Linux環(huán)境下入侵檢測系統(tǒng)的研究和改進.pdf

1、隨著計算機網(wǎng)絡安全問題的不斷增加，網(wǎng)絡安全成為人們關注的焦點。目前，解決網(wǎng)絡安全問題的主要技術手段有加密技術、防火墻技術、安全路由器等，雖然完成大部分安全功能，但它們多采用靜態(tài)的安全策略，在防御網(wǎng)絡入侵方面具有一定的局限。入侵檢測系統(tǒng)通過動態(tài)探察網(wǎng)絡內的異常情況，及時發(fā)出警報，有效彌補了其他靜態(tài)技術的不足。 盡管入侵檢測技術近些年來已經(jīng)有了飛速的發(fā)展，從最早出現(xiàn)的基于主機的入侵檢測，到后來的基于網(wǎng)絡的入侵檢測，直到現(xiàn)在的將二者結

2、合的混合分布式入侵檢測系統(tǒng)，但隨著高速網(wǎng)絡的發(fā)展，又有新的問題不斷出現(xiàn)。其中非常重要的一個問題是傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)無法及時、有效的處理高速的網(wǎng)絡流量。本文主要的工作是Linux平臺下針對開發(fā)出來的原型系統(tǒng)，研究如何提高入侵檢測系統(tǒng)的數(shù)據(jù)包捕獲的效率，并通過Linux安全模塊提出了一種TCP狀態(tài)驅動入侵檢測機制。 論文首先論述了入侵檢測系統(tǒng)的模型和入侵檢測常用技術，然后對網(wǎng)絡入侵檢測系統(tǒng)原理進行了剖析。在此基礎上，對入侵檢測系

3、統(tǒng)的性能瓶頸進行了分析，得出數(shù)據(jù)包捕獲和規(guī)則匹配是入侵檢測系統(tǒng)的性能瓶頸的結論。為提高系統(tǒng)性能，本文基于Linux平臺，采用了中斷減輕機制和零拷貝技術對原型系統(tǒng)的數(shù)據(jù)包捕獲進行了改進。為測試改進后的性能，論文搭建了相應的實驗平臺，進行實驗測試。測試表明零拷貝技術和中斷減輕機制能有效提高網(wǎng)絡設備的數(shù)據(jù)包捕獲，提高了網(wǎng)絡的處理能力。改進后的系統(tǒng)的性能較原來的系統(tǒng)有了較大的提高，最后論文提出了一種基于Linux安全模塊的rcP狀態(tài)驅動入侵檢測