论文摘要
传统的网络安全防护手段(如防火墙)只是静态的网络安全技术,不能适应当前迅速发展的网络环境。入侵检测系统作为一种动态网络安全技术在近几年得到快速的发展,成为计算机安全中不可缺少的组成部分。从逻辑上讲,入侵检测系统由数据收集器、分析器和用户接口组成。数据收集器主要负责收集一切可能与入侵相关的数据,它是入侵检测系统的重要组件。目前,数据收集器所收集的数据数量十分庞大、种类繁多,对入侵检测系统的工作效率有很大的影响,而针对这方面的研究也是入侵检测领域的基础性问题。本文首先介绍了入侵检测系统的研究背景和趋势。然后针对当前Linux系统现有的日志机制所存在的问题,设计了一个基于内核的审计子系统。在实现的过程中,由于内核版本升级的原因,使用了与以往不同的方法从内核中提取数据。其次,针对当前高速网络环境下入侵检测系统容易丢包的问题,设计了三种基于抽样算法的网络数据收集模型。通过将三类抽样样本与总体样本进行对比分析,说明了抽样样本的精确性。最后对全文进行总结,并对进一步的工作提出设想。
论文目录
内容提要第一章 引言1.1 研究背景1.2 研究意义1.3 本文的主要工作1.4 组织结构第二章 入侵检测系统概述2.1 什么是入侵检测2.2 入侵检测的过程2.3 入侵检测技术的分类2.3.1 基于主机的入侵检测2.3.2 基于网络的入侵检测2.4 国内外著名的入侵检测系统第三章 基于内核的审计子系统3.1 审计3.1.1 安全审计的功能3.1.2 安全审计的标准3.2 传统Linux审计机制的缺陷3.3 基于内核的审计系统的研究3.3.1 系统调用3.3.2 模块机制3.3.3 用户空间和内核空间的信息传递3.4 内核审计系统的实现3.4.1 系统调用劫持device虚拟硬件设备'>3.4.2 hijacksyscalldevice虚拟硬件设备3.4.3 实验结果及总结3.5 审计信息的安全保护第四章 基于抽样的高速网络数据收集模型4.1 高速网络环境下的入侵检测4.1.1 目前存在的问题4.1.2 研究现状4.2 基于抽样的网络报文收集4.2.1 触发事件不同的抽样4.2.2 策略不同的抽样4.3 报文抽样实现与性能实验分析4.3.1 实验数据来源4.3.2 性能指标4.3.3 抽样实现4.3.4 实验结果分析4.3.5 对总体值的估算第五章 总结和展望5.1 总结5.2 未来的工作参考文献论文摘要Abstract致谢导师及作者简介
相关论文文献
标签:入侵检测论文; 数据收集论文; 内核审计论文; 系统调用劫持论文; 网络数据抽样论文;
