基于規(guī)則的網(wǎng)絡(luò)數(shù)據(jù)包檢測系統(tǒng)的研究與實現(xiàn).pdf

1、當前計算機網(wǎng)絡(luò)的應(yīng)用已經(jīng)相當?shù)钠毡?，并且深刻的影響了人們的生活方式。網(wǎng)絡(luò)給人們生活帶了便捷的同時，也帶來了越來越多的安全問題。網(wǎng)絡(luò)入侵和攻擊問題每天都有發(fā)生。如何在享用網(wǎng)絡(luò)帶來的福利的同時，又免遭網(wǎng)絡(luò)入侵和攻擊的損害，成了日益關(guān)注的問題。網(wǎng)絡(luò)防火墻能夠在一定程度上保護系統(tǒng)，避免網(wǎng)絡(luò)使用者成為網(wǎng)絡(luò)安全問題的受害者，它通常被稱為網(wǎng)絡(luò)安全的第一道防線。一旦第一道防線被突破，就需要布防第二道防線。入侵檢測系統(tǒng)可以作為一個理想的選擇。目前有多重入

2、侵檢測產(chǎn)品在保護著計算機網(wǎng)絡(luò)，其中Snort是最為具有代表性的一種。它是一種基于規(guī)則的數(shù)據(jù)包檢測系統(tǒng)。
　　在對入侵檢測系統(tǒng)工作原理和對Snort系統(tǒng)研究的基礎(chǔ)上，本文設(shè)計了一款簡易的基于規(guī)則的數(shù)據(jù)包檢測系統(tǒng)，命名為PacketGuard。它相比于Snort在多個地方進行了重新設(shè)計。考慮到應(yīng)對數(shù)據(jù)包到達的瞬時高峰，在數(shù)據(jù)包捕獲和預(yù)處理階段加入了兩個緩沖區(qū)和兩個線程池，這使得系統(tǒng)具有了多線程并發(fā)處理數(shù)據(jù)包的能力。同時對數(shù)據(jù)包檢測規(guī)則

3、進行了重新設(shè)計，使得規(guī)則的使用變得更加靈活。在數(shù)據(jù)包檢測規(guī)則管理上，給出了一種用戒備集合、高溫集合和低溫集合三個集合共同管理規(guī)則的辦法。這種辦法提高了數(shù)據(jù)包檢測時掃描規(guī)則集的速度。這充分利用了數(shù)據(jù)包特征和數(shù)據(jù)包攻擊在一段時間內(nèi)相對集中的特點。在系統(tǒng)結(jié)構(gòu)上增加了外聯(lián)模塊，多個系統(tǒng)之間能夠互相發(fā)送檢測結(jié)果和規(guī)則，這使得多個系統(tǒng)能夠共同協(xié)作，共同對數(shù)據(jù)包進行檢測。這提高了單系統(tǒng)應(yīng)對威脅數(shù)據(jù)包檢測的反應(yīng)速度。最后本文還解釋了控制管理模塊對系統(tǒng)性