基于网络异常流量的入侵检测系统研究-密码学与网络安全专业论文.docx

上海交通大学工程硕士学位论文 上海交通大学工程硕士学位论文 基于网络异常流量的入侵检测系统研究 摘 要 由于因特网的盛行，人们可以很方便地透过因特网存取远程的资源， 但是大量恶意的网络事件，像是计算机病毒和黑客攻击，使得网络的管理 越来越困难。因此，网络入侵检测系统的需求越来越迫切。 流量数据的采集是整个流量监控系统的基础，文章对现有的网络流量 监控技术进行了详细的介绍和探讨，然后深入地研究了基于 NetFlow 技术 的网络流量采集技术,然后从基于 NetFlow 技术的角度分析现在网络上普遍 存在的扫描攻击，资源滥用，DDOS 攻击的特征，然后针对这些特征设计了 一个在 Linux 平台下的基于网络异常流量的入侵检测系统。並且还研究了 了如何适当调整和设定网络设备将来自于内部的网络攻击减到最小，并在 这方面作了有益的尝试。 因特网成了日常活动的平台，网络攻击的威胁也变得日益严重。只靠 防火墙是不足以保护透过一般正常服务而来的攻击。此外，大多数目前的 入侵检测系统都是针对网络的入口处而设计，无法阻止来自内部用户对内 部的网络主机和网络本身的攻击。因此，除了防火墙和入口处之入侵检测 系统，我们需要使用其它种类的入侵检测系统来保护关键的系统和网络本 身。文章对现有的数据采集技术进行 了分类，然后深入地研究了基于 NetFlow 技术的网络流量采集技术，提出了一个基于 Linux 的入侵检测系统， 它是用路由器与交换机的 NetFlow 输出的网络流量信息为基础而发展出来 的基于异常流量检测的入侵检测系统。 在分布式拒绝服务攻击发生时，会有大量的虚假 IP 地址，在流量中新 的源 IP 地址产生的数据包的百分比明显上升，但是在企业内部 IP 地址范 围是固定可定义的，运用方差分析算法以及对源 IP 范围的监测，实现了对 分布式拒绝服务攻击的检测。 系统能检测数种来自内部或外部的攻击，并能实时执行相对应的策略。 关键词：网络流量，入侵检测，拒绝服务攻击，端口扫描 ABNORMAL NETFLOW BASED INTRUSION DETECTION SYSTEM ABSTRACT Due to the popularity of Internet, people can access remote resource on the Internet conveniently. But numerous malicious network events such as computer virus and hacker attack make the network management more difficult. A network intrusion detection system is thus more and more demanding. In this thesis, a NetFlow based anomaly intrusion detection system is presented. Collection of the flow data is the foundation of a traffic monitoring system. The existing techniques of flow data collection are classed, and the NetFlow-based method is discussed deeply. Then discusse the characters of typical attacks such as network scan, resource misuse and DDOS. And then design and developed an abnormal NetFlow based intrusion detection system at Linux . In addition, guidelines to properly configure and setup network device to minimize the possibilities that network attacks come from inside are also proposed. As the Internet becomes the platform of daily activities, the threat of network attack is also become more serious. Firewall along is not capable to protect the system from being at