阻止不安全的網絡流量通過SIPS系統(tǒng)。 本文論述的SIPS系統(tǒng)，屬于軟件NIPS，對硬件沒有特殊要求?？梢允褂闷胀≒C加上2塊以上的網卡來滿足硬件需求。該系統(tǒng)以串聯(lián)方式連接到網絡的關鍵路徑中，在系統(tǒng)中可以只有這一個NIPS結點，也可以輔助更多的IDS結點，來聯(lián)合告警，以提高防御效果。NIPS結點以透明網橋方式工作，在保證實施時不需要改動原有的網絡結構的同時，也能保證自己的安全。系統(tǒng)中主動響應功能，使

3、用Linux系統(tǒng)內核的IPlhbles來實現(xiàn)。通過自主研發(fā)的入侵響應模塊動態(tài)調整IPTables規(guī)則來實現(xiàn)實時的安全通信。 系統(tǒng)采用模塊化設計，有很強的網絡環(huán)境適應能力，可以根據不同的網絡靈活調整?？梢宰鳛楣δ芡晟频腘IPS來使用，也可以降級為NIDS，甚至還可以只作為快速的透明網橋防火墻。 系統(tǒng)的響應模塊采用Perl腳本編寫，易于修改和調試，并采用了多線程技術。系統(tǒng)提供了強大的日志功能，可以讓用戶以Web方式進行圖形化