NIDS动态负载平衡策略的研究与设计

大连海事大学硕士学位论文NIDS动态负载平衡策略的研究与设计姓名：胡静申请学位级别：硕士专业：计算机应用技术指导教师：李志淮20080301NIDS动态负载平衡策略的研究与设计作者：胡静学位授予单位：大连海事大学相似文献(10条)1.学位论文邱浩带入侵检测的Linux个人防火墙的研究与实现2006当越来越多的公司及政府部门将其核心业务向互联网转移的时候，网络安全作为一个无法回避的问题呈现在人们面前。传统上，公司及政府部门一般采用防火墙作为其安全防线，而随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。致命的原因就是防火墙不是“智能”的。防火墙只能做到允许或者阻止某地址向某地址的特定端口，但是对于针对开放端口的攻击，防火墙就鞭长莫及了。其次，防火墙完全不能阻止来自内部的袭击。而通过调查发现，50％的攻击都来自于内部，对于公司及政府部门内部心怀不满的员工来说，防火墙形同虚设。再者，由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于现在层出不穷的攻击技术来说，这显然是致命的弱点。第四，防火墙对于病毒也束手无策。因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。网络的防卫必须采用一种纵深、多样的手段，在这种环境下，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥其关键作用。入侵检测意味着检测未经许可的访问和对一个系统或网络的攻击，它既能发现并且处理外部攻击，又能发现并处理来自内部的攻击，在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和告警等。在个人防火墙中将防火墙与入侵检测技术结合起来，将更好的为用户提供安全保护。《带入侵检测的Linux个人防火墙的研究与实现》即以此背景立题开发研究。本文对防火墙技术以及入侵检测技术进行了概述，重点讨论了Linux下的防火墙及入侵检测技术，包括其基本原理、体系结构、网络数据包的拦截、检测引擎如何对网络数据包进行检测，防火墙与入侵检测的联动。结合桌面操作系统用户的需求，利用这两项技术开发了Linux桌面系统的个人防火墙。本文研究的关键技术、创新点和所做的工作如下：●Netfilter是Linux内核实现数据包过滤/数据包处理/NAT等的功能框架，本文讨论了在此框架上如何实现防火墙，以及如何将入侵检测的功能融合进防火墙中。●使用iptables及Netfilter可进行数据包过滤，但在现实中由于其配置较复杂，iptables经常被束之高阁。本文将介绍iptables防火墙规则以及通过工具配置规则，以帮助用户高效的使用防火墙。●对进出网络的数据包进行实时监控，当检测到攻击信息时及时通知用户。攻击信息会显示在各列表中，同时还能将这些信息导出保存以作为证据提交给用户的ISP。●检测引擎是入侵检测实现的核心，准确性和快速性是衡量其性能的重要指标，前者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用性，后者主要取决于引擎的组织结构，是否能够快速地进行规则匹配。到目前为止共有3066个可用的规则，并且还在不断加入更多规则，同时提供规则描述语言，这种语言灵活而强大，以便用户可以添加自己的检测规则。●入侵检测中所用到的检测分析方法属于误用检测(MisuseDetection)，该方法对已知攻击的特征模式进行匹配，包括进行协议分析，以及对一系列数据包解释分析特征。●入侵检测能够进行协议分析，内容的搜索/匹配。现在能够分析的协议有TCP、UDP、ICMP、IP和ARP。能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。●对于TCP攻击，如果攻击者使用一个程序每次发送只有一个字节的TCP包，完全可以绕过IDS检测方法，可以对TCP包进行重组然后进行匹配，使得具备了对付上面这种攻击的能力。