高速网络环境下入侵检测系统的研究

南京理工大学硕士学位论文高速网络环境下入侵检测系统的研究姓名：周国华申请学位级别：硕士专业：计算机应用技术指导教师：兰少华20070601高速网络环境下入侵检测系统的研究作者：周国华学位授予单位：南京理工大学相似文献(10条)1.学位论文李志清基于模式匹配和协议分析的入侵检测系统研究2007随着计算机网络和信息技术的广泛应用，网络系统的安全变得至关重要。入侵检测系统是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，入侵检测技术是一种主动的网络安全防护技术。由于网络规模的不断扩大和入侵手段的不断涌现，传统的基于模式匹配的入侵检测技术已经不能适应入侵检测的需要，而协议分析是利用了网络协议的高度规则性，它是继模式匹配之后的第三代入侵检测技术，能适应新的入侵检测的需要。为此，在入侵检测系统中把模式匹配和协议分析相结合是网络安全领域新的研究热点。论文分析了当前的入侵检测系统及模式匹配，协议分析两门技术，针对现有入侵检测系统的不足，详细探讨了在入侵检测系统中运用模式匹配和协议分析相结合的优势，研究了模式匹配各种常用的算法，以及匹配算法的效率在高速网络中的重要性，提出了PBM和FCAC_BM新的改进算法。在参照国际入侵检测系统标准化组织CommonIntrusionDetectionFramework(CIDF)提出的通用入侵检测框架模型的基础上，设计了一个基于模式匹配和协议分析的入侵检测系统。该系统把模式匹配和协议分析有效结合在一起，充分利用网络协议的高度有序性来探测攻击的存在，从而大大减少了检测过程的计算量，提高了检测的准确性，并且在模式匹配的过程中，运用了PBM新的改进算法，提高了系统的整体性能，一定程度上解决了入侵检测系统中误报率和漏报率较高的问题。最后总结了本文的研究工作，指出了下一步的研究方向。2.期刊论文薛利军.刘万军.王万清.XUELi-jun.LIUWan-jun.WANGWan-qing基于模式匹配的Windows主机入侵检测系统研究-辽宁工程技术大学学报（自然科学版）2004,23(z1)入侵检测技术是防火墙、加密技术、身份认证等安全机制、安全策略之后发展起来的新的安全保障技术,它可以识别针对网络资源的恶意行为和攻击,并作出响应.本文提出了一种基于模式匹配的入侵检测系统,该系统利用VxD技术、TCP/IP协议分析和模式匹配的分析算法实现了高效、准确的数据分析和处理,从而为用户构筑了一个动态的安全防护体系.3.学位论文潘振业基于模式匹配和协议分析的入侵检测系统设计2005随着网络技术的日益发展,尤其是Internet的日益普及,网络安全问题受到越来越多的人关注.IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用.由于网络规模的不断扩大和入侵手段的不断涌现,传统的基于模式匹配的入侵检测技术已经不能适应入侵检测需要.而协议分析是基于网络协议的高度规则性,它是继模式匹配之后的第三代入侵检测技术,能适应新的入侵检测的需要.本文首先分析当前网络安全问题的现状,指出了研究和发展入侵检测系统具有非常重要的意义;接着介绍了入侵检测的概念、技术、分类以及标准化等;并重点研究了模式匹配和协议分析,改进了模式匹配的经典算法-BM算法;最后以CIDF(通用入侵检测系统)框架模型为基础,提出了基于模式匹配和协议分析的入侵检测系统,该系统具有高效性、准确性高、低资源消耗等的优点.4.期刊论文高朝勤.陈元琰.李梅.GAOChao-qin.CHENYuan-yan.LIMei入侵检测中的自适应模式匹配技术-计算机工程2009,35(6)模式匹配既是网络入侵检测系统(NIDS)的核心技术,也是NIDS中消耗资源最多的部分,并正在成为NIDS的性能瓶颈.现有的模式匹配算法大多采用静态定义的优化策略,没有考虑网络流量和入侵检测规则的特性.该文提出一种自适应的模式匹配算法AMPM,动态统计网络流量和规则组的特性,根据统计结果自动选择最合适的模式匹配算法.测试表明,AMPM使现有NIDS的性能提高了9.4%-29.1%,且对于大规则集具有更好的适应性.5.学位论文薛利军基于模式匹配的Windows主机入侵检测系统的研究2004随着Internet的迅猛发展,政治、军事、经济、科技和教育文化等各个方面越来越多的工作业务转移到这个平台上来,为人们提供了方便、自由和无限的信息,但伴随而来的计算机安全问题日益成为人们关注的焦点.如何有效保护主机资源不被破坏和主机信息安全不仅需要加强传统的安全防护体系和策略,更须引入新一代的安全防护体系------入侵检测系统.本文从介绍计算机安全和入侵现状入手,在研究了当前入侵检测系统(IDS)的设计、实现策略和入侵检测模型理论的基础上,提出了一种新的基于模式匹配的入侵检测系统的模型,并对其原理及具体实现方法进行了详细阐述.基于模式匹配的Windows主机入侵检测系统是为了保护重要主机的资源及信息安全而设计的.它采用了高效数据采集技术、预处理、协议分析、模式匹配等数据分析、资源监视先进技术实现对网络中数据服务器及主机的安全防护.整个系统界面友好、功能齐全,为用户构筑了一个动态的安全防护体系.6.学位论文孙伟基于模式匹配和协议分析的入侵检测技术研究2006随着网络的普及和快速发展，网络用户面临着日益严重的安全问题，网络入侵已经成为计算机安全和网络安全的最大威胁，应运而生的网络入侵检测成为当前的研究重点和热点。