基于LINUX下橋模式的入侵檢測(cè)系統(tǒng)的研究.pdf

1、隨著計(jì)算機(jī)及網(wǎng)絡(luò)的飛速發(fā)展，Internet擁有越來(lái)越多的用戶(hù)，計(jì)算機(jī)網(wǎng)絡(luò)安全成為人們面前一個(gè)非?，F(xiàn)實(shí)且不可回避的問(wèn)題。網(wǎng)絡(luò)用戶(hù)傳統(tǒng)上采用防火墻作為安全第一道防線(xiàn)，而隨著攻擊者知識(shí)的日趨成熟，攻擊工具和方法也日趨復(fù)雜，單單依靠防火墻已經(jīng)無(wú)法保護(hù)網(wǎng)絡(luò)安全，必須采用一種縱深、多樣的手段。在這樣的背景下，自上世紀(jì)九十年代以來(lái)，入侵檢測(cè)是一個(gè)非?；钴S的研究領(lǐng)域。入侵檢測(cè)系統(tǒng)(Intrusion Detection System)作為一種檢測(cè)針對(duì)

2、計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)非法攻擊使之免遭破壞的重要部件應(yīng)運(yùn)而生。 由于近年來(lái)網(wǎng)絡(luò)技術(shù)日新月異的發(fā)展，網(wǎng)絡(luò)上存在海量數(shù)據(jù)，使目前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)很難跟上網(wǎng)絡(luò)快速發(fā)展的步伐，傳統(tǒng)的入侵檢測(cè)方法面臨嚴(yán)峻挑戰(zhàn)。 本文首先介紹了入侵檢測(cè)系統(tǒng)的模型、分類(lèi)和工作原理以及所存在的問(wèn)題，然后深入研究了Linux內(nèi)核的網(wǎng)絡(luò)實(shí)現(xiàn)，分析了Linux2.4內(nèi)核的網(wǎng)絡(luò)接受瓶頸，介紹了Linux2.6內(nèi)核的網(wǎng)絡(luò)改進(jìn)。在此基礎(chǔ)上，本文設(shè)計(jì)一種了基于Linux

3、內(nèi)核橋模式的入侵檢測(cè)系統(tǒng)。有別于傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)旁路監(jiān)聽(tīng)的方式，該系統(tǒng)使用了橋模式的入侵檢測(cè)方式，對(duì)數(shù)據(jù)包的檢測(cè)在數(shù)據(jù)鏈路層進(jìn)行。系統(tǒng)還使用了Linux多線(xiàn)程編程技術(shù)，使得系統(tǒng)的檢測(cè)與防護(hù)工作分布在不同的CPU上執(zhí)行，以此達(dá)到數(shù)據(jù)包檢測(cè)快速、高效的目的。對(duì)該系統(tǒng)在真實(shí)網(wǎng)絡(luò)環(huán)境下進(jìn)行的正常訪問(wèn)及入侵測(cè)試試驗(yàn)表明：本文設(shè)計(jì)的基于Linux橋模式的入侵檢測(cè)系統(tǒng)達(dá)到了無(wú)漏報(bào)、快速、高效的效果，可以有效的檢測(cè)入侵，同時(shí)保障了對(duì)正常訪問(wèn)的響應(yīng)。