2011 年 第 20 卷 第 7 期 http://www.c-s-a.org.cn 计 算 机 系 统 应 用
System Construction 系统建设 35
基于 Linux 系统的 DoS 攻击检测和审计系统
①
黄 月,刘卫国
(中南大学 信息科学与工程学院,长沙 410083)
摘 要:在分析传统入侵检测系统不足的基础上,提出了基于 Linux 操作系统的 DoS 攻击检测和审计系统。网
络安全检测模块通过统计的方法检测内网发起的 DoS 攻击行为,网络行为规范模块过滤用户对非法网站的访问,
网络行为审计模块则记录内网用户的非法行为。实验证明,相比传统的入侵检测系统,该系统能够有效地检测
出 DoS 攻击,并能规范网络用户行为和有效审计非法网络行为。
关键词:Linux 系统;入侵检测;拒绝服务攻击;网络行为审计
DoS Attack Testing and Auditing System Based on Linux
HUANG Yue, LIU Wei-Guo
(School of Information Science and Engineering, Central South University, Changsha 410083, China)
Abstract: With analysing the weakness of traditional intrusion detection system, a Linux-based DoS attack testing and
auditing system is proposed. The network security detection module is used to detect the DoS attack from intranet, the
network behavior regulation module is used to filter the behavior when users access to the illegal websites and the
network behavior audit module is used to record the illegal behaviors of intranet users. Experiments show that the
system has good performance in detecting DoS attacks, and the system can also regulate and audit illegal behaviors of
the network users by contrast with the traditional intrusion detection system.
Key words: Linux system; intrusion detection; DoS attack; network behavior audit
1 引言
伴随网络技术的飞速发展,网络安全问题也日益
凸显出来,为越来越多的人所关注。DoS 攻击具有很
大的隐蔽性和渗透性,实施简单,攻击成功率高,因
此对它的防范具有很大难度
[1]
;而对于规范内网用户
的行为,减少内网用户对网络的不恰当使用,并且对
用户在使用网络过程中产生的法律风险可以做到有据
可查等等的需求,使得网络行为审计变得越来越重要。
入侵检测系统作为一种积极主动的安全防护技
术,由于其可以提供对内部攻击、外部攻击和误操作
的实时保护,成为当前研究的热点
[2]
。但是,传统入
侵检测系统也存在以下不足:
(1) 传统的入侵检测系统只是监视系统,告知当前
网络的安全状态,起到预警的作用,并不能有效的阻
① 基金项目:国家自然科学基金(61073187)
收稿时间:2010-10-17;收到修改稿时间:2010-11-30
止针对网络的攻击
[3]
。
(2) DoS 攻击使用的是伪造的源 IP 地址,而传统
入侵检测系统只能识别 IP 地址,无法定位 IP 地址,
不能识别数据的来源,所以无法有效应对 DoS 攻击。
(3) 传统入侵检测系统一般通过第三方的抓包库
将网络数据抓到应用层,然后进行规则匹配。从内核
到应用层数据的拷贝增加了系统的负担,在高速网络
环境下容易成为系统的瓶颈。
(4) 传统入侵检测系统不能审计被保护网络内部
用户的行为,比如防范内网用户的网络攻击行为、禁
止用户访问非法网站,在发生类似对网络不恰当使用
的网络行为时网络管理人员不能进行有效追查。
为此,本文提出一种基于 Linux 系统、核心工作
在内核态、融合了网络安全检测和审计的系统。该系
评论0