文档介绍：哈尔滨理工大学
硕士学位论文
高速网络环境下的网络入侵检测系统设计
姓名:赵刚
申请学位级别:硕士
专业:计算机应用技术
指导教师:乔佩利
20050301
高速网络环境下的网络入侵检测系统设计摘要入侵检测系统是一种软件与硬件的结合,它通过分析网络或主机上发生的事件来发现其中的安全隐患。随着近几年网络攻击的事故频频出现,影响范围越来越广泛,入侵检测系统得到越来越多的重视,成为网络安全方案的重要组成部分。基于网络的入侵检测系统以网络数据作为原始的数据源,实时的分析网络上的通信。与基于主机的入侵检测相比,基于网络的入侵检测系统已经成为入侵检测的主流。但是随着网络带宽飞速增长,基于网络的入侵检测系统面临许多的困难。本文设计了一种高速网络环境下的网络入侵检测系统。该系统采用了新的设计,克服了以往系统在高速网络环境下面临的缺陷,提高了入侵检测的速度。本文用零拷贝的思想改进了传统的“抓包”方式;改进了传统的算法,结合算法的思想提出了多模匹配算法来解决上层处理的瓶颈。改进的协议分析技术承接了上下两部分的工作,加快了检测的速度降低了误报率。同时对嬖蚩獾墓嬖蚍治瞿?,通过与传统系统的性能比较,证明该系统能够适应高速网络环境下入侵检测的要求。关键词入侵检测:零拷贝:协议分析:模式匹配
曲一;堕玺鎏塞三銮兰三耋堡圭耋堡鲨苎,—,甌,—甀.—瑆瑃甈’,;..
第滦髀课题背景济有效的方式就是在网络边缘加装安全装置,对网络进行监控和过滤。在这些来,然后交给分析处理部分。分析处理部分可能是网络管理员,也可能是一段程序。信号采集部分最理想的设计是实时的监控网络数据,并将其中需要的部据信号采集部分传来的数据通过一定的高级逻辑或者算法来进行相应的处理,确保各种的安全漏洞远离主机是当今网络安全的最理想的解决方案,最经网络安全装置中最简单的方式莫过于加防火墙,防火墙拥有一张网络数据包能否通过的清单。但是即使是在有防火墙的情况下,也不能阻止那些未授权的用户的攻击和合法用户滥用职权的可能性。典型的攻击包括非授权的更改文件,在未授权的情况下使用系统账号【。为了补充防火墙系统的不足,一种与之相关的网络入侵检测技术随之产生。入侵检测是工作在入侵者行为明显有异于合法用户行为的基础上的。基于网络的入侵检测通过分析入侵者发送的含有异常行为的数据包来进行入侵判断,从外界来的全部数据都要被检测系统监视。如果某一种异常的行为被检测到,检测系统将会使用与防火墙类似的方式来拒绝这种入侵访问。与单纯的防火墙模式不同,检测系统不寻求避免所有的攻击,只是通过快速检测这些攻击然后做出相应反映。进行实时的网络通信分析是非常困难的,实际上现在的系统是通过统计或者基于规则的人工智能系统去解决这个问题】。当今最流行的系统是将这一过程分成两个部分葱藕挪杉糠和分析处理部分。信号采集部分的目标是将一系列异常活动从网络数据中裁减出分筛选出来。在本文中信号的采集部分将作为研究的重点。对于分析处理部分,他将根然后产生报警信息。这些报警信息可能被传给某些人员,或者是其他的事件分析器,或者是一个能够进行应急处理的系统。同时,随着屯ㄐ偶际醯姆⒄梗绱矸伤僭龀ぃ按砦藜限”的说法已经不仅是一种遥不可及的假设。正如美国旧金山公司的技术与电信业务部主管文斯胁冀鹚担骸巴绱渌俾侍岣叩慕龋1任⒋哈尔滨理工大学工学硕士学位论文
入侵检测系统发展现状⒄辜蚴逐渐成为各种网络安全应用的瓶颈,往往需要机群来处理大量的网络数据,同检测的软件与硬件的组合便是入侵检测系统是仅仅试图发现计算机网络中的安全问题,要解决安全问题还需要其他的网络安全技术,如借助防火墙封锁等等。它是网络安全技术中不可或缺的一部在众多安全技术中,入侵检测是一门相对年轻的技术。这个概念提出已经最早在这篇文章中提出了一个很有用的概念——即审理器快得多。”年砥鞲胀瞥鍪保谄滴,而现在内频为闏内频提升了倍。但是,中国互联网络信息中心⒉嫉牡沃泄チM鞑楸ǜ姹砻鳎航刂沟日,我国国际出口带宽的总容量为,与半年前相比增加了,,昙涮岣吡倍。带宽的飞速增长,导致传统的入侵检测系统对于网络数据包的捕获和处理时急需一种能够适应高速网络环境的入侵检测系统。入侵检测嗣家澹词嵌匀肭中形5姆⒕酢它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵,简称。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须能将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。与其他安全技术一样,入侵检测只分,也是对其他安全技术的一个补充。余年但是直到近年才又