具有主動(dòng)防御能力的入侵檢測(cè)系統(tǒng)研究.pdf

1、入侵檢測(cè)系統(tǒng)通常包括事件產(chǎn)生器、事件分析器、響應(yīng)單元以及事件數(shù)據(jù)庫(kù)四部分。其中，事件分析器又是我們?nèi)肭謾z測(cè)技術(shù)的關(guān)鍵部分。 在網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的事件分析器中，截獲網(wǎng)絡(luò)的每一個(gè)數(shù)據(jù)包，都要進(jìn)行分析、匹配，這就需要花費(fèi)大量的時(shí)間和系統(tǒng)資源。大部分現(xiàn)有的網(wǎng)絡(luò)入侵檢測(cè)只有幾十兆的檢測(cè)速度，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，入侵檢測(cè)的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)速度。對(duì)于這一檢測(cè)速度的瓶頸，對(duì)此我們改進(jìn)了AC-BM算法以解決這一問(wèn)題。

2、除了入侵檢測(cè)系統(tǒng)外，我們的計(jì)算機(jī)中還可能使用了防火墻、漏洞掃描等其他類(lèi)別的安全設(shè)備，這些安全組件之間如何交換信息，共同協(xié)作來(lái)發(fā)現(xiàn)攻擊、作出響應(yīng)并阻止攻擊關(guān)系到整個(gè)系統(tǒng)的安全性。另外，對(duì)間諜軟件和廣告軟件的檢測(cè)也是一個(gè)令人頭疼的問(wèn)題。對(duì)此，我們?cè)诟倪M(jìn)了的AC-BM算法的基礎(chǔ)上建立了具有主動(dòng)防御能力的主動(dòng)防御模塊以解決問(wèn)題。 介紹了一般的入侵檢測(cè)系統(tǒng)的概念、模型，入侵檢測(cè)技術(shù)的分類(lèi)。然后，描述了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的CIDF模型，以及入

3、侵檢測(cè)存在的弱點(diǎn)和局限性，從而引出了我們課題研究的意義、現(xiàn)狀和背景。 闡述了數(shù)據(jù)采集的原理。因?yàn)槲沂窃贚inux操作系統(tǒng)下，用Libpcap庫(kù)函數(shù)實(shí)現(xiàn)的數(shù)據(jù)包的捕獲，所以就介紹一下Libpcap的有關(guān)函數(shù)和數(shù)據(jù)結(jié)構(gòu)。重點(diǎn)闡述了網(wǎng)絡(luò)數(shù)據(jù)包的捕獲程序，并輸出了實(shí)驗(yàn)結(jié)果。 簡(jiǎn)要介紹了TCP/IP的四層模型、數(shù)據(jù)報(bào)的封裝過(guò)程，IP、TCP等協(xié)議的格式和數(shù)據(jù)結(jié)構(gòu)。這些是非常重要的，因?yàn)樗鼈兪沁M(jìn)行數(shù)據(jù)報(bào)協(xié)議分析、負(fù)載分析所必須的。當(dāng)