联动式入侵防御系统的研究与设计

作     者：窦伟平 

作者单位：山东大学 

学位级别：硕士

导师姓名：李传林

授予年度：2006年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络安全 防火墙 入侵检测 入侵防御 

摘      要：随着网络的广泛应用，网络的安全问题逐渐受到人们的关注，网络环境日趋复杂，新的攻击方法层出不穷，单一安全技术已经不能保证企业网络的安全。入侵防御系统IPS(Intrusion Prevention System)是网络安全领域为弥补防火墙及入侵检测系统的不足而新兴的信息安全技术。入侵防御系统是近几年发展起来的新一代安全防范工具，是一种主动、积极的入侵防范系统，当IPS检测到攻击企图后，能自动将攻击包丢弃或阻断攻击源，从而实时保护信息系统不受实质性侵害。但是现有的内嵌式IPS所采用的检测算法并不十分完善，使得检测入侵的误报率和漏报率很高;另外单一的检测机制也无法有效检测时间和空间上分散的攻击，因此会导致性能瓶颈和新的拒绝服务等一系列问题。由此本文构建新的模型进行联动式入侵防御系统研究，以解决现有的IPS的不足。 本文在综合了防火墙的访问控制功能和入侵检测系统的网络数据包检测功能基础上，进一步实现多种安全技术的融合。本文采用目前入侵防御系统与漏洞扫描和蜜罐技术进行联动防御，不仅可以及时检测到来自网络上的未知攻击，同时可以减少入侵防御系统的误报率和漏报率。文章通过分析传统的多种安全防御机制的优缺点和预测网络安全的发展趋势，在此基础上提出了一种新型入侵防御系统，它通过提供防御接口，充分利用漏洞扫描技术和蜜罐技术(也可加入其它新的防御机制)对未知攻击的检测优势，与入侵防御系统主体共同来协作检测各种攻击，并根据一定策略有效地动态更新规则库，提高检测的速度和准确性，从而实现对网络的全面保护和深度防御。 论文首先陈述了网络安全相关技术的知识，论述了防火墙和入侵检测并剖析了各自的优缺点;深入分析了目前入侵防御系统特点、工作原理及关键问题和发展趋势;然后探讨了几种可行的协作防御方式及将要面临的问题，并提出了相应的解决方案;描述了协作防御时需要的通讯协议的制定，以及对本系统的设计原则、系统框架和工作流程作了详细的设计和分析;接着进行了入侵防御系统的模块设计、运作分析及其具体实现方法，并对其中的重点模块和难点问题加以分析和解决。最后，对本文所做的工作进行了总结，并指出了需要进一步研究和完善的方面。