IDS数据的收集与过滤

来源 :内蒙古大学 | 被引量 : 6次 | 上传用户:BrokenDoor
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着互联网技术的飞速发展,网络安全变得日益重要和复杂。入侵检测系统(IDS)是一种主动的网络安全防御措施,能有效地弥补防火墙的不足,是继防火墙后的第二道安全防线。 论文主要针对入侵检测系统中的数据收集,探讨了多源异构数据的收集、整理和辨别的方法,设计并实现了一个入侵检测系统。 本文分析了多种来源的、不同结构的数据,将其总结成登录信息、事件信息和网络数据包信息三种类型,并为每种类型的数据设计了固定的格式;为了与将来可能出现的新型数据兼容,采用了配置文件与模式字符串相结合的方法,设计并实现了数据格式标准化算法;由于收集到的数据中存在冗余的信息和对入侵检测影响不大的信息,本文分别讨论了冗余数据辨别规则和安全数据辨别规则,并建立起数据过滤规则库;数据收集系统采用分布式设计,收集器以黑盒形式提供,对新的数据源只需设计一个新的模式字符串,即可得到过滤后的、具有标准格式的数据,各收集器间独立工作;在收集点即对数据进行过滤,只向分析中心报告可疑数据,以减少传输和存储的数据量,降低对网络性能的影响。 IDS数据收集系统是在Linux下利用C语言编写完成的,对Linux的系统日志、Apache日志、网络数据包进行收集并加以过滤,过滤后的数据传给分析中心,存入MySQL数据库中。 内蒙古人学硕士学位论文 目前的入侵检测研究主要集中在分析哪些数据能揭露入侵行为,本文从减少数据量的角度对数据进行分析,过滤掉冗余的和安全的数据,只上报可疑的数据,降低了网络传输量。冗余规则有:1.某一用户退出时间与下一次登录时间间隔小于一分钟,这两条登录记录并为一条;2.从主机登录的用户登录记录有两条,只保留一条;3.Messages中的登录信息,略去。4.单位时间内源IP:端口一>目的IP:端口的相同协议的包,合并为一条记录,保留时间范围和包的数目。安全规则有:1.root用户的所有活动记录;2.指定用户的特定活动;3.reboot事件;4.系统内核的活动。IDS数据收集系统从数据源获得数据后,首先把数据转换成标准格式,然后按照过滤规则进行检测,如果满足某一条规则,则把此条数据删除或将其与相关的数据融合。本文实现的算法虽然以Limix为平台,但也适用于其他操作系统。C语言的可移植性决定了实现的数据收集系统可在多种操作系统上运行。
其他文献
作为“数字地球”的一部分,“数字海底”的建设被列为“十五”期间国家“863”计划课题,而作为课题重要组成部分的“数字海底”WebGIS的研发是本课题的难点之一,也是课题实现的
嵌入式系统是一种将底层硬件、实时操作系统和应用软件相结合的专用计算机系统,在经济社会和人们的日常生活中得到了越来越广泛的应用.嵌入式系统的研究与开发已成为现代电子
本论文针对自动化领域监控系统中存在的工业控制计算机价格较高、设备笨重等问题,提出将嵌入式系统引入到工业监控领域,设计了基于OPC的嵌入式XML服务器的架构并给出了实现方
随着Internet的飞速发展,如何简便、高效地实现一到多的组通信服务成为研究热点。IP组播虽然是组通信中最有效的实现机制,但由于其自身缺陷与网络支持等问题,目前仍不能在广
Linux 作为一款优秀的免费操作系统,有着其独特的优势。近年来已得到国内外通讯设备制造商的高度重视,并已开发出基于嵌入式Linux 的通讯设备与智能手机终端。经过长期的发展
分布对象技术已成为分布异构环境下应用集成和开发的主流技术和计算范型。将传统的CORBA技术应用到Web环境下,充分利用两者的优势,能够为分布式Web计算带来高效率。 本文深
本文论述了对CCL图像进行图像预处理、缺陷分离、特征值提取和分类识别的应用特点与解决方法,提出了基于边缘特征的多灰度级的多目标分割方法,以及提高大容量图像处理速度的硬
近年来随着嵌入式系统的迅猛发展,移动计算模式的兴起,特别是各种新型的消费类手持设备的流行,一种全新的数据库产品——嵌入式数据库系统应运而生.嵌入式数据库系统是运行在
随着计算机网络的发展与应用的日益普及,网络的安全问题也日益突出,主要表现为网络中的信息传输安全和存储安全。特别是存储的应用信息和管理信息(如系统软件等),经常遭受恶意或非
随着计算机网络的迅速发展,目前的网络规模极为庞大和复杂,基于网络的应用急剧增长。网络互联环境越复杂,就意味着网络服务越容易出现问题,网络的性能越容易受到影响。为了给用户