《毕业设计(论文)-防火墙与入侵检测联动方案设计与实现》由会员分享,可在线阅读,更多相关《毕业设计(论文)-防火墙与入侵检测联动方案设计与实现(77页珍藏版)》请在金锄头文库上搜索。
1、摘 要在网络技术飞速发展的今天,安全问题已经成为重中之重,而防火墙和入侵检测作为最常用的两种安全防护手段在独立使用时都存在着一些明显的缺点和不足。因此,如何组建一个集两种安全防护手段于一体的网络安全系统,而且可以使二者通过综合集成来共同发挥作用,这已经成为网络安全研究的重要课题。本文首先从剖析入侵检测与防火墙技术的特点出发,通过对联动机制的研究,论述如何将二者进行综合集成,并通过相关的算法研究与在系统中的应用,论述这一组合联动机制的实施方式。论文所做的主要工作如下:(1)建立了一种以开发接口的协同联动为基础的保护机制,就是指防火墙通过利用分布式入侵检测系统及时地发现安全策略之外的入侵攻击行为,
2、入侵检测系统通过防火墙阻断来自外部网络的攻击行为,形成有效的安全防护机制,从而提高网络的整体防护能力。其中,入侵检测系统通过利用分布式检测、分布式分析与集中管理模式,有效提高对入侵事件的检测效率和反应速度。同时,通过向入侵检测系统的主控端传输每一台主机(或服务器)入侵检测报告,有效降低网络负载,提高协同安全保护机制的时效性。(2)基于Server/Client的通信交互模式,利用通道加密技术SSL与DES加密算法和密钥验证机制,在入侵检测系统和防火墙之间实现传输信息的验证和加密功能,保证通信的安全可靠。(3)认真研究了入侵检测系统中的模式匹配技术,在分析BM算法的基础上,提出了基于最长前缀思想
3、的新模式匹配算法EBM算法,该算法在后缀的匹配中使用shift表来确定移动值,极大地提高了算法的运行效率,并通过理论和实践证明了该算法优于BM算法。(4)从“危险”级别定义和“可转移”级别定义的出发,制订了安全的协同联动策略,提出了分布式入侵检测系统中各事件分析器的协作算法,该算法可以节约系统的开销,减轻分析器的分析任务和资源占用。由于传输的仅仅只是分析报告,用几十个字节就可描述本地的分析检测结果,因此在彼此进行协作时,网络负载不重,对检测实时性影响不大。关键字:防火墙、入侵检测、联动技术AbstractWith the development of network, it is import
4、ant to protect the network via improving and innovating the network security and protection. Nowadays, there are many kinds of network technologies, in which Firewall and intrusion detection system (IDS) are applied widely, when they are used to protection the network security separately, they are n
5、ot completely enough to solve the problem of security. Thus, it is a interesting issue to make these two security protection systems united to construct an integral protection mechanism. Based on their respective advantages and disadvantages, this paper is formed, in which the necessity and feasibil
6、ity is discussed, and some corresponding methods or algorithms are presented in detail. Some major issues in this paper are as follows.(1) Use the open interface to design a novel interactive mechanism. In this mechanism, firewall can apply distributed IDS to find the new attack actions beyond the s
7、ecurity policies. In the other hand, the IDS may interdict the attack actions from the external networks. Thus, the feasible and effective protection mechanism is formed to improve the performance of network security. Where, the IDS is configured with distributed detection, distributed analysis, and
8、 central management, which may improve the detection efficiency and response speed. Since the detection report with several bytes, the network load is decreased and its real-time capability is improved. (2) Based on the communication pattern of Server/Client, the capability of validation and encrypt
9、ion is implemented, in which the technique of channel encrypted, i.e. SSL, and the encryption algorithm, i.e. DES are used to obtain the secure and reliable communication.(3) A close study is made on the pattern matching arithmetic. The dissertation presents a new pattern matching arithmetic-EBM ari
10、thmetic. The new arithmetic uses the most long prefix to match, and uses a shift table to calculate shift value in the matching of postfix. The dissertation proves that the EBM arithmetic is superior to BM arithmetic on theory and in practice. (4) From the concepts of “risk” and “transfer”, the poli
11、cies of secure interaction are established. The cooperation algorithm for all event analyzers in the distributed IDS is presented to reduce the system load and lighten the complexity of analysis. Since the local detection report may be described with some bytes of content, when they cooperate, they
12、occupy little bandwidth. Thus, the real-time availability is good.Key Word: Firewall, intrusion detection system, linkage technology目 录摘 要IAbstractII目 录IV第一章 绪论71.1 网络安全形势分析71.2 防火墙与入侵检测联动研究现状81.3 主要研究内容91.4 论文组织安排10第二章 防火墙与入侵检测技术分析112.1 防火墙技术112.1.1 防火墙的概念与构成112.1.2 防火墙的基本类型112.1.2.1 包过滤防火墙112.1.2.
13、2 状态检测包过滤防火墙132.1.2.3 应用网关(代理)防火墙142.2 常用入侵检测技术142.2.1 入侵检测的基本概念142.2.2 入侵检测常用方法152.2.2.1 异常检测152.2.2.2 误用检测202.2.3 入侵检测模型242.2.3.1 Denning抽象模型242.2.3.2 CIDF草案模型252.2.3.3 IDWG草案模型26第三章 防火墙与入侵检测系统联动机制研究283.1 联动方式选择283.2 网络数据获取303.2.1 数据包获取313.2.2 数据包过滤313.2.3 规则提取与构造343.2.4 网络连接状态监控383.3 防火墙与入侵检测系统之间
14、的通信383.4 协同联动策略制订403.5 分布式入侵检测中的联动算法423.6 模式匹配算法研究433.6.1 BM算法简介443.6.2 EBM算法453.6.3 EBM算法复杂度分析493.6.4 EBM算法的改进之处493.6.5 实验结果及分析493.7 异常检测技术研究513.7.1 静态马尔可夫链模型523.7.2 异常检测方法及其算法实现533.7.2.1 检测策略533.7.2.2 统计模型的建立533.7.2.3 检测算法543.7.2.4 模型修正算法553.7.3 试验结果及分析56第四章 联动系统设计与仿真594.1 联动系统设计594.1.1 设计思想594.1.
15、2 体系结构604.1.3 联动算法614.2 仿真结果与分析624.2.1 总体思路624.2.2 实现流程624.2.3 数据接口644.2.4 仿真结果654.2.5 主要结论67第五章 总结与展望695.1 主要工作总结695.2 有待进一步研究的问题70参考文献71致谢76图 目 录图2-1 包过滤防火墙工作原理图14图2-2 状态检测包过滤防火墙工作原理图15图2-3 应用网关(代理)防火墙工作原理图16图2-5 用户时间概率树22图2-6 STALKER数据结构和操作24图2-7 状态转换图25图2-8 petri网分析一分钟内四次登录失败25图2-9 Denning的抽象模型26图2-10 CIDF模型28图2-11 IDWG通知模型28图2-12 通知-查询模型29图3-1 WinPcap的结构35图3-2 WinPcap捕包时工作流程图36图3-3 规则结构40图3-4 防火墙与入侵检测系统的通信机制42图3-5 Winsock通信流程图44图3-6 防火墙与入侵检测系统联动过程44图3-7 防火墙与入侵检测系
