网络入侵检测系统与防御技术

摘要

近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标，对电子商务的热切需求，更加激化了这种入侵事件的增长。网络安全是一个系统的概念，有效的安全策略或方案的制定，是网络信息安全的首要目标。一方面当今社会对网络的依赖性日益增加，而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响，前者使得网络的结构，协议及应用日渐复杂，同时也造成社会对网络安全问题的可容忍程度逐步降低。
　　 增强系统安全的一种行之有效的方法是采用一个比较容易实现的安全技术，同时使用辅助的安全系统，对可能存在的安全漏洞进行检查，由于防火墙只防外不防内，并且很容易被绕过，所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线一入侵检测系统就被启用了。入侵检测技术是安全审计中的核心技术之一，是网络安全防护的重要组成部分。利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。入侵检测系统能在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击，减少入侵攻击所造成的损失。
　　 入侵检测作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务，由此成为安全领域的研究热点之一。
　　 本文从理论知识入手，给出入侵检测的相关概念、基本原理，介绍了入侵检测技术的分类、入侵检测系统的基本结构和功能等内容。然后分析了著名的网络入侵检测系统Snort，利用Snort软件和攻击软件Blade，搭建了一个基于Ubuntu平台的入侵检测系统，并对该实验环境针对各种研究需要进行改造或调整。加深理解了入侵检测系统的工作方式。对于组成入侵检测系统的各个模块，文章从分析数据包捕获、特征签名库的建立、协议解析、原始数据预处理、检测分析等几个关键环节，用具体的实例和实验说明完成这几方面工作所要使用的技术和必备理论知识。
　　 最后针对在许多领域都得到成功运用的集对分析理论，假定基于集对分析的入侵检测模型，借助标准数据集进行实验，相关实验表明将集对分析理论应用于入侵检测是可行有效的，同时对下一步继续要完成的研究工作做了计划和展望。

目录

文摘

英文文摘

CONTENTS

第一章 概述

1.1 相关概念

1.2 入侵检测系统的基本功能和作用

1.3 入侵检测系统的发展历程

1.4 入侵检测系统的分类

1.4.1 根据数据源分类

1.4.2 根据检测原理进行分类

1.4.3 根据入侵攻击的响应方式分类

第二章 入侵检测系统的技术原理

2.1 入侵检测系统的基本结构

2.2 通用入侵检测框架CIDF标准

2.3 入侵检测系统的局限性

2.4 用SNORT构建一个入侵检测系统

2.4.1 Snort简介

2.4.2 实验环境和基本配置

2.4.3 Snort的安装和配置过程

2.4.4 模拟攻防实验及分析

第三章 入侵检测系统中的关键技术

3.1 捕获数据包

3.1.1 Libpcap简介

3.1.2 Libpcap包捕获机制

3.2 特征签名库的建立

3.2.1 入侵特征的识别

3.2.2 构建特征库

3.2.3 创建攻击签名库

3.3 数据包解码

3.3.1 TCP/IP协议解析

3.3.2 协议解析的优势

3.4 原始数据预处理

3.4.1 数据预处理的作用

3.4.2 数据预处理的方法和功能

3.4.3 针对标准数据集KDD 1999的预处理方法

3.5 检测分析

第四章 基于集对分析理论的入侵检测模型

4.1 集对分析的基本理论

4.1.1 基本概念

4.1.2 联系度μ的结构、功能及确定方法

4.1.3 集对分析的常用方法和研究领域

4.2 入侵检测中的集对分析

4.2.1 集对分析在模式识别中的应用

4.2.2 集对分析在入侵检测技术中的应用

4.3 实验仿真及分析

4.3.1 实验数据说明

4.3.2 算法执行过程及结果分析

第五章 总结和展望

5.1 总结

5.2 展望

参考文献

致谢

学位论文评阅及答辩情况表