●入侵检测构件支持各种形式的插件、扩充和定制。目前有三类插件：预处理插件、检测插件和输出插件，它们包括数据库日志输出插件、破碎数据包检测插件、端口扫描检测插件、HTTPURInormalization插件、XML插件等。●整个应用程序实现了对GNOME-SESSION及国际化的支持。该软件的目标就是为Linux桌面用户提供一个简沽实用，操作简便界面友善的个人防火墙。具备通用防火墙的常规功能，并且力求做到尽可能低的占用系统资源，不妨碍用户正常操作利系统的正常行为，保护用户安全使用网络资源，抵御各种网络攻击和入侵，如DDOS攻击、木马注入或IP扫描攻击，并在发生攻击或入侵行为时，准确及时的报警并自动采取相应的措施。本论文的软件已在共创Linux2005桌面操作系统中使用。论文工作期间，作者已在《微机发展》、《网络安全技术与应用》等学术刊物上发表论文2篇2.期刊论文李玉君.LIYu-jun基于联动模式的防火墙和入侵检测-电脑知识与技术2009,5(3)由于网络的迅速发展攻击的水准也在提高,网络安全便成了首要话题.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生.基于联动模式的优势在于将入侵检测置于防火墙的保护范围之中,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断.入侵检测与防火墙联动可以大大提高整体防护性能.该文分析了防火墙和入侵检测的各自优缺点,对它们联动具体实现做出了描述.3.学位论文王镭防火墙与入侵检测联动响应策略研究及系统实现2008随着计算机网络的发展，网络安全问题已经成为信息化建设的一个核心问题。防火墙和入侵检测是目前使用最为广泛的两种技术，它们分别代表了传统网络安全的静态技术和动态技术。如何实现“动”“静”结合，关联互动的安全体系，已成为网络安全一个新的发展方向。因此联动技术应运而生，并成为目前国内外研究的焦点和热点。而现有的联动技术都存在着资源利用率低，误报率高等问题，成为联动技术进一步发展的瓶颈。本文的重点就是研究防火墙和入侵检测的联动技术，提出了联动响应策略的优化算法。本文采用联动模块来进行防火墙模块与入侵检测模块之间的信息传递。联动模块作为整个系统的核心，需要对报警进行分析、处理，制定、调整相关安全策略，发出响应命令。系统通过分析入侵检测模块性能，得到入侵检测性能参数，并对响应损失进行分析，在此基础上对响应策略的选择进行优化，实现以最小的代价换取最大的安全的目标。提高报警的准确率和减少误报率，减少安全组件间的通信流量。解决了防火墙与入侵检测联动技术中资源利用率低，数据传输速度慢，误报率、漏报率高等问题。在此基础上，本文实现了防火墙与入侵检测联动系统，防火墙模块采用Linux2.4系统中Netfilter防火墙框架结构，入侵检测模块采用分布式入侵检测系统。联动模块由分析、响应策略、数据交换三大部分组成。入侵发生时，系统入侵检测模块产生报警信息，经联动模块分析参数，制定响应策略后，由防火墙采取相应措施，有效的实现了动静结合的整体安全结构。最后本文对系统进行了实验测试，实验结果表明本系统能够针对不同的攻击产生自动响应，成功率高且具有一定的自适应能力。4.期刊论文田密.史维峰.张瑞利用防火墙和入侵检测构建校园网安全模型-延安大学学报（自然科学版）2008,27(4)Internet的普及应用,高度发达的网络中,网络安全成为一个非常重要的问题,校园网作为网络的一个重要组成部分也不可避免地面临着威胁.防范网络攻击目前最常用的方法就是防火墙和入侵检测,由于缺少统一的通信标准,现有安全产品往往各自为政,没能形成一个统一的整体.为了解决这一问题,防火墙联动技术正渐渐成为网络安全领域的一个新兴课题.本文根据防火墙和入侵检测的原理,提出在校园网中部署防火墙和入侵检测技术相结合的方案以解决校园网的网络安全问题,最后设计了一种针对这种联动技术的安全模型,并对具体通信关键技术进行了研究.5.