資源描述:
《基于行為特征的網絡異常檢測平臺的設計與實現》由會員上傳分享�,免費在線閱讀��,更多相關內容在學術論文-天天文庫。
1����、國內圖書分類號:TP311學校代碼:10213國際圖書分類號:621.3密級:公開碩士學位論文(工程碩士)基于行為特征的網絡異常檢測平臺的設計與實現碩士研究生:樊夢嬌導師:李全龍副教授副導師:庹宇鵬工程師申請學位:工程碩士學科��、專業(yè):軟件工程所在單位:軟件學院答辯日期:2016年06月授予學位單位:哈爾濱工業(yè)大學ClassifiedIndex:TP311U.D.C:621.3DissertationfortheMaster’sDegreeinEngineeringTHEDESIGNANDIMPLEMEN
2����、TATIONOFNETWORKANOMALYDETECTIONPLATFORMBASEDONBEHAVIORALCHARACTERISTICSCandidate:FanMengjiaoSupervisor:Prof.LiQuanlongAssociateSupervisor:EngineerTuoYupengAcademicDegreeAppliedfor:MasterofEngineeringSpeciality:SoftwareEngineeringAffiliation:SchoolofSoftw
3����、areDateofDefence:June,2016Degree-Conferring-Institution:HarbinInstituteofTechnology哈爾濱工業(yè)大學工程碩士學位論文摘要隨著互聯網技術的高速發(fā)展��,計算機網絡對于國家經濟的發(fā)展和人民生活水平的提高越來越重要����。然而�����,近年來全球互聯網絡安全威脅事件頻發(fā)�,計算機網絡不僅為我們帶來了便捷和高效的生活����,同樣也帶來了各種各樣的安全問題�。黑客利用多種入侵手段攻擊目標主機���,通過防火墻攔截,安全訪問控制��,對數據加密處理以及身份認證等傳統(tǒng)的網絡安
4��、全防御技術也無法感知,靜態(tài)的防御體系已經無法滿足當前的安全需要�����。入侵檢測技術作為一種積極主動的安全防護技術��,能夠實時監(jiān)測被保護網絡。由于木馬更新變種速度快且不斷發(fā)展的加殼和免殺技術使得木馬難以被發(fā)現�,但木馬的通信過程均能呈現較固定和明顯的通信特征。相較于簡單特征碼匹配技術����,基于通信行為特征的分析檢測技術在對木馬的檢測上更有優(yōu)勢�,且能夠發(fā)現潛在的����、未知的網絡竊密行為和威脅��,具有更廣闊的應用前景�����。本文實現了一個網絡入侵檢測系統(tǒng)部署在企業(yè)網絡關口處,利用網絡通信中的行為特征進行異常檢測�����,保障企業(yè)網絡安全�。本文
5����、基于TCP/IP協(xié)議棧對行為特征進行分層提取����,設計并實現一個網絡會話的多維特征集合�,通過與規(guī)則庫進行匹配從而發(fā)現異常行為���。規(guī)則庫是嗅探入侵行為的關鍵,本文設計了一套規(guī)則描述語言為用戶提供強大的異常行為表示接口��,可用于系統(tǒng)規(guī)則庫的快速構建和更新���,使系統(tǒng)能夠對新出現的網絡攻擊行為及時響應��。另外由于系統(tǒng)部署在高速網絡環(huán)境下�����,本文基于零拷貝技術和多線程技術���,同時設計和實現快速查找算法以提高系統(tǒng)的統(tǒng)計和分析效率�����。使用Libnids、Libpcap等開源庫進行系統(tǒng)數據包處理功能的快速開發(fā)����,并借鑒Libnids層次調
6����、用框架進行系統(tǒng)插件化設計����,基于DPI的協(xié)議識別技術對應用層協(xié)議的解析過程通過插件的方式進行���。本文設計實現的基于行為特征的網絡異常檢測系統(tǒng)具備了模塊化、高性能����、可擴展�、靈活性的特點���,經測試系統(tǒng)表現出的準確性�、可用性和性能指標等均具有實際應用價值�。該系統(tǒng)最終部署于企業(yè)網絡關口處�����,監(jiān)控流經企業(yè)網絡的流量�,對保障企業(yè)網絡安全具有重要的意義���。關鍵詞:網絡安全;入侵檢測���;通信行為特征��;規(guī)則描述語言-I-哈爾濱工業(yè)大學工程碩士學位論文AbstractWiththerapiddevelopmentoftheIntern
7��、et,thecomputernetworkhasbecomeanimportantnationaleconomicbaseandlifeline.However,inrecentyears,thesharingandopennessofcomputernetworksbringsusalotofconvenienceandefficiency,butitalsobringsavarietyofproblemsresultinglobalInternetsecurityeventshappenedfreq
8、uently.Traditionalnetworksecurityanddefensepolicyincludesfirewall,dataencryption,authentication,accesscontrolandsystemreinforcement,thosearestaticdefensiveapproach.However,withthecontinuousdevelopmentofintrusiontechnology,
