基于事件的網(wǎng)絡(luò)入侵檢測系統(tǒng)EIDS.pdf

1、隨著黑客入侵事件的日益猖獗,人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的.入侵檢測技術(shù)對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和響應(yīng),不僅檢測外部入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶未授權(quán)活動(dòng).本文首先分析當(dāng)前網(wǎng)絡(luò)安全情況,將入侵檢測和防火墻進(jìn)行比較,指出防火墻難以防御內(nèi)部攻擊的重要不足,然后介紹了"可適應(yīng)網(wǎng)絡(luò)安全理論"的主要模型---PPDR模型(策略、防護(hù)、檢測、響應(yīng)).第二章是對入侵檢測技術(shù)進(jìn)行簡單介紹,包括通用入侵檢測框架CIDF、IDS

2、分類和檢測方法等.基于網(wǎng)絡(luò)入侵檢測系統(tǒng)具有配置費(fèi)用低、隱蔽性好、實(shí)時(shí)檢測和響應(yīng)、不依賴操作系統(tǒng)、不占用被檢測系統(tǒng)的資源、不易被欺騙等優(yōu)點(diǎn),因此在實(shí)際中獲得很大的運(yùn)用.雖然入侵檢測技術(shù)發(fā)展到今天已經(jīng)取得了巨大的進(jìn)展,但現(xiàn)有的入侵檢測系統(tǒng)還存在著很多不足之處,比如誤報(bào)警、檢測速度和性能等.第三章設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)入侵檢測系統(tǒng)---EIDS,這是論文的重點(diǎn).EIDS是基于事件的網(wǎng)絡(luò)入侵檢測系統(tǒng),它通過監(jiān)聽,獲得鏈路層數(shù)據(jù)包,事件引擎通過分析這些

3、網(wǎng)絡(luò)數(shù)據(jù)包后生成事件,這些事件反應(yīng)了不同的網(wǎng)絡(luò)活動(dòng):有些是請求建立連接,有些是網(wǎng)絡(luò)協(xié)議(如FTP請求和響應(yīng)),還有一些是用戶登陸的認(rèn)證.通過簡要分析其特點(diǎn)和系統(tǒng)結(jié)構(gòu),對EIDS有一個(gè)總體上的把握.然后根據(jù)TCP/IP協(xié)議族,相應(yīng)實(shí)現(xiàn)EIDS各個(gè)層次的協(xié)議解析處理流程.EIDS通過對協(xié)議的解析,提高了匹配的效率,通過模擬應(yīng)用層某些協(xié)議的命令語法,提高了入侵監(jiān)測的準(zhǔn)確性.接著實(shí)現(xiàn)EIDS分布式檢測思想、入侵響應(yīng)和策略腳本解釋語言.論文的最后