基于CVE特征的IDS规则库的研究与实现

论文摘要

近年来,互联网在国际上得到了长足的发展,但网络本身的安全性问题也就显得更为重要,网络安全的一个主要威胁就是通过网络对信息系统的入侵。网络入侵指试图破坏信息系统的完整性、机密性或可控性一系列活动。与此同时,随着入侵手段和技术的不断发展和演化,如何通过计算机对入侵进行实时检测,防范和保障计算机系统、网络系统及整个信息系统的安全就成为目前众多网络安全手段中的核心技术。本论文在全面分析、了解国内外入侵检测系统的系统结构、构建方法和运行特点的基础上,结合实际需要提出开发一个基于CVE 特征的实时入侵检测系统。该系统将CVE 所列的弱点/风险作为入侵检测的主要对象,深入的研究了CVE 漏洞特征、体系结构,并且把其特征有效的进行了提取和概括,在此基础上构筑了具有CVE 特征的规则库,并建立起基于网络和主机的实时入侵检测系统,对网络攻击进行识别,最大限度的进行网络安全的防护。本论文着重于该入侵检测系统的核心——基于CVE 特征的规则库的研究与实现。本系统自定义了一种基于CVE 标准的规则描述方法,这种描述方法简单、高效、易于实现,能够描述绝大多数的CVE 入侵行为,并且能够及时迅速的更新与升级。同时,在此规则库的支持下,系统提供了集成化的检测、报告和响应的功能。在网络引擎的实现上,使用了协议分析和规则匹配相结合的方法,有效的提高了系统的实时响应速度、数据处理速度、同时降低了系统的漏报率和误报率,大大的增强了入侵检测系统的防范能力。本系统以CVE 标准作为规则库的数据源,形成并建立了入侵检测系统的规则库,为入侵检测系统规则库提供了可靠的国际权威性标准,对于入侵检测系统的标准化具有极大的推动作用。

论文目录

摘要

Abstract

第1章绪论

1.1 CVE 的发展和意义

1.2 IDS 概述

1.2.1 入侵检测系统的功能

1.2.2 入侵检测系统的组成

1.3 入侵检测的分类

1.3.1 基于网络和基于主机的入侵检测

1.3.2 基于特征的入侵检测和异常检测

1.4 IDS 存在的主要问题和发展趋势

1.4.1 存在的主要问题

1.4.2 发展趋势

1.5 本课题的研究目的与意义

第2章基于CVE 的IDS 总体结构设计

2.1 入侵检测系统通用模型

2.2 基于CVE 特征的IDS 总体结构设计

2.3 系统的具体部署

2.4 系统特点

2.5 本章小结

第3章入侵特征的提取

3.1 协议数据包中的基本特征

3.1.1 IP 数据包

3.1.2 TCP 数据包

3.1.3 UDP 数据包

3.1.4 ICMP 数据包

3.2 特征的提取

3.3 实例分析

3.3.1 LAND 攻击

3.3.2 TCP 端口扫描攻击

3.3.3 smurf 攻击

3.4 复杂特征的提取

3.4.1 提取并生成流量特征

3.4.2 提取并生成内容特征

3.5 典型漏洞特征提取的规则

3.5.1 CGI 安全漏洞

3.5.2 ICMP 安全漏洞

3.5.3 拒绝服务攻击

3.5.4 缓冲区溢出漏洞

3.5.5 IIS 漏洞

3.6 本章小结

第4章 IDS 规则库的研究与实现

4.1 IDS 规则库的结构

4.2 规则的描述

4.2.1 规则的格式

4.2.2 规则协议中的数据结构

4.3 规则的获取与维护

4.3.1 规则的获取

4.3.2 规则的维护

4.4 本章小结

第5章协议分析与规则匹配

5.1 数据包协议分析

5.1.1 数据包头协议分析

5.1.2 协议分析的实现

5.1.3 协议分析实例

5.2 规则匹配

5.2.1 Boyer-Moore 模式匹配算法

5.2.2 改进的BM 匹配算法

5.2.3 结果与分析

5.3 数据包的匹配

5.4 本章小结

结论

参考文献

攻读学位期间发表的学术论文

致谢

基于CVE特征的IDS规则库的研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