基于LINUX下橋模式的入侵檢測系統(tǒng)的研究.pdf

1、隨著計算機及網(wǎng)絡的飛速發(fā)展，Internet擁有越來越多的用戶，計算機網(wǎng)絡安全成為人們面前一個非?，F(xiàn)實且不可回避的問題。網(wǎng)絡用戶傳統(tǒng)上采用防火墻作為安全第一道防線，而隨著攻擊者知識的日趨成熟，攻擊工具和方法也日趨復雜，單單依靠防火墻已經(jīng)無法保護網(wǎng)絡安全，必須采用一種縱深、多樣的手段。在這樣的背景下，自上世紀九十年代以來，入侵檢測是一個非?；钴S的研究領域。入侵檢測系統(tǒng)(Intrusion Detection System)作為一種檢測針對

2、計算機和網(wǎng)絡系統(tǒng)非法攻擊使之免遭破壞的重要部件應運而生。 由于近年來網(wǎng)絡技術日新月異的發(fā)展，網(wǎng)絡上存在海量數(shù)據(jù)，使目前的網(wǎng)絡入侵檢測系統(tǒng)很難跟上網(wǎng)絡快速發(fā)展的步伐，傳統(tǒng)的入侵檢測方法面臨嚴峻挑戰(zhàn)。 本文首先介紹了入侵檢測系統(tǒng)的模型、分類和工作原理以及所存在的問題，然后深入研究了Linux內(nèi)核的網(wǎng)絡實現(xiàn)，分析了Linux2.4內(nèi)核的網(wǎng)絡接受瓶頸，介紹了Linux2.6內(nèi)核的網(wǎng)絡改進。在此基礎上，本文設計一種了基于Linux

3、內(nèi)核橋模式的入侵檢測系統(tǒng)。有別于傳統(tǒng)網(wǎng)絡入侵檢測系統(tǒng)旁路監(jiān)聽的方式，該系統(tǒng)使用了橋模式的入侵檢測方式，對數(shù)據(jù)包的檢測在數(shù)據(jù)鏈路層進行。系統(tǒng)還使用了Linux多線程編程技術，使得系統(tǒng)的檢測與防護工作分布在不同的CPU上執(zhí)行，以此達到數(shù)據(jù)包檢測快速、高效的目的。對該系統(tǒng)在真實網(wǎng)絡環(huán)境下進行的正常訪問及入侵測試試驗表明：本文設計的基于Linux橋模式的入侵檢測系統(tǒng)達到了無漏報、快速、高效的效果，可以有效的檢測入侵，同時保障了對正常訪問的響應。