论文摘要
随着信息化程度越来越高,信息安全的重要性逐渐引起更加广泛的重视。当前安全技术不断地发展,各种新的攻击手段和工具日新月异,本文正是在这一背景之下,对当前主要的安全技术----数据截获分析技术(网络数据监听技术)以及基于状态转换的入侵检测技术进行了相关的研究和探讨。它的研究和发展有利于网络管理、网络故障排除以及网络入侵检测系统的进一步发展,对于维护整个网络的安全和性能稳定有着直接的影响。本文首先讨论了网络数据包截获及分析系统的实现。该系统综合运用数据采集技术、网络通信技术和面向对象编程技术,具有数据包获取以及协议分析等功能。文中从系统涉及的相关原理、解决方案论证、总体结构编制、数据包获取模块、协议分析模块等方面进行论述,从而给出了一个较为完整的网络数据包截获及分析系统的实现过程。通过网络数据包截获及分析工具我们基本上可以了解到网络数据包中所包含的一般信息,该程序可提取出数据包中比较有代表性的信息:协议,源/目的地址,源/目的端口以及数据包长度等。通过源/目的地址可以知道在网络上有哪些活动的主机,通过数据包长度的累加可以了解到当前网络的流量。其次对基于状态转换分析的入侵检测系统的一些分析方法做了初步研究。在这一部分先论述了状态转换技术的理论,其次详细介绍了应用于状态转换技术的入侵检测规则语言的设计,最后研究了基于状态转换技术在入侵检测中的实现机制,重点给出了状态转换中事件的匹配和处理算法。总结起来,系统虽然与实际产品的距离还比较远,但已经具备了入侵检测的基本功能,并且解决了几个关键的技术问题:1)高效、通用的规则描述语言使用户容易使用、便于扩充,可以方便的定义攻击特征行为及相应对策;2)在入侵检测测试数据集的基础上,本文提出了一套较完整的入侵检测测试方案,为评价入侵检测方法的优劣提供了科学依据。本文中所提出的入侵检测系统仍然存在一些问题和不足,本文在最后给出了今后的研究方向和内容。