当前位置:主页 > 管理论文 > 移动网络论文 >

基于行为特征的网络异常检测平台的设计与实现

发布时间:2017-11-15 03:22

  本文关键词:基于行为特征的网络异常检测平台的设计与实现


  更多相关文章: 网络安全 入侵检测 通信行为特征 规则描述语言


【摘要】:随着互联网技术的高速发展,计算机网络对于国家经济的发展和人民生活水平的提高越来越重要。然而,近年来全球互联网络安全威胁事件频发,计算机网络不仅为我们带来了便捷和高效的生活,同样也带来了各种各样的安全问题。黑客利用多种入侵手段攻击目标主机,通过防火墙拦截,安全访问控制,对数据加密处理以及身份认证等传统的网络安全防御技术也无法感知,静态的防御体系已经无法满足当前的安全需要。入侵检测技术作为一种积极主动的安全防护技术,能够实时监测被保护网络。由于木马更新变种速度快且不断发展的加壳和免杀技术使得木马难以被发现,但木马的通信过程均能呈现较固定和明显的通信特征。相较于简单特征码匹配技术,基于通信行为特征的分析检测技术在对木马的检测上更有优势,且能够发现潜在的、未知的网络窃密行为和威胁,具有更广阔的应用前景。本文实现了一个网络入侵检测系统部署在企业网络关口处,利用网络通信中的行为特征进行异常检测,保障企业网络安全。本文基于TCP/IP协议栈对行为特征进行分层提取,设计并实现一个网络会话的多维特征集合,通过与规则库进行匹配从而发现异常行为。规则库是嗅探入侵行为的关键,本文设计了一套规则描述语言为用户提供强大的异常行为表示接口,可用于系统规则库的快速构建和更新,使系统能够对新出现的网络攻击行为及时响应。另外由于系统部署在高速网络环境下,本文基于零拷贝技术和多线程技术,同时设计和实现快速查找算法以提高系统的统计和分析效率。使用Libnids、Libpcap等开源库进行系统数据包处理功能的快速开发,并借鉴Libnids层次调用框架进行系统插件化设计,基于DPI的协议识别技术对应用层协议的解析过程通过插件的方式进行。本文设计实现的基于行为特征的网络异常检测系统具备了模块化、高性能、可扩展、灵活性的特点,经测试系统表现出的准确性、可用性和性能指标等均具有实际应用价值。该系统最终部署于企业网络关口处,监控流经企业网络的流量,对保障企业网络安全具有重要的意义。
【学位授予单位】:哈尔滨工业大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08


本文编号:1188174

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1188174.html


Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户f1632***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com