学位论文张少伟分离机制下入侵检测与防火墙应用研究2009随着以网络为中心的信息时代的来临，互联网在短短几十年内以迅猛的发展速度，带动了整个社会的巨大进步。近年来接入终端的数量急剧扩大，互联网也从单纯的静态接入向移动接入发展。由此带来复杂环境下互联网的应用问题和网络安全问题。分离机制网络以主机身份与位置分离为设计思想，将互联网体系划分为接入网与核心网两大部分，很好地解决了互联网的扩展性及移动性。但是新网络体制下的安全研究还没有得到重视。在新的网络机制下，如何应用入侵检测系统和防火墙系统，及时发现入侵行为，并实时做出有效响应，保证接入网和核心网的安全，有着重要的研究意义。本文以此为背景，研究分离机制网络的接入网安全问题，提出了分离机制下入侵检测系统和防火墙系统的应用方案，并对该方案进行具体实现和验证。文章首先对分离机制网络技术、入侵检测与防火墙技术具体理论进行概述。在此基础上深入分析了分离机制下接入网的安全优势和问题。在对分离机制网络、入侵检测和防火墙系统进行分析理解之后，通过对可能的入侵行为分析，从若干方案讨论中得出分离机制接入网的安全增强方案：基于网络入侵系统检测接入网入侵行为、防火墙控制接入网通信流量，IDS与防火墙联动实时阻断接入网严重入侵行为，基于主机入侵检测系统保护接入路由器和核心网安全。该方案充分利用了入侵检测和防火墙的特性，不仅实现了对分离机制接入网的全方位安全检测控制，更是达到通过保护接入路由器来保护核心网、防患于未然的目的。为实现该方案，本文选择了基于主机的入侵检测系统OSSEC，基于网络的入侵检测系统snort，Linux下防火墙iptables和snort/iptables联动模块snortsam进行应用研究。为验证实现效果，本文在分离机制原型网络下进行了三部分功能验证和测试：分离机制IPv4和IPv6接入网的入侵检测；分离机制IPv4接入网严重入侵行为实时阻断；接入路由器及核心网的入侵保护和实时响应。结果表明系统初步达到了设计的功能要求。后续工作应从提升分离机制下整个入侵检测与防火墙系统的性能与管理方案入手，以分布式系统，私有安全网络和服务器/客户端模式为基础，实现大规模的应用部署能力。6.期刊论文王宇平.杨树堂.陆松年.WangYuping.YangShutang.LuSongnian集成入侵检测引擎的增强型防火墙技术研究-计算机应用与软件2007,24(9)提出了一种增强型防火墙技术,通过把入侵检测引擎集成到传统的包过滤防火墙中,实现两者的协同工作,使得该防火墙在具备传统安全保护功能的同时,还能够根据内嵌的入侵检测引擎的响应结果动态设置过滤规则,及时禁止可能的危险数据通信,从而更好地保护网络安全.给出了该增强型防火墙的系统功能、模块结构和协作机制.测试表明,与传统防火墙相比,该防火墙在应对未知攻击时,具有有效阻断率高的优势.7.学位论文吴庆佺入侵检测和防火墙联动技术研究2006面对当前的动态系统、动态环境，需要用动态的安全模型、方法、技术和解决方案来应对当前的网络安全问题。入侵检测和防火墙技术是动态网络安全的重要组成部分，本文研究的入侵检测和防火墙联动技术，可以实现网络的动态安全防护，具有重要的研究意义和实用价值。本文根据安全联动系统的决策流程，设计了一种入侵检测和防火墙联动的系统——IFS系统。IFS系统在IDS性能分析和响应损失分析基础上根据响应决策流程过程来制定响应策略,实现动态网络安全防护。本文主要工作如下：（1）根据通用的安全联动系统的决策流程，设计了一种入侵检测和防火墙联动的系统——IFS系统。IFS系统通过分析IDS子系统性能，得到IDS性能参数，并对响应损失进行分析，在此基础上综合各种信息根据不同攻击类型制定不同的响应策略。（2）分3个子系统——入侵检测子系统、防火墙子系统、联动控制子系统研制出了IFS系统。入侵检测子系统采用2层分布式自治型结构，利用自治性检测节点来实现分布式检测，用SSL协议来保证子系统内部通信安全，实现了高效检测，有良好的抗攻击能力。防火墙子系统基于Linux平台，具有结构