基于三維規(guī)則解析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、入侵檢測(cè)系統(tǒng)是保護(hù)網(wǎng)絡(luò)安全和主機(jī)安全的主要手段之一。本文在分析入侵檢測(cè)技術(shù)發(fā)展現(xiàn)狀的基礎(chǔ)上，深入研究了入侵檢測(cè)系統(tǒng)中使用的協(xié)議分析技術(shù)和規(guī)則解析方法，并在此基礎(chǔ)上設(shè)計(jì)和實(shí)現(xiàn)了—基于Linux的輕量級(jí)入侵檢測(cè)系統(tǒng)MINIIDS。 本文在Linux平臺(tái)下實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)入侵檢測(cè)檢測(cè)系統(tǒng)MINIIDS。該系統(tǒng)遵循CIDF標(biāo)準(zhǔn)，包括數(shù)據(jù)包捕獲、協(xié)議分析、顯示存儲(chǔ)、規(guī)則解析、入侵檢測(cè)和響應(yīng)6個(gè)模塊，數(shù)據(jù)包捕獲模塊基于開(kāi)源數(shù)據(jù)包捕獲平臺(tái)Lib

2、pcap進(jìn)行，協(xié)議分析模塊能夠提供數(shù)據(jù)包的2—7層協(xié)議分析，在對(duì)數(shù)據(jù)包協(xié)議異常的分析基礎(chǔ)之上進(jìn)行入侵檢測(cè)。重點(diǎn)分析了IP，ARP，TCP，UDP和ICMP五種協(xié)議，數(shù)據(jù)存儲(chǔ)模塊使用Mysql數(shù)據(jù)庫(kù)存儲(chǔ)經(jīng)協(xié)議分析后的數(shù)據(jù)信息，具有良好的通用性。 在分析目前網(wǎng)絡(luò)攻擊方法和網(wǎng)絡(luò)入侵檢測(cè)的規(guī)則解析方法的基礎(chǔ)上，設(shè)計(jì)規(guī)則解析模塊的三維鏈表數(shù)據(jù)結(jié)構(gòu)，將規(guī)則庫(kù)中所有規(guī)則按類(lèi)別添加到三維鏈表的相應(yīng)位置。該數(shù)據(jù)結(jié)構(gòu)能夠節(jié)約網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)規(guī)則組織