誤用與異常融合入侵檢測(cè)技術(shù)研究.pdf

1、隨著Internet的不斷發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也日益突出。IPv6作為Internet協(xié)議的下一版本，具有地址空間大，更強(qiáng)的移動(dòng)性和安全性等特點(diǎn)，將最終取代IPv4協(xié)議。但是，IPv6并不能完全解決網(wǎng)絡(luò)安全問(wèn)題。入侵檢測(cè)系統(tǒng)作為一種有效的網(wǎng)絡(luò)安全工具，依然能夠在IPv6環(huán)境下發(fā)揮極其重要的作用，因此對(duì)于IPv6網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究具有重要的意義。誤用檢測(cè)和異常檢測(cè)是主要的兩種入侵檢測(cè)技術(shù)，各有其優(yōu)缺點(diǎn)。誤用檢測(cè)對(duì)已知攻擊有較好的檢測(cè)率，

2、但需要隨時(shí)更新特征庫(kù)，且不能發(fā)現(xiàn)未知攻擊；異常檢測(cè)能發(fā)現(xiàn)未知攻擊，但誤報(bào)率和漏報(bào)率較高，難以投入實(shí)際的應(yīng)用。為解決以上問(wèn)題，本文進(jìn)行了如下研究：
　　 在研究誤用檢測(cè)技術(shù)的基礎(chǔ)上，對(duì)基于特征的Snort系統(tǒng)進(jìn)行了分析，并在此基礎(chǔ)上，實(shí)現(xiàn)了Snort向IPv6網(wǎng)絡(luò)環(huán)境的移植，包括IPv6協(xié)議的解析、IPv6分片重組、IPv6相關(guān)規(guī)則的編寫和IPsec的處理等相關(guān)技術(shù)，使得該系統(tǒng)能同時(shí)工作在IPv4和IPv6網(wǎng)絡(luò)中。
　　

3、在研究了異常檢測(cè)技術(shù)的基礎(chǔ)上，實(shí)現(xiàn)了基于馬爾可夫鏈的異常檢測(cè)算法，給出了利用馬爾可夫鏈對(duì)幾種常見(jiàn)協(xié)議類型的建模結(jié)果，包括TCP協(xié)議的FTP協(xié)議模型、HTTP協(xié)議模型、TELNET協(xié)議模型和TCP協(xié)議總體模型，UDP協(xié)議的DNS協(xié)議模型。
　　 在以上工作的基礎(chǔ)上，設(shè)計(jì)和實(shí)現(xiàn)了一種誤用檢測(cè)和異常檢測(cè)相結(jié)合的入侵檢測(cè)系統(tǒng)。給出了系統(tǒng)的總體設(shè)計(jì)方案和模塊設(shè)計(jì)：包括捕包模塊、協(xié)議解析模塊、預(yù)處理模塊、異常檢測(cè)模塊、規(guī)則匹配模塊和響應(yīng)模塊