本文關(guān)鍵詞：基于行為特征的網(wǎng)絡(luò)異常檢測平臺的設(shè)計與實現(xiàn)

  更多相關(guān)文章： 網(wǎng)絡(luò)安全 入侵檢測 通信行為特征 規(guī)則描述語言

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,計算機網(wǎng)絡(luò)對于國家經(jīng)濟的發(fā)展和人民生活水平的提高越來越重要。然而,近年來全球互聯(lián)網(wǎng)絡(luò)安全威脅事件頻發(fā),計算機網(wǎng)絡(luò)不僅為我們帶來了便捷和高效的生活,同樣也帶來了各種各樣的安全問題。黑客利用多種入侵手段攻擊目標主機,通過防火墻攔截,安全訪問控制,對數(shù)據(jù)加密處理以及身份認證等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)也無法感知,靜態(tài)的防御體系已經(jīng)無法滿足當(dāng)前的安全需要。入侵檢測技術(shù)作為一種積極主動的安全防護技術(shù),能夠?qū)崟r監(jiān)測被保護網(wǎng)絡(luò)。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術(shù)使得木馬難以被發(fā)現(xiàn),但木馬的通信過程均能呈現(xiàn)較固定和明顯的通信特征。相較于簡單特征碼匹配技術(shù),基于通信行為特征的分析檢測技術(shù)在對木馬的檢測上更有優(yōu)勢,且能夠發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)竊密行為和威脅,具有更廣闊的應(yīng)用前景。本文實現(xiàn)了一個網(wǎng)絡(luò)入侵檢測系統(tǒng)部署在企業(yè)網(wǎng)絡(luò)關(guān)口處,利用網(wǎng)絡(luò)通信中的行為特征進行異常檢測,保障企業(yè)網(wǎng)絡(luò)安全。本文基于TCP/IP協(xié)議棧對行為特征進行分層提取,設(shè)計并實現(xiàn)一個網(wǎng)絡(luò)會話的多維特征集合,通過與規(guī)則庫進行匹配從而發(fā)現(xiàn)異常行為。規(guī)則庫是嗅探入侵行為的關(guān)鍵,本文設(shè)計了一套規(guī)則描述語言為用戶提供強大的異常行為表示接口,可用于系統(tǒng)規(guī)則庫的快速構(gòu)建和更新,使系統(tǒng)能夠?qū)π鲁霈F(xiàn)的網(wǎng)絡(luò)攻擊行為及時響應(yīng)。另外由于系統(tǒng)部署在高速網(wǎng)絡(luò)環(huán)境下,本文基于零拷貝技術(shù)和多線程技術(shù),同時設(shè)計和實現(xiàn)快速查找算法以提高系統(tǒng)的統(tǒng)計和分析效率。使用Libnids、Libpcap等開源庫進行系統(tǒng)數(shù)據(jù)包處理功能的快速開發(fā),并借鑒Libnids層次調(diào)用框架進行系統(tǒng)插件化設(shè)計,基于DPI的協(xié)議識別技術(shù)對應(yīng)用層協(xié)議的解析過程通過插件的方式進行。本文設(shè)計實現(xiàn)的基于行為特征的網(wǎng)絡(luò)異常檢測系統(tǒng)具備了模塊化、高性能、可擴展、靈活性的特點,經(jīng)測試系統(tǒng)表現(xiàn)出的準確性、可用性和性能指標等均具有實際應(yīng)用價值。該系統(tǒng)最終部署于企業(yè)網(wǎng)絡(luò)關(guān)口處,監(jiān)控流經(jīng)企業(yè)網(wǎng)絡(luò)的流量,對保障企業(yè)網(wǎng)絡(luò)安全具有重要的意義。
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.08
，

本文編號：1188174