基于Linux的主機(jī)入侵檢測系統(tǒng)設(shè)計.pdf

1、Internet蓬勃發(fā)展到今天,計算機(jī)已經(jīng)從獨立的主機(jī)發(fā)展到復(fù)雜、互連的開放式系統(tǒng),這給人們在信息利用和資源共享上帶來了很大的便利。由Internet來傳遞和處理各種生活信息,早已成為人們重要的溝通方式之一,隨之而來的各種攻擊事件與入侵手法更是層出不窮,引發(fā)了一系列安全問題。曾經(jīng)作為最主要的安全防范手段的防火墻,已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻及其有益的補(bǔ)充,IDS(入侵檢測系統(tǒng))能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,它擴(kuò)展

2、了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測作為一種積極主動的安全防護(hù)技術(shù),也越來越受到人們的關(guān)注。
　　 本文首先討論了網(wǎng)絡(luò)安全現(xiàn)狀,包括網(wǎng)絡(luò)安全問題、網(wǎng)絡(luò)安全目標(biāo)和網(wǎng)絡(luò)安全技術(shù)。接著對入侵檢測系統(tǒng)進(jìn)行了詳細(xì)地論述,包括發(fā)展歷史、研究現(xiàn)狀、相關(guān)定義和分類等各個方面的內(nèi)容。入侵檢測系統(tǒng)根據(jù)檢測的數(shù)據(jù)源可以分為基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),本文主要探討

3、了基于Linux的主機(jī)入侵檢測系統(tǒng)。通過將應(yīng)用程序的經(jīng)常調(diào)用的庫函數(shù)短序列構(gòu)造一個正常行為特征庫,以界定程序操作是否屬于正常行為特征庫內(nèi)的庫函數(shù)來判斷系統(tǒng)是否受到攻擊,我們認(rèn)為應(yīng)用這樣一個特征庫可以用于入侵檢測。
　　 本文的主要工作就是實現(xiàn)這種以庫函數(shù)調(diào)用作為數(shù)據(jù)源的,基于主機(jī)檢測的入侵檢測系統(tǒng),用于檢測來自內(nèi)部和外部的攻擊。這套入侵檢測系統(tǒng)主要由審計數(shù)據(jù)采集模塊、審計數(shù)據(jù)發(fā)送模塊、正常行為特征庫的建立和管理模塊,異常檢測模塊