系统确定了基于Linux系统平台,以B/S为开发模式,运用Linux平台下C语言开发程序的整体开发模式和方法。服务器和浏览器都位于局域网内部,服务器采用Linux为开发平台,负责进行网络数据捕获、过滤、入侵检测分析和预警等工作;浏览器负责对功能模块的运行结果以直观的界面方式向用户显示出来。系统以并联的方式接入被预警的网络,系统与内网的交换机相连,交换机需要支持镜像功能,能将任意端口“映射到”指定的管理端口上。系统接入方式如图8-12所示。
图8-12 预警系统接入方式
系统预警模块由以下六个模块组成,其结构如图8-13所示。
图8-13 预警系统模块组成
(1)数据捕获模块。系统研究以太网的工作环境,以太网通过广播的方式传输数据,网卡可以通过广播,监听捕获到以太网络上传送的数据包,为系统的实现提供基础数据来源。
(2)解析模块。捕获的数据包通过操作系统的底层驱动被转发给系统协议栈,在协议栈按照自下而上的顺序对捕获的原始数据包进行解码分析,为后续模块的处理服务。
(3)重组、转换模块。对解码模块得到的数据包进行处理,包括PI分段重组、TCP重组、代码转换等。
(4)入侵检测模块。对转换得到的数据包进行规则匹配来检测多种不同的入侵行为,通过不断地检测网络系统,来发现系统的威胁和弱点,为预警响应及追踪奠定技术基础。而入侵检测模块的技术要点是规则处理技术(即规则匹配)。在规则匹配中,首先要装载规则文件,规则文件是系统网络攻击的知识库,库中有了规则后才能识别网络入侵行为。接下来要解析规则文件,建立规则树,进行规则匹配。
(5)预警模块。通过监听网络数据流,识别、记录入侵和破坏性访问及操作,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,预警系统能够根据系统安全策略做出反应。通过对数据进行分析处理,制订报警级别,提供多种报警方式,对威胁事件进行分类,确定威胁来源,对威胁进行统计,分析等。
(6)追踪模块。追踪模块采用了信息追踪技术,其目标是判断攻击者、入侵者的踪迹,定位攻击源的位置,推断出攻击者在网络中的穿行路径等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
