網(wǎng)絡拓撲信息技術在NIDS中的應用研究.pdf

1、隨著網(wǎng)絡規(guī)模的不斷擴大和黑客攻擊手法的日益復雜，人們對于網(wǎng)絡安全的需求與日俱增。單純的防火墻無法防范復雜多變的攻擊，入侵檢測技術應運而生。網(wǎng)絡入侵檢測是一種動態(tài)安全防護技術。該技術通過監(jiān)視網(wǎng)絡或系統(tǒng)資源，尋找違反安全策略的行為或攻擊跡象，為網(wǎng)絡系統(tǒng)提供保護。市場上主流的入侵檢測系統(tǒng)(IDS)產品經常發(fā)出許多誤報，誤報往往掩蓋了真攻擊。在被測試的IDS產品中，有些產品在誤報重負下一再崩潰，而當真正攻擊出現(xiàn)時，有些IDS產品不能捕獲攻擊，而

2、另一些IDS產品的報告混雜在假警報中，很容易被錯過。 本文首先對傳統(tǒng)NIDS體系結構深入的研究分析，得出現(xiàn)有NIDS存在的問題，即：1.誤報漏報嚴重，信息量大、有效率低。2.報警信息較難區(qū)分重點。因此，NIDS的根本問題是“數(shù)據(jù)有效性低，針對性不強”。而造成這個結果的原因是NIDS對所處網(wǎng)絡環(huán)境了解太少，缺乏針對性。本文希望NIDS通過被動探測為主、手工輸入為輔的發(fā)現(xiàn)方式對所處網(wǎng)絡環(huán)境有更多的認識，在此基礎上對發(fā)生的報警信息有針

3、對性的處理，進而可以更加有效的工作。隨后介紹了一下“被動網(wǎng)絡特征發(fā)現(xiàn)”的研究情況，為NIDS的改進提供了理論支持。 本文使用Java語言設計了一個基于Web的網(wǎng)絡拓撲信息(NTI)獲取系統(tǒng)，構建了NTI分析器；采用“旗幟信息(Banner)識別服務軟件、操作系統(tǒng)”的方法對網(wǎng)絡拓撲進行認知，并創(chuàng)建了NTI數(shù)據(jù)庫。然后將NTl分析器、NTI數(shù)據(jù)庫應用到NIDSSnort中。改進后的NIDS實現(xiàn)了對所處網(wǎng)絡環(huán)境的拓撲發(fā)現(xiàn)功能，面對一條