收藏本站
《贵州大学》 2006年
收藏 | 手机打开
二维码
手机客户端打开本文

带入侵检测的Linux个人防火墙的研究与实现

邱浩  
【摘要】:当越来越多的公司及政府部门将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。传统上,公司及政府部门一般采用防火墙作为其安全防线,而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。致命的原因就是防火墙不是“智能”的。防火墙只能做到允许或者阻止某地址向某地址的特定端口,但是对于针对开放端口的攻击,防火墙就鞭长莫及了。其次,防火墙完全不能阻止来自内部的袭击。而通过调查发现,50%的攻击都来自于内部,对于公司及政府部门内部心怀不满的员工来说,防火墙形同虚设。再者,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于现在层出不穷的攻击技术来说,这显然是致命的弱点。第四,防火墙对于病毒也束手无策。因此,以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。 网络的防卫必须采用一种纵深、多样的手段,在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。入侵检测意味着检测未经许可的访问和对一个系统或网络的攻击,它既能发现并且处理外部攻击,又能发现并处理来自内部的攻击,在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和告警等。在个人防火墙中将防火墙与入侵检测技术结合起来,将更好的为用户提供安全保护。 《带入侵检测的Linux个人防火墙的研究与实现》即以此背景立题开发研究。 本文对防火墙技术以及入侵检测技术进行了概述,重点讨论了Linux下的防火墙及入侵检测技术,包括其基本原理、体系结构、网络数据包的拦截、检测引擎如何对网络数据包进行检测,防火墙与入侵检测的联动。结合桌面操作系统用户的需求,利用这两项技术开发了Linux桌面系统的个人防火墙。 本文研究的关键技术、创新点和所做的工作如下: ● Netfilter是Linux内核实现数据包过滤/数据包处理/NAT等的功能框架,本文讨论了在此框架上如何实现防火墙,以及如何将入侵检测的功能融合进防火墙中。 ● 使用iptables及Netfilter可进行数据包过滤,但在现实中由于其配置较复杂,iptables经常被束之高阁。本文将介绍iptables防火墙规则以及通过工具配置规则,以帮助用户高效的使用防火墙。 ● 对进出网络的数据包进行实时监控,当检测到攻击信息时及时通知用户。攻击信息会显示在各列表中,同时还能将这些信息导出保存以作为证据提交给用户的ISP。 ● 检测引擎是入侵检测实现的核心,准确性和快速性是衡量其性能的重要指标,前者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用性,后者主要取决于引擎的组织结构,是否能够快速地进行规则匹配。到目前为止共有3066个可用的规则,并且还在不断加入更多规则,同时提供规则描述语言,这种语言灵活而强大,以便用户可以添加自己的检测规则。 ● 入侵检测中所用到的检测分析方法属于误用检测(Misuse Detection),该方法对已知攻击的特征模式进行匹配,包括进行协议分析,以及对一系列数据包解释分析特征。 ● 入侵检测能够进行协议分析,内容的搜索/匹配。现在能够分析的协议有TCP、UDP、ICMP、IP和ARP。能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测操作系统指纹特征的企图等等。 ● 对于TCP攻击,如果攻击者使用一个程序每次发送只有一个字节的TCP包,完全
【学位授予单位】:贵州大学
【学位级别】:硕士
【学位授予年份】:2006
【分类号】:TP393.08

