基于網(wǎng)絡異常流量的入侵檢測系統(tǒng)研究.pdf

1、由于因特網(wǎng)的盛行,人們可以很方便地透過因特網(wǎng)存取遠程的資源,但是大量惡意的網(wǎng)絡事件,像是計算機病毒和黑客攻擊,使得網(wǎng)絡的管理越來越困難。因此,網(wǎng)絡入侵檢測系統(tǒng)的需求越來越迫切。流量數(shù)據(jù)的采集是整個流量監(jiān)控系統(tǒng)的基礎,文章對現(xiàn)有的網(wǎng)絡流量監(jiān)控技術進行了詳細的介紹和探討,然后深入地研究了基于NetFlow技術的網(wǎng)絡流量采集技術,然后從基于NetFlow技術的角度分析現(xiàn)在網(wǎng)絡上普遍存在的掃描攻擊,資源濫用,DDOS攻擊的特征,然后針對這些特征

2、設計了一個在Linux平臺下的基于網(wǎng)絡異常流量的入侵檢測系統(tǒng)。並且還研究了了如何適當調整和設定網(wǎng)絡設備將來自于內部的網(wǎng)絡攻擊減到最小,并在這方面作了有益的嘗試。因特網(wǎng)成了日?；顒拥钠脚_,網(wǎng)絡攻擊的威脅也變得日益嚴重。只靠防火墻是不足以保護透過一般正常服務而來的攻擊。此外,大多數(shù)目前的入侵檢測系統(tǒng)都是針對網(wǎng)絡的入口處而設計,無法阻止來自內部用戶對內部的網(wǎng)絡主機和網(wǎng)絡本身的攻擊。因此,除了防火墻和入口處之入侵檢測系統(tǒng),我們需要使用其它種類的

3、入侵檢測系統(tǒng)來保護關鍵的系統(tǒng)和網(wǎng)絡本身。文章對現(xiàn)有的數(shù)據(jù)采集技術進行了分類,然后深入地研究了基于NetFlow技術的網(wǎng)絡流量采集技術,提出了一個基于Linux的入侵檢測系統(tǒng),它是用路由器與交換機的NetFlow輸出的網(wǎng)絡流量信息為基礎而發(fā)展出來的基于異常流量檢測的入侵檢測系統(tǒng)。在分布式拒絕服務攻擊發(fā)生時,會有大量的虛假IP地址,在流量中新的源IP地址產(chǎn)生的數(shù)據(jù)包的百分比明顯上升,但是在企業(yè)內部IP地址范圍是固定可定義的,運用方差分析算法