基于linux的入侵检测系统与防火墙及其协作式工作的研究与设计

摘要

随着网络应用范围的不断扩大，它在带给人们极大便利的同时，也带来了一个日益严峻的问题一网络安全问题。为确保网络安全，很多单位和个人都采用了入侵检测、防火墙、防病毒软件和流量监控等二系列网络安全组件。但仅仅依靠单一的网络安全组件已经难以满足现有网络安全的需要，必须把它们结合起来实现立体式深度防御的安全体系。 在此次研究中，将入侵检测与防火墙协作工作以实现安全防御。入侵检测基于开源的Snort2.0，防火墙基于开源代码的Netfilter/Iptables。在系统中两者协作工作来完成局域网的安全防护。此种方法能为受保护网络提供更有效的入侵检测及相应的防护手段。 本文分析了目前流行的入侵手段和攻击方式，介绍了通用入侵检测模型以及入侵检测系统的分类。详细阐述了入侵检测软件Snort的工作原理及工作流程，重点分析了Snort的数据采集过程和Snort的告警日志格式。接着讨论了linux 2.6内核防火墙套件Netfilter的机制，分析了Iptables的实现过程和iptables的基本命令，研究了Iptables的扩展性。在此基础上构建了Snort与Netfilter/Iptables协作式工作的框架。 该框架系统通过分析IDS产生的告警日志文件，统计各种入侵行为，动态地修改防火墙策略。防火墙根据新的策略及时阻断攻击，这样可以实现在没有人工干预的情况下选择适当的对策对付攻击，大大减少了漏洞被发现后系统暴露的时间。该框架分为协作初始化模块、提取分析日志模块、建立Snort_to_IPT结构模块、生成防火墙规则模块、应用防火墙规则模块、定时更新失效规则模块六个模块。通过测试实验证明了该框架的检测和主动防御入侵的可行性。

目录

文摘

英文文摘

论文说明：图表目录

声明

第一章绪论

1.1网络安全现状研究

1.2网络安全主要防范技术

1.3本课题研究的内容和意义

1.4课题研究的章节安排

第二章入侵检测系统

2.1网络入侵手段

2.2入侵检测系统模型

2.3入侵检测系统的分类

2.3.1主机、网络和分布式检测

2.3.2误用入侵检测和异常入侵检测

第三章SNORT系统分析

3.1 SNORT的体系结构

3.1.1 Snort的主要部件

3.1.2 Snort的工作流程

3.2 SNORT的数据采集

3.2.1捕获函数库Libpcap

3.2.2 Snort的数据包捕获

3.3 SNORT规则解析

3.4 SNORT日志分析

3.4.1日志文件分析

3.4.2日志数据库分析

第四章Linux防火墙NETFILTER/IPTABLES

4.1 Linux内核防火墙结构

4.2 Netfilter的工作原理

4.3 IPTABLES应用研究

4.3.1 IPTABLES框架结构

4.3.2 IPTABLES基本命令

4.3.3 IPTABLES的使用

4.3.4 IPTABLES的可扩展性

第五章SNORT与NETFILTER/IPTABLES协作式工作研究

5.1协作式工作的必要性

5.2开发平台的选择

5.3协作式工作的总体框架

5.3.1设计思路

5.3.2主要功能

5.3.3系统拓扑结构

5.3.4总体架构设计

5.4主要模块及功能实现

5.4.1 Linux透明防火墙的实现

5.4.2启动进程

5.4.3协作初始化模块

5.4.4日志提取分析模块

5.4.5建立Snort_to_IPT结构模块

5.4.6生成防火墙规则模块与应用防火墙规则模块

5.5系统面临的主要瓶颈

5.6系统测试

5.6.1测试环境

5.6.2测试实验

第六章结论与未来工作

参考文献

致谢