本文關(guān)鍵詞：基于行為特征的網(wǎng)絡(luò)異常檢測(cè)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

  更多相關(guān)文章： 網(wǎng)絡(luò)安全 入侵檢測(cè) 通信行為特征 規(guī)則描述語(yǔ)言

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)對(duì)于國(guó)家經(jīng)濟(jì)的發(fā)展和人民生活水平的提高越來越重要。然而,近年來全球互聯(lián)網(wǎng)絡(luò)安全威脅事件頻發(fā),計(jì)算機(jī)網(wǎng)絡(luò)不僅為我們帶來了便捷和高效的生活,同樣也帶來了各種各樣的安全問題。黑客利用多種入侵手段攻擊目標(biāo)主機(jī),通過防火墻攔截,安全訪問控制,對(duì)數(shù)據(jù)加密處理以及身份認(rèn)證等傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)也無法感知,靜態(tài)的防御體系已經(jīng)無法滿足當(dāng)前的安全需要。入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù),能夠?qū)崟r(shí)監(jiān)測(cè)被保護(hù)網(wǎng)絡(luò)。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術(shù)使得木馬難以被發(fā)現(xiàn),但木馬的通信過程均能呈現(xiàn)較固定和明顯的通信特征。相較于簡(jiǎn)單特征碼匹配技術(shù),基于通信行為特征的分析檢測(cè)技術(shù)在對(duì)木馬的檢測(cè)上更有優(yōu)勢(shì),且能夠發(fā)現(xiàn)潛在的、未知的網(wǎng)絡(luò)竊密行為和威脅,具有更廣闊的應(yīng)用前景。本文實(shí)現(xiàn)了一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)部署在企業(yè)網(wǎng)絡(luò)關(guān)口處,利用網(wǎng)絡(luò)通信中的行為特征進(jìn)行異常檢測(cè),保障企業(yè)網(wǎng)絡(luò)安全。本文基于TCP/IP協(xié)議棧對(duì)行為特征進(jìn)行分層提取,設(shè)計(jì)并實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)會(huì)話的多維特征集合,通過與規(guī)則庫(kù)進(jìn)行匹配從而發(fā)現(xiàn)異常行為。規(guī)則庫(kù)是嗅探入侵行為的關(guān)鍵,本文設(shè)計(jì)了一套規(guī)則描述語(yǔ)言為用戶提供強(qiáng)大的異常行為表示接口,可用于系統(tǒng)規(guī)則庫(kù)的快速構(gòu)建和更新,使系統(tǒng)能夠?qū)π鲁霈F(xiàn)的網(wǎng)絡(luò)攻擊行為及時(shí)響應(yīng)。另外由于系統(tǒng)部署在高速網(wǎng)絡(luò)環(huán)境下,本文基于零拷貝技術(shù)和多線程技術(shù),同時(shí)設(shè)計(jì)和實(shí)現(xiàn)快速查找算法以提高系統(tǒng)的統(tǒng)計(jì)和分析效率。使用Libnids、Libpcap等開源庫(kù)進(jìn)行系統(tǒng)數(shù)據(jù)包處理功能的快速開發(fā),并借鑒Libnids層次調(diào)用框架進(jìn)行系統(tǒng)插件化設(shè)計(jì),基于DPI的協(xié)議識(shí)別技術(shù)對(duì)應(yīng)用層協(xié)議的解析過程通過插件的方式進(jìn)行。本文設(shè)計(jì)實(shí)現(xiàn)的基于行為特征的網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)具備了模塊化、高性能、可擴(kuò)展、靈活性的特點(diǎn),經(jīng)測(cè)試系統(tǒng)表現(xiàn)出的準(zhǔn)確性、可用性和性能指標(biāo)等均具有實(shí)際應(yīng)用價(jià)值。該系統(tǒng)最終部署于企業(yè)網(wǎng)絡(luò)關(guān)口處,監(jiān)控流經(jīng)企業(yè)網(wǎng)絡(luò)的流量,對(duì)保障企業(yè)網(wǎng)絡(luò)安全具有重要的意義。
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
，

本文編號(hào)：1188174