帶入侵檢測的Linux個人防火墻的研究與實現(xiàn).pdf_第1頁
已閱讀1頁,還剩50頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、當(dāng)越來越多的公司及政府部門將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時候,網(wǎng)絡(luò)安全作為一個無法回避的問題呈現(xiàn)在人們面前。傳統(tǒng)上,公司及政府部門一般采用防火墻作為其安全防線,而隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復(fù)雜多樣,單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要。致命的原因就是防火墻不是“智能”的。防火墻只能做到允許或者阻止某地址向某地址的特定端口,但是對于針對開放端口的攻擊,防火墻就鞭長莫及了。其次,防火墻完全不能阻止來自內(nèi)部的

2、襲擊。而通過調(diào)查發(fā)現(xiàn),50%的攻擊都來自于內(nèi)部,對于公司及政府部門內(nèi)部心懷不滿的員工來說,防火墻形同虛設(shè)。再者,由于性能的限制,防火墻通常不能提供實時的入侵檢測能力,對于現(xiàn)在層出不窮的攻擊技術(shù)來說,這顯然是致命的弱點。第四,防火墻對于病毒也束手無策。因此,以為在Internet入口處部署防火墻系統(tǒng)就足夠安全的想法是不切實際的。 網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深、多樣的手段,在這種環(huán)境下,入侵檢測系統(tǒng)成為了安全市場上新的熱點,不僅愈來愈

3、多的受到人們的關(guān)注,而且已經(jīng)開始在各種不同的環(huán)境中發(fā)揮其關(guān)鍵作用。入侵檢測意味著檢測未經(jīng)許可的訪問和對一個系統(tǒng)或網(wǎng)絡(luò)的攻擊,它既能發(fā)現(xiàn)并且處理外部攻擊,又能發(fā)現(xiàn)并處理來自內(nèi)部的攻擊,在發(fā)現(xiàn)入侵后,會及時做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和告警等。在個人防火墻中將防火墻與入侵檢測技術(shù)結(jié)合起來,將更好的為用戶提供安全保護。 《帶入侵檢測的Linux個人防火墻的研究與實現(xiàn)》即以此背景立題開發(fā)研究。 本文對防火墻技術(shù)以及入侵檢

4、測技術(shù)進行了概述,重點討論了Linux下的防火墻及入侵檢測技術(shù),包括其基本原理、體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)包的攔截、檢測引擎如何對網(wǎng)絡(luò)數(shù)據(jù)包進行檢測,防火墻與入侵檢測的聯(lián)動。結(jié)合桌面操作系統(tǒng)用戶的需求,利用這兩項技術(shù)開發(fā)了Linux桌面系統(tǒng)的個人防火墻。 本文研究的關(guān)鍵技術(shù)、創(chuàng)新點和所做的工作如下: ●Netfilter是Linux內(nèi)核實現(xiàn)數(shù)據(jù)包過濾/數(shù)據(jù)包處理/NAT等的功能框架,本文討論了在此框架上如何實現(xiàn)防火墻,以及如何將

5、入侵檢測的功能融合進防火墻中。 ●使用iptables及Netfilter可進行數(shù)據(jù)包過濾,但在現(xiàn)實中由于其配置較復(fù)雜,iptables經(jīng)常被束之高閣。本文將介紹iptables防火墻規(guī)則以及通過工具配置規(guī)則,以幫助用戶高效的使用防火墻。 ●對進出網(wǎng)絡(luò)的數(shù)據(jù)包進行實時監(jiān)控,當(dāng)檢測到攻擊信息時及時通知用戶。攻擊信息會顯示在各列表中,同時還能將這些信息導(dǎo)出保存以作為證據(jù)提交給用戶的ISP。 ●檢測引擎是入侵檢測實現(xiàn)的

6、核心,準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo),前者主要取決于對入侵行為特征碼提煉的精確性和規(guī)則撰寫的簡潔實用性,后者主要取決于引擎的組織結(jié)構(gòu),是否能夠快速地進行規(guī)則匹配。到目前為止共有3066個可用的規(guī)則,并且還在不斷加入更多規(guī)則,同時提供規(guī)則描述語言,這種語言靈活而強大,以便用戶可以添加自己的檢測規(guī)則。 ●入侵檢測中所用到的檢測分析方法屬于誤用檢測(MisuseDetection),該方法對已知攻擊的特征模式進行匹配,包括進行協(xié)

7、議分析,以及對一系列數(shù)據(jù)包解釋分析特征。 ●入侵檢測能夠進行協(xié)議分析,內(nèi)容的搜索/匹配?,F(xiàn)在能夠分析的協(xié)議有TCP、UDP、ICMP、IP和ARP。能夠檢測多種方式的攻擊和探測,例如:緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測、探測操作系統(tǒng)指紋特征的企圖等等。 ●對于TCP攻擊,如果攻擊者使用一個程序每次發(fā)送只有一個字節(jié)的TCP包,完全可以繞過IDS檢測方法,可以對TCP包進行重組然后進行匹配,使得具備了對付上面這

8、種攻擊的能力。 ●入侵檢測構(gòu)件支持各種形式的插件、擴充和定制。目前有三類插件:預(yù)處理插件、檢測插件和輸出插件,它們包括數(shù)據(jù)庫日志輸出插件、破碎數(shù)據(jù)包檢測插件、端口掃描檢測插件、HTTPURInormalization插件、XML插件等。 ●整個應(yīng)用程序?qū)崿F(xiàn)了對GNOME-SESSION及國際化的支持。 該軟件的目標(biāo)就是為Linux桌面用戶提供一個簡沽實用,操作簡便界面友善的個人防火墻。具備通用防火墻的常規(guī)功能,并

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論