基于行為特征的網(wǎng)絡(luò)異常檢測平臺的設(shè)計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，計算機網(wǎng)絡(luò)對于國家經(jīng)濟的發(fā)展和人民生活水平的提高越來越重要。然而，近年來全球互聯(lián)網(wǎng)絡(luò)安全威脅事件頻發(fā)，計算機網(wǎng)絡(luò)不僅為我們帶來了便捷和高效的生活，同樣也帶來了各種各樣的安全問題。黑客利用多種入侵手段攻擊目標主機，通過防火墻攔截，安全訪問控制，對數(shù)據(jù)加密處理以及身份認證等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)也無法感知，靜態(tài)的防御體系已經(jīng)無法滿足當前的安全需要。
　　入侵檢測技術(shù)作為一種積極主動的安全防護技術(shù)，能夠?qū)崟r監(jiān)測

2、被保護網(wǎng)絡(luò)。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術(shù)使得木馬難以被發(fā)現(xiàn)，但木馬的通信過程均能呈現(xiàn)較固定和明顯的通信特征。相較于簡單特征碼匹配技術(shù)，基于通信行為特征的分析檢測技術(shù)在對木馬的檢測上更有優(yōu)勢，且能夠發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)竊密行為和威脅，具有更廣闊的應(yīng)用前景。
　　本文實現(xiàn)了一個網(wǎng)絡(luò)入侵檢測系統(tǒng)部署在企業(yè)網(wǎng)絡(luò)關(guān)口處，利用網(wǎng)絡(luò)通信中的行為特征進行異常檢測，保障企業(yè)網(wǎng)絡(luò)安全。本文基于TCP/IP協(xié)議棧對行為特征進行分層

3、提取，設(shè)計并實現(xiàn)一個網(wǎng)絡(luò)會話的多維特征集合，通過與規(guī)則庫進行匹配從而發(fā)現(xiàn)異常行為。規(guī)則庫是嗅探入侵行為的關(guān)鍵，本文設(shè)計了一套規(guī)則描述語言為用戶提供強大的異常行為表示接口，可用于系統(tǒng)規(guī)則庫的快速構(gòu)建和更新，使系統(tǒng)能夠?qū)π鲁霈F(xiàn)的網(wǎng)絡(luò)攻擊行為及時響應(yīng)。另外由于系統(tǒng)部署在高速網(wǎng)絡(luò)環(huán)境下，本文基于零拷貝技術(shù)和多線程技術(shù)，同時設(shè)計和實現(xiàn)快速查找算法以提高系統(tǒng)的統(tǒng)計和分析效率。使用Libnids、Libpcap等開源庫進行系統(tǒng)數(shù)據(jù)包處理功能的快速開發(fā)