Windows分布式入侵检测与攻击源追踪系统

摘要

网络安全是没有硝烟的高科技数字战场.消极防御只能被动挨打,单纯依靠封堵现有的系统漏洞不能从根本上解决信息安全问题.目前网络安全技术如:基于访问控制的防火墙、基于密码学的加密、数字签名认证技术、VPN、病毒检测技术等,无法从根本上适应计算机网络攻防的动态性、对抗性、不确定性以及攻防不对称性的特点.于是,入侵检测技术应运而生.入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵.该文从入侵检测技术入手,详细分析了入侵检测系统的警报信息量过大,误报警多的产生原因,并提出降低误警的技术途径.现有的入侵检测系统侧重于攻击的发现与防范,尽管可以检测到大多数基于网络的攻击,但均不能提供对攻击者真正来源的追踪.该文对现有的网络攻击源追踪技术进行分析,并结合现有的入侵检测技术提出了网络攻击源追踪系统的模型,阐述了该系统的体系结构和各部分主要功能.最后,设计了一个完整的Windows平台下分布式入侵检测与攻击源追踪系统的体系结构和功能模块并部分实现.

目录

文摘

英文文摘

第1章绪论

1.1安全需求与困惑

1.2本文研究思路

1.3论文的结构与章节安排

第2章入侵检测技术

2.1使用入侵检测的理由

2.2入侵检测系统概述

第3章入侵检测误警率分析

3.1入侵检测误警分析

3.1.1入侵检测技术的局限

3.1.2资源及处理能力的局限

3.1.3入侵检测系统的不当配置

3.1.4入侵检测系统的报警方式

3.1.5缺乏有效的事件风暴处理策略

3.2网络入侵检测误警分析

3.2.1网络环境的局限

3.2.2系统本身的脆弱性

3.3主机入侵检测误警分析

3.3.1系统资源的局限

3.3.2操作系统的局限

3.4降低入侵检测误警率的技术途径

3.4.1智能入侵检测方法

3.4.2数据融合技术

3.4.3数据挖掘技术

3.4.4网络安全产品协同

3.4.5全局数据结构

3.4.6安全管理与网络管理统一融合

3.5本章小结

第4章网络攻击源追踪技术

4.1攻击源追踪技术概述

4.2攻击源追踪技术

4.3针对DDOS攻击的攻击源追踪技术

4.4追踪技术在入侵检测中的应用

4.5本章小结

第5章Windows分布式入侵检测与攻击源追踪系统

5.1系统总体设计

5.1.1系统需求分析

5.1.2系统工作原理

5.1.3系统体系结构

5.1.4数据库总体设计

5.1.5开发工具选择

5.2检测引擎模块

5.2.1核心检测引擎模块组成

5.2.2核心检测引擎模块调用

5.3控制中心模块

5.4网络攻击源追踪模块

5.4.1单个共享网段

5.4.2可控的或相对封闭的网络系统(数个共享网段)

5.5辅助功能模块

5.5.1阻断功能模块

5.5.2主机监控模块

5.5.3辅助攻击源追踪工具

5.6系统测试

5.6.1测试环境

5.6.2 CGI攻击测试

5.6.2 SYN Flooding攻击测试

5.6.3攻击源追踪

5.6.3测试结果及系统评价

第6章总结与展望

6.1工作总结

6.2工作展望

致谢

参考文献

攻读硕士学位期间发表的论文