22314字硕士毕业论文军事入侵防御系统中的数据通信与监控技术研究

介绍

1.1背景

计算机网络的应用使得军队的管理和相关指令的上传发布更加方便，给军队的发展带来了新的机遇。然而，网络的发展和普及不仅为我们的工作和生活提供了便利，也带来了更多的安全风险。近年来，军事级网络中蠕虫和病毒的数量日益增加，特洛伊木马也很常见。这些已经成为威胁军事网络和信息安全的潜在杀手。这些都给各级军事领导人和网络安全研究人员带来了极大的困扰。能否及时发现并成功防范网络威胁带来的危害，确保我军计算机和网络系统的安全和正常运行，已成为我军网络安全研究者和开发者[3]面临的重要问题。面对日益猖獗的网络安全问题，传统的入侵检测系统无法很好地检测高速交换网络中的所有数据包，分析准确率不高，误报率和误报率高。

同时，入侵检测系统难以管理和维护。它要求安全管理员有足够的时间、精力和丰富的知识来保持规则库的更新和安全策略的有效性。最重要的是入侵检测系统是被动工作的。它只能检测攻击，但不能阻止它们。该系统主要侧重于检测，而没有足够重视防止攻击。然而，防火墙技术只能用作边界访问控制的手段，一般不能防止来自网络内部的攻击，并且对某些病毒无能为力[4]。基于传统防火墙和入侵检测系统的技术缺陷，近年来出现了一种新的主动网络安全技术——入侵防御系统[5。

它是一种部署在网关位置的安全设备，通过对网络数据和行为的深度检测，可以有效抵御应用层的攻击。入侵防御系统是基于入侵检测系统和防火墙，加上主动响应和过滤功能。其设计目的是提前拦截入侵活动和攻击性网络流量，以避免损失，而不是在恶意流量传输时或传输后简单地发出警报。该入侵防御系统弥补了传统入侵检测系统只能发现无防御、防火墙只能在会话层下实现攻击防御的缺陷，填补了网络安全产品线中基于内容的安全检查的空空白。可以说，入侵防御系统是在入侵检测系统的基础上建立和发展起来的一种新的网络安全系统，已经逐渐成为[6]网络安全的主流技术之一。同时，由于网络带宽的不断增加，通用局域网主干交换带宽已经从原来的100兆瓦网络发展到千兆甚至10兆瓦网络，这给串行设备带来了巨大的挑战。由于现有部分入侵防御系统中的入侵检测技术一般是基于大量的检测库来实现模式匹配，系统的硬件平台需要在进行复杂的数据包处理工作的同时，实时向系统的监控端发送处理结果，同时需要及时接收上级系统管理人员的各种配置命令，并进行分析和执行，使系统能够很好地完成各种动态响应工作。在100兆瓦的全负荷网络环境中工作已经相当困难。然而，面对10倍的网络带宽增长，如果不考虑其他条件，这意味着入侵防御系统需要为其数据包处理技术和数据信息传输技术提供10倍的处理和通信能力([7】)。

因此，作为网关级的安全产品，入侵防御系统必须具备高效的网络数据通信和处理性能，以确保用户正常的服务带宽，解决网络流量中的攻击，并准确检测和阻止带宽滥用等有害流量，这就要求它在高性能的前提下提供应用数据无损保证功能。在此背景下，研究高速网络环境下的入侵防御相关技术(如高速数据包处理技术、实时系统数据通信技术等)具有重要意义。)开发具有自主知识产权、低成本、安全可靠的入侵防御产品。

1.2主题来源

这个话题是一个独立的命题。本项目的设计目标是开发一个具有自主知识产权的高可靠、高性能、高稳定性的网络入侵防御系统，弥补传统入侵检测系统只能发现无防御、防火墙只能在会话层下实现攻击防御的缺陷，实现双向千兆线速入侵检测和防御，满足电信应用的要求，并在全军使用。

1.3国内外研究现状

入侵防御系统包括以下主要技术:高速数据包处理技术、入侵检测技术、数据通信技术和动态入侵防御技术。目前，国内外对这些技术进行了广泛的研究，有许多成熟的技术，如基于专用网络处理器的硬件平台、基于规则库的误用检测技术、异常检测技术等。主要网络安全服务提供商和入侵防御技术提供商也开发了自己的一系列入侵防御产品，如迈克菲公司推出的IntruShield产品[8]，该产品加强了对溢出漏洞的研究和跟踪，并将针对溢出攻击的相应防御措施推送到入侵防御设备的策略库中。

第二章相关技术……6

2.1入侵防御系统概述……6

2.2入侵防御系统的关键技术……9

2.3总结……12

第三章军事入侵防御系统概述……13

3.1系统概述……13

3.2设计目标……13

3.3系统拓扑.........14

3.4系统的组成……15

第四章数据通信子系统的设计与实现……22

4.1设计目标........22

4.2设计理念.........22

4.3总体设计.........30

摘要

目前，国内外对千兆网络环境下入侵防御技术的研究还处于发展阶段，一些入侵防御产品还存在数据处理速度慢、性能差、系统漏报率和误报率高、易发生单点故障等问题。如何在不影响网络正常数据传输的情况下，科学有效地解决高速网络环境下的入侵防御系统问题，同时完成复杂的功能，已经成为当前的研究热点。

因此，本文在深入研究硬件处理平台、数据通信技术和网络通信协议的基础上，提出了一种基于OCTEON CN38XX多核处理器硬件平台的军事级入侵防御系统，并完成了系统中数据通信子系统和系统监控子系统的详细设计与实现，使系统能够通过定制的通信协议和通信接口可靠地传输数据并监控系统，从而为整个军事级入侵防御系统的配置管理提供了解决方案。

参考

[1]中国互联网发展统计报告(2010年1月)。www.cnnic.cn中国互联网信息中心

[2] 2009年国家电信统计公报。中国信息产业部。

[3]鲍鲁迪，齐亚德，穆兰拉。我们真的被黑客保护了吗。信息和通信技术:从理论到应用，2004。诉讼。2004年国际会议。2004年4月19-23日

[4]心有张，李承忠，文彬郑。入侵防御系统设计。《计算机和信息技术》，2004年。CIT\'04。第四次国际会议。武汉. 2004，386–390

[5]尤金·舒尔茨、吉姆·梅兰德、卡尔·恩多夫。入侵检测和预防。麦格劳-菲尔奥斯本媒体，2003年12月18日:221-254

[6]安德鲁·柏拉图，西塞普。什么是入侵防御系统？Anitian企业安全，2004

[7]赵建华，林俊峰，李玖烨，雷金星。一种高性能集群方案及其在网络入侵防御系统中的应用。通信与信息技术，2007。ISCIT \' 07。http://sblunwen.com/jdglxlw/国际数字客观识别研讨会。2007，1219-1224

[8]迈克菲英特尔IntruShield网络入侵防御传感器。

[9]NSS集团。入侵防御系统。

[10]赛门铁克牛顿安全7100系列。