基于行為特征的網(wǎng)絡異常檢測平臺的設計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術的高速發(fā)展，計算機網(wǎng)絡對于國家經(jīng)濟的發(fā)展和人民生活水平的提高越來越重要。然而，近年來全球互聯(lián)網(wǎng)絡安全威脅事件頻發(fā)，計算機網(wǎng)絡不僅為我們帶來了便捷和高效的生活，同樣也帶來了各種各樣的安全問題。黑客利用多種入侵手段攻擊目標主機，通過防火墻攔截，安全訪問控制，對數(shù)據(jù)加密處理以及身份認證等傳統(tǒng)的網(wǎng)絡安全防御技術也無法感知，靜態(tài)的防御體系已經(jīng)無法滿足當前的安全需要。
　　入侵檢測技術作為一種積極主動的安全防護技術，能夠?qū)崟r監(jiān)測

2、被保護網(wǎng)絡。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術使得木馬難以被發(fā)現(xiàn)，但木馬的通信過程均能呈現(xiàn)較固定和明顯的通信特征。相較于簡單特征碼匹配技術，基于通信行為特征的分析檢測技術在對木馬的檢測上更有優(yōu)勢，且能夠發(fā)現(xiàn)潛在的、未知的網(wǎng)絡竊密行為和威脅，具有更廣闊的應用前景。
　　本文實現(xiàn)了一個網(wǎng)絡入侵檢測系統(tǒng)部署在企業(yè)網(wǎng)絡關口處，利用網(wǎng)絡通信中的行為特征進行異常檢測，保障企業(yè)網(wǎng)絡安全。本文基于TCP/IP協(xié)議棧對行為特征進行分層

3、提取，設計并實現(xiàn)一個網(wǎng)絡會話的多維特征集合，通過與規(guī)則庫進行匹配從而發(fā)現(xiàn)異常行為。規(guī)則庫是嗅探入侵行為的關鍵，本文設計了一套規(guī)則描述語言為用戶提供強大的異常行為表示接口，可用于系統(tǒng)規(guī)則庫的快速構建和更新，使系統(tǒng)能夠?qū)π鲁霈F(xiàn)的網(wǎng)絡攻擊行為及時響應。另外由于系統(tǒng)部署在高速網(wǎng)絡環(huán)境下，本文基于零拷貝技術和多線程技術，同時設計和實現(xiàn)快速查找算法以提高系統(tǒng)的統(tǒng)計和分析效率。使用Libnids、Libpcap等開源庫進行系統(tǒng)數(shù)據(jù)包處理功能的快速開發(fā)