基于Linux的多路入侵探測系統(tǒng)研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)高速發(fā)展，計算機網(wǎng)與個人主機受到越來越多的危害。如何解決網(wǎng)絡與操作系統(tǒng)安全，是一個關鍵問題。
　　 針對操作系統(tǒng)防御和網(wǎng)絡入侵，首先完成的就是網(wǎng)絡和操作系統(tǒng)信息監(jiān)控和過濾，使得操作系統(tǒng)和網(wǎng)絡傳輸更加安全?，F(xiàn)有比較好的措施就是在操作系統(tǒng)端，把監(jiān)控模塊寫入內核，以驅動方式加載。而在網(wǎng)絡中，則把監(jiān)控系統(tǒng)放置到網(wǎng)絡關鍵結點，可以更加快速的過濾相關交互信息。而且也是所有防火墻等防病毒軟件采取最高效的方法。
　　 而本文在

2、linux下的多路監(jiān)控技術中的多路指的是網(wǎng)絡和操作系統(tǒng)同時監(jiān)控。從網(wǎng)絡和操作系統(tǒng)等多方面進行全面的網(wǎng)絡攻擊監(jiān)控，然后針對監(jiān)控產生的數(shù)據(jù)，使用文中模型，對于數(shù)據(jù)進行訓練，最后產生規(guī)則，可以針對網(wǎng)絡DDOS等類型攻擊進行防御。
　　 具體在操作系統(tǒng)端，本文是通過改進Linux的Capability模塊，實現(xiàn)操作系統(tǒng)監(jiān)控和安全訪問控制。針對POSIX.1e標準的權能(Capability)模塊的缺陷進行改進后，在Linux內核安全模塊

3、(LSM)框架基礎上，加載改進的模塊，對操作系統(tǒng)內核層進行監(jiān)聽和控制處理，完成進程信任狀特權仲裁、安全i節(jié)點(i-node)操作、信息隊列反饋等一系列操作，最后調用字符設備反饋監(jiān)控信息到應用層進行安全控制處理。實驗表明，改進方案與其他一些加載權能(capability)模塊的內核安全監(jiān)控方案相比，不僅在系統(tǒng)的運行效率，監(jiān)控的正確率和系統(tǒng)掃描覆蓋率上有一定幅度的提高，而且在系統(tǒng)資源占用率等多項指標中都顯示其的監(jiān)控性能有一定的提高。

4、　　 而在網(wǎng)絡端，本文監(jiān)聽是利用Libpcap庫，改進數(shù)據(jù)包處理方式，使用半輪詢方式，計算最優(yōu)處理值，實現(xiàn)混雜模式下的高流量旁路數(shù)據(jù)包監(jiān)聽。利用前人研究的攻擊規(guī)則，如Snort rules，加入進模塊，可以檢測已知攻擊，降低虛報率。在高網(wǎng)絡狀況下，利用旁路監(jiān)聽原理保證數(shù)據(jù)運行的正確性和高效性。在Linux操作系統(tǒng)中使用底層抓包函數(shù)庫libpcap處理高量數(shù)據(jù)包的監(jiān)聽技術，利用網(wǎng)卡設備在網(wǎng)絡的旁路處進行數(shù)據(jù)捕捉的原理，使用NAPI技術實

5、現(xiàn)設備半輪詢機制以加快數(shù)據(jù)在緩沖區(qū)的處理速度，計算最優(yōu)帶寬值并設置相關參數(shù)以達到最佳處理效率。同時利用SNORT的入侵檢測網(wǎng)絡平臺基礎上，利用libpcap捕捉網(wǎng)絡包后進行數(shù)據(jù)規(guī)整化，利用貝葉斯模式進行正常數(shù)據(jù)和分布式拒絕服務攻擊數(shù)據(jù)的訓練，然后利用反向傳播神經網(wǎng)絡(BPNN)進行前期數(shù)據(jù)訓練，使訓練產生的數(shù)據(jù)對檢測模型優(yōu)化，并且生成防御規(guī)則。本系統(tǒng)的主要優(yōu)勢在于：1、在linux系統(tǒng)上實現(xiàn)部分改進，使得現(xiàn)有包過濾效率增強，在攻擊tar