论文部分内容阅读
随着互联网的迅猛发展,网络安全威胁日益增长,网络攻击的破坏性愈发严重,单纯的防火墙无法防范复杂多变的攻击,入侵检测技术应运而生。网络的入侵检测系统NIDS是入侵检测系统IDS的一种实现方式,它有着相对更好的应用前景。作为网络安全体系的重要组成部分,入侵检测系统应成为安全保障的必备工具,但是实际上使用情况并不好。作者希望可以通过本文提出一些NIDS改进的思路,解决现有NIDS的问题,让其发挥更大的作用。 本文首先对传统NIDS体系结构深入的研究分析,得出现有NIDS存在的问题,即: 一、误报漏报严重,信息量大、有效率低。 二、报警信息较难区分重点。 归结起来,NIDS的根本问题是“数据有效性低,针对性不强”。而造成这个结果的原因是NIDS对所处网络环境了解太少,缺乏针对性。本文希望NIDS通过被动探测为主、手工输入为辅的发现方式对所处网络环境有更多的认识,在此基础上对发生的报警信息有针对性的处理,进而可以更加有效的工作。随后介绍了一下“被动主机特征发现”的研究情况,为NIDS的改进提供了理论支持。 根据“NIDS知道的更多,就可以做的更好”的原则,本文基于开源的NIDS产品Snort,设计了新的nids原型系统的架构并予以实现,达到了改进的目的。改进NIDS主要围绕着网络环境信息NEI展开的,它描述了NIDS所处的网络各种相关信息,体现了NIDS对当前网络情况的认知和把握。通过对网络环境信息NEI的描述、获取和维护,以及对NEI的利用,实现改进的目的。改进后的NIDS实现了对所处网络环境的发现功能,面对一条发生的入侵攻击,可以比对“有针对的入侵规则”和此攻击对象的特征信息,在此基础上判断入侵是否有效,并在反馈给用户报警信息中体现出来。 最后,本文通过对改进NIDS的测试评价,试验证明了这种设计思路是正确可行的,并分析了本文的取得的成绩和存在的问题,对课题的总体情况加以总结,把一些想到但是没有实现的一些思路提出来,展望一下未来的工作。 综上,本文是通过对现有的NIDS分析,认识到存在的根本问题是“数据有效性低”,并提出、实现了一些粗略的改进想法,作为一种探索研究,希望能有起到打开思路、抛砖引玉的作用。