● 摘要
在网络技术高速发展的今天,网络安全的现状越来越让人担忧。网络安全的重要性越发显现出来,随之产生的各种网络安全技术也得到了不断地发展。如果单纯依靠防火墙和加密技术,仍然难以保证网络的安全性。入侵检测技术能够对网络中发生的安全事件和网络中存在的安全漏洞进行监测,更加有效地保护被监测网络的安全。基于传统模式匹配的入侵检测系统无法判断数据包的协议类型,只是机械的匹配每一个数据包,由此带来了严重的性能瓶颈。当前的网络入侵检测系统需要及时、高效地采集、处理、分析大量的数据包,减少甚至避免丢包现象的发生。协议分析技术可以弥补传统模式匹配技术的不足。该技术大大缩小了数据包匹配的范围,快速检测到某个攻击特征的存在,使得计算量大大缩小。本文在综合了当今流行的安全检测技术的基础上,设计了一种基于协议分析的网络入侵检测系统,在网络入侵检测系统的网络数据包采集模块以及协议分析技术等方面做了一些改进,并在Linux环境中进行了实现,通过测试验证了该系统具有较好的效果。网络数据包采集模块是整个系统高效工作的基础,目前国内外的大多数网络入侵检测系统的数据采集模块利用libpcap提供的函数库来实现。在数据处理部分的实现上,本系统使用了协议解析方法,有效地减小了目标的匹配范围,提高了检测速度。