基于linux的入侵檢測(cè)系統(tǒng)與防火墻及其協(xié)作式工作的研究與設(shè)計(jì).pdf

1、隨著網(wǎng)絡(luò)應(yīng)用范圍的不斷擴(kuò)大，它在帶給人們極大便利的同時(shí)，也帶來(lái)了一個(gè)日益嚴(yán)峻的問(wèn)題一網(wǎng)絡(luò)安全問(wèn)題。為確保網(wǎng)絡(luò)安全，很多單位和個(gè)人都采用了入侵檢測(cè)、防火墻、防病毒軟件和流量監(jiān)控等二系列網(wǎng)絡(luò)安全組件。但僅僅依靠單一的網(wǎng)絡(luò)安全組件已經(jīng)難以滿足現(xiàn)有網(wǎng)絡(luò)安全的需要，必須把它們結(jié)合起來(lái)實(shí)現(xiàn)立體式深度防御的安全體系。 在此次研究中，將入侵檢測(cè)與防火墻協(xié)作工作以實(shí)現(xiàn)安全防御。入侵檢測(cè)基于開(kāi)源的Snort2.0，防火墻基于開(kāi)源代碼的Netfilt

2、er/Iptables。在系統(tǒng)中兩者協(xié)作工作來(lái)完成局域網(wǎng)的安全防護(hù)。此種方法能為受保護(hù)網(wǎng)絡(luò)提供更有效的入侵檢測(cè)及相應(yīng)的防護(hù)手段。 本文分析了目前流行的入侵手段和攻擊方式，介紹了通用入侵檢測(cè)模型以及入侵檢測(cè)系統(tǒng)的分類(lèi)。詳細(xì)闡述了入侵檢測(cè)軟件Snort的工作原理及工作流程，重點(diǎn)分析了Snort的數(shù)據(jù)采集過(guò)程和Snort的告警日志格式。接著討論了linux 2.6內(nèi)核防火墻套件Netfilter的機(jī)制，分析了Iptables的實(shí)現(xiàn)過(guò)程

3、和iptables的基本命令，研究了Iptables的擴(kuò)展性。在此基礎(chǔ)上構(gòu)建了Snort與Netfilter/Iptables協(xié)作式工作的框架。 該框架系統(tǒng)通過(guò)分析IDS產(chǎn)生的告警日志文件，統(tǒng)計(jì)各種入侵行為，動(dòng)態(tài)地修改防火墻策略。防火墻根據(jù)新的策略及時(shí)阻斷攻擊，這樣可以實(shí)現(xiàn)在沒(méi)有人工干預(yù)的情況下選擇適當(dāng)?shù)膶?duì)策對(duì)付攻擊，大大減少了漏洞被發(fā)現(xiàn)后系統(tǒng)暴露的時(shí)間。該框架分為協(xié)作初始化模塊、提取分析日志模塊、建立Snort_to_IPT結(jié)