手机知网App
【相似文献】
中国期刊全文数据库 前10条
1 何汉华;;基于Linux环境下的防火墙的设计与实现[J];决策与信息(财经观察);2008年08期
2 孙文乾;;基于Linux防火墙技术发展及应用[J];电脑编程技巧与维护;2011年12期
3 曲德祥;浅析Linux的防火墙技术[J];山东师范大学学报(自然科学版);2002年02期
4 张焕明;;互联网防火墙安全技术研究及实现[J];微计算机信息;2006年24期
5 朱亮;;Linux防火墙技术的研究[J];电脑知识与技术;2008年08期
6 柳雲莉;;Linux防火墙技术[J];网络安全技术与应用;2010年04期
7 高源;;Linux框架下配置与管理iptables防火墙[J];硅谷;2010年20期
8 王志祥;周海刚;肖军模;;基于安全增强技术的Linux防火墙设计[J];军事通信技术;2002年01期
9 郑伟发;;防火墙技术及其在linux下的实现[J];福建电脑;2006年05期
10 余晓永;;基于开源Linux的防火墙技术[J];电脑知识与技术;2008年03期
中国重要会议论文全文数据库 前10条
1 康淮湘;何川;徐一川;;自己动手搭建Linux邮件服务器[A];天津市电视技术研究会2010年年会论文集[C];2010年
2 朱国正;侯整风;;基于Linux平台的智能卡通用驱动模型[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集(下册)[C];2009年
3 贾志洋;王勇刚;崔博文;杨玉婷;;应用型本科院校Linux操作系统的教学探索[A];Proceedings of 2010 National Vocational Education of Communications and Information Technology Conference (2010 NVCIC)[C];2010年
4 豆尚成;陈成细;奚学程;陈默;顾琳;赵万生;周志凯;顾岭;;基于Linux的线切割加工全软数控系统[A];第14届全国特种加工学术会议论文集[C];2011年
5 代健美;耿华芳;刘作学;;基于嵌入式Linux的DM9000CI设备驱动研究与实现[A];全国第4届信号和智能信息处理与应用学术会议论文集[C];2010年
6 姜斌;张君;;一种Linux平台下的可执行文件防篡改方法[A];浙江省电子学会2011学术年会论文集[C];2011年
7 赵德志;章勇;廖书红;;嵌入式Linux及BOA服务器在S3C2410上的移植[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
8 邵昌旭;陈默;赵万生;;基于Linux的嵌入式线切割数控系统[A];第14届全国特种加工学术会议论文集[C];2011年
9 兰西柱;潘君君;;基于嵌入式Linux的车载终端的研究[A];煤矿自动化与信息化——第20届全国煤矿自动化与信息化学术会议暨第2届中国煤矿信息化与自动化高层论坛论文集[C];2010年
10 王雪娇;钱军;温东新;张展;崔忠强;;基于Linux虚拟文件系统故障注入器的设计与实现[A];第六届中国测试学术会议论文集[C];2010年
中国重要报纸全文数据库 前10条
1 李军;LINUX: CA巧打合作牌[N];中国计算机报;2003年
2 重庆 TL;Linux技巧园[N];电脑报;2004年
3 Subbo;实战多Linux共存[N];电脑报;2004年
4 余涉;全力推进中国linux应用[N];厂长经理日报;2000年
5 ;Linux下也用eMule[N];电脑报;2004年
6 魏春梅;LINUX进入成熟期[N];中国经营报;2001年
7 陕西 刘新念;自制Linux的开机画面[N];电脑报;2001年
8 小芳;随电子社进入LINUX精彩世界[N];中华读书报;2000年
9 ;Linux平台为互联互通带来益处[N];中国电子报;2009年
10 ;基于 Linux 平台的 Sybase 服务器[N];计算机世界;2004年
中国博士学位论文全文数据库 前10条
1 于晓;基于嵌入式Linux的仪器操作系统的研究[D];西安电子科技大学;2009年
2 李伦;Linux及其伦理意蕴[D];湖南师范大学;2002年
3 郭锐;基于Linux的微细电火花加工数控系统及其相关关键技术的研究[D];哈尔滨工业大学;2007年
4 武传宇;基于PC+DSP模式的开放式机器人控制系统及其应用研究[D];浙江大学;2002年
5 李明铎;短消息业务联网系统的设计与实现[D];中国人民解放军信息工程大学;2004年
6 吴峰光;Linux内核中的预取算法[D];中国科学技术大学;2008年
7 史鸿声;可信嵌入式3D图形系统关键技术的研究[D];中国科学技术大学;2008年
8 赵慧斌;RFRTOS——基于Linux的QoS实时操作系统[D];中国科学院研究生院(软件研究所);2003年
9 郭方方;集群防火墙系统的研究[D];哈尔滨工程大学;2006年
10 李晓毅;EIMN传感器网络的理论基础与无线远程图像监视系统技术研究[D];重庆大学;2004年
中国硕士学位论文全文数据库 前10条
1 尤娟;在IPv6下对防火墙可靠性的研究与改进[D];重庆大学;2007年
2 张彤;基于Linux的防火墙软件系统研究开发[D];西安理工大学;2006年
3 张小余;IPv6下嵌入式Linux防火墙的设计与实现[D];江西师范大学;2008年
4 陈岚;Iptables规则集优化的设计与实现[D];武汉科技大学;2008年
5 杜敏;结合入侵检测机制的Netfilter防火墙的研究[D];中南大学;2008年
6 孙亚军;基于ARM的嵌入式Linux平台的研究与实现[D];东北大学;2009年
7 张向艳;基于Linux的网络高清播放器的设计与实现[D];北京邮电大学;2010年
8 郑国伟;Linux内核移植与USB无线网卡驱动的研究与实现[D];东北大学;2008年
9 郑冠贞;基于Linux下的网络入侵检测系统[D];中国石油大学;2010年
10 柯利达;一种基于ARM和Linux的专用嵌入式手持设备的研究与构建[D];昆明理工大学;2008年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026