一种高速网络安全监控系统的设计与原型系统实现

摘要

随着光纤通信和高速局域网等技术的应用,网络流量带宽和网络性能都有了大幅的提升,对网络安全监控技术也提出了新的要求。在众多需要提高的网络安全监控技术当中,如何在高速网络环境中,在不降低分析性能的情况下,保证线速(on-line)监测能力,成为了众多网络安全研究者和生产者关注的焦点课题。现有的网络安全监控系统在对高速报文的捕获和大量入侵报警信息分析方面已显现出不足,因此急需新的高速网络安全监控系统来对高速网络的安全进行监控。
　　本文紧密围绕网络安全监控技术研究中的核心问题,即高速报文捕获和入侵报警信息融合等关键技术展开研究与实现工作。主要是研究了高速报文捕获与存储子系统中的关键技术,进行了高速网络安全监控系统的总体设计;初步实现了分析子系统,提出了入侵检测系统报警信息融合模型,较好地解决了报警信息管理及误报、漏报等问题,并在此基础上提出一种基于报警信息关联的危害度评测算法;最后对原型系统报文捕获性能、数据入库性能和入侵报警信息融合性能进行了测试。

目录

摘要

ABSTRACT

第一章 绪论

1.1 课题背景

1.2 论文的结构

第二章 相关技术研究现状分析

2.1 高速报文捕获技术

2.1.1 访问数据链路层方法

2.1.2 负载均衡技术

2.1.3 报文监听的方式

2.2 入侵报警信息融合技术

2.2.1 研究现状

2.2.2 报警融合的主要方法

2.2.3 报警关联体系结构

2.2.4 关联检测框架CRIM

2.3 小结

第三章 高速网络安全监控系统的总体设计

3.1 系统组成

3.1.1 高速报文捕获与存储子系统

3.1.2 入侵检测子系统

3.1.3 分析子系统

3.1.4 控制机

3.2 系统数据控制流程

3.3 监控系统自身的安全

3.4 小结

第四章 高速报文捕获与存储子系统中关键技术的研究与实现

4.1 报文分流策略和负载均衡算法

4.1.1 报文分流策略

4.1.2 基于TCP的负载均衡算法

4.2 文件加载系统

4.2.1 零拷贝方式的报文捕获

4.2.2 原始报文的存储

4.3 数据库加载子系统

4.4 时间同步

4.5 用实时操作系统提高报文捕获效率

4.6 小结

第五章 分析子系统的设计与实现

5.1 报警信息融合模块

5.1.1 相关知识

5.1.2 报警信息融合模型

5.1.3 报警信息关联模块模型的实现

5.2 基于报警关联的危害度评测模型

5.3 入侵预警模块

5.4 小结

第六章 系统原型的测试与评估

6.1 系统测试环境

6.2 功能测试

6.3 性能测试

6.3.1 报文捕获性能测试

6.3.2 数据入库性能测试

6.3.3 报警信息融合性能测试

6.4 小结

第七章 总结

7.1 工作成果

7.2 未来工作展望

致谢

参考文献

修改提纲