入侵检测系统是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，入侵检测技术是一种主动的网络安全防护技术。目前，网络入侵检测系统面临着诸多挑战，如何提高入侵检测系统的检测速度以适应网络通信的要求和如何降低入侵检测系统的漏报率和误报率来提高检测准确性是其中最典型的两个问题。模式匹配算法是基于规则的入侵检测系统的重要部分，它直接影响到系统的准确性和实时性。本文对入侵检测中常用的单模式匹配算法与多模式匹配算法分别进行了研究。针对BM算法预处理时间开销较大的不足和入侵检测系统中规则集的特性，提出了一种高效的BM改进算法；在深入分析ACBM算法的基础上，吸收QS算法的思想，提出了一种改进的ACBM算法。两种改进算法在匹配过程中的最大偏移量均大于原算法，具有更好的平均性能。其次，针对传统模式匹配检测技术存在的计算量大、误报率高等问题，本文提出了一种基于改进型模式匹配技术与协议分析技术相结合的智能匹配检测技术，充分利用网络协议的高度有序性来探测攻击的存在，从而大大减少检测过程的计算量，并提高了检测的准确率。最后，本文采用目前应用最广泛的开源网络入侵检测系统snort作为实验平台，对采用改进型模式匹配算法和协议分析的新系统模型与snort进行检测时间对比实验，实验结果表明新系统模型相比snort具有更高的检测速度和较好的可用性。7.期刊论文徐成.孙伟.戴争辉.喻飞.XUCheng.SUNWei.DAIZheng-hui.YUFei一种面向入侵检测的BM模式匹配改进算法-计算机应用研究2006,23(11)在分析了目前常用的模式匹配算法的基础上,提出了一种改进的BM算法.实验结果表明改进的模式匹配算法能减少比较次数,有效地提高了匹配速度.8.学位论文何一凡入侵检测引擎的设计研究2006入侵检测系统(简称IDS)，是防火墙后保护网络安全的第二道防线，作为一种功能强大的动态实时安全防御技术，正受到越来越多的关注。而模式匹配则是入侵检测系统中最基本也是最关键的技术，匹配的速度直接影响到系统的处理性能。本文在分析了入侵检测系统结构，及各种模式匹配软硬件实现方法的基础上，提出了两种基于CAM和TCAM的模式匹配引擎实现方式：(1)基于CAM分组的模式匹配引擎；(2)基于流水线结构的模式匹配引擎。基于CAM分组的模式匹配引擎有较强的通用性，除了适用于IDS规则库，也适用于各种病毒库的检测匹配。它支持“?”通配符和大小写不敏感匹配，同时对长模式串进行了压缩处理。为进一步提高系统的输出性能，待测串切换隐藏二级匹配开销和多模块并行处理技术也被引入到引擎结构中。基于流水线结构的模式匹配引擎，具有更高的处理性能，设计中提出的存储单元共用的方法减少了50％以上对CAM资源的需求，解决了CAM面积和功耗大的问题。这两种实现方式都达到了multi-gigabit的输出性能，能满足目前及今后10G网络带宽内的高速入侵检测处理要求。在此基础上，本文给出了以上述引擎为核心的模式匹配系统，介绍了系统框架、总线结构和数据接口等内容。本文还对目前使用最为广泛的Snort规则库进行了分析，并针对上述引擎提出了Snort规则库中的模式匹配硬件实现的方法。此外，根据Snort规则库的特性，引入了协议分析和规则头分类技术，进一步减少系统功耗，提高系统输出性能。9.期刊论文刘迎春.邓辉.王锋.LiuYing-chun.DengHui.WangFeng协议分析在入侵检测中的应用研究-山西电子技术2009,(1)模式匹配是入侵检测系统中常用的方法,其优点就是分析速度快、误报率小.但是随着网络高速发展,传统的模式匹配方法已不能满足网络安全的发展需要.在分析模式匹配技术和协议分析技术的基础上,提出了协议分析技术和模式匹配方法相结合的网络入侵监测系统的协议分析模型.10.学位论文陈传钩基于模式匹配的入侵检测研究2006随着信息技术的飞速发展，信息安全已逐渐发展成为信息系统的关键问题。入侵检测作为一种主动的信息安全保障措施，有效地弥补了访问控制、防火墙和身份认证等传统安全防护技术的缺陷。目前已有很多入侵检测系统被研究和使用，但是随着入侵种类、数目以及网络带宽的不断增加，导致系统的准确性、高效性尚不能满足人们的要求。对于基于误用的入侵检测系统，特征字符串的匹配是检测过程中最费时的部分，因此匹配算法的性能直接影响到整个入侵检测系统的效率。针对此问题，本文首先阐述了几种经典的串匹配算法，对它们的适用范围和优缺点进行了分析。在此基础上，提出了一种AC-SA串匹配算法，该算法利用后缀自动机SA加快AC自动机的跳转，从而提高检测效率。同时，基于误用的检测系统检测过程就是将数据包负载与规则库中的规则进行匹配，因此规则库的结构对检测效率也有很大的影响。针对此问题，本文对规则库结构进行了改进。原来的规则选项链表是线性的，本文提出了一种树型的规则选项链表，从而加快了检测速度。本文利用轻量级网络入侵检测系统Snort在Linux操作系统下进行了一系列实验，重点测试了本文提出的串匹配算法和改进的规则库的性能。通过分析，得出实验结果与理论基本相符，系统的性能确实有了一定改进。改进后的入侵检测系统仍然存在一些问题和不足，本文在最后给出了今后的研究方向和内容。本文链接：授权使用：上海海事大学(wflshyxy)，授权号：1ed91d04-1cc5-4e9d-af46-9dc400b199c4下载时间：2010年7月31日