基于IDS报警和rootkit的威胁溯源方法研究

摘要

随着互联网应用的普及和不断深入,网络威胁也给人们的工作和生活带来了重大挑战.为了应对这些挑战,给广大网民营造一个安全、可信的互联网环境,文章研究了威胁信息溯源问题,分析了现有威胁溯源方法存在的不足,从实践角度出发提出了一种基于入侵检测系统报警信息和rootkit的威胁溯源方案.文章设定了本方案的假设条件,如攻击者利用攻击包进行攻击；攻击者可能会发现自己正在被迫踪；攻击包的传输路径不唯一；路由器的内存和处理能力是有限的，且路由器不会被攻击等。并分析了该方案的可行性,指出了方案面临的挑战，即IDS误警率过。有研究显示，通过对IDS的报警信息进行过滤来提高检测准确度是可行的。