文档介绍：重庆大学
硕士学位论文
城域网入侵检测系统的研究与设计
姓名:黄卓华
申请学位级别:硕士
专业:计算机技术
指导教师:李双庆;邓伟坚
20051001
重庆大学硕士学位论文中文摘要
摘要
随着计算机和网络技术在社会生活各方面应用的深入发展,计算机网络系统
的安全已成为计算机科学研究的热点。随着网络技术的发展及攻击者技术的日益
提高,单纯的防火墙已经不能满足安全需求,它无法控制内部网络用户和透过防
火墙的入侵者的行为。因此需要采用多方位,多式样的手段来保证网络安全。在
当前的网络安全技术中,IDS(Intrusion Detection System,入侵检测系统)无
疑是最热门的技术之一。入侵检测技术能检测出针对某一系统的入侵或入侵企图,
并实时作出反应。
本文提出了城域网入侵检测系统的实现研究。交换机、路由器等网络设备是
构成城域网的重要设备,许多网络瘫痪都与这些设备有关。特别是路由器,作为
互联网络的核心设备,是网络安全的前沿关口。城域网入侵检测系统就是专门加
强城域网核心部分安全性的一种入侵检测系统。本文设计的城域网入侵检测系统
模块包括以下六个模块:网络数据包捕获模块、数据处理模块、分类器、分析模
块、入侵规则库模块、入侵响应及控制模块。数据包捕获和处理模块主要是获取
流经城域网的网络流量,包括所有协议端口、所有子网主机的所有交互数据,采
用 Sniffer Flow 技术相结合的办法,并以 Linux 为开发平台、以 Perl
语言为开发工具、Flow 格式。分析模块将定时
Flow 数据文件,自动生成报表。这些报表主要产生城域
网中各 IP 地址的流量和各种应用类型的流量报告;基于流量报告的基础,还可以
根据需要做出趋势报告,即特征数据的时序分析。同时,为了保证入侵检测的实
时性和准确性,本文提出城域网入侵检测系统的检测部分采用分层式数据分析,
将第一层的模式匹配分析方法和第二层的数据挖掘技术相结合,来保证入侵检测
系统的实时性和准确性。本文在设计入侵响应控制系统时,根据对传统响应系统
的分析,提出了相应的改进方案,以适应当前安全技术的发展趋势。
关键词:入侵检测系统,Flow,城域网,模式匹配,数据挖掘
I
重庆大学硕士学位论文英文摘要
ABSTRACT
Security work systems is ing increasingly important as more, and
more sensitive information is being stored and manipulated addition to
intrusion prevention techniques,such as user authentication,avoiding programming
errors,and information protection,intrusion detection is often used as another wall to
work systems.
In this paper,we present the design and part of implementation of Intrusion
Detection System for MAN(Metropolitan work) intrusion
Detection System has six parts logically: Information Collection Unit,Data
Preprocessing Unit,Analysis & Intrusion Detection Unit,Information Database,
classifier,and Response & Control Information Collection,we use Cisco’s
NetFlow technology or Sniffer to timely get data Flow allows
extremely granular and accurate traffic measurements and high-level aggregated
traffic collection. Data Preprocessing Unit is used to convert all of audit data into
NetFlow format Flow data,it reports the traffic