基于模式匹配與協(xié)議分析的分布式入侵檢測(cè)研究.pdf

1、入侵檢測(cè)作為新一代保障網(wǎng)絡(luò)安全的技術(shù)，在近年來(lái)得到了廣泛的重視和研究。入侵檢測(cè)系統(tǒng)和防火墻的相互配合大大加強(qiáng)了整個(gè)網(wǎng)絡(luò)環(huán)境的安全。入侵檢測(cè)不但能夠檢測(cè)出來(lái)自網(wǎng)絡(luò)外部的攻擊，而且能夠發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)內(nèi)部的非法活動(dòng)。因此，入侵檢測(cè)技術(shù)已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)研究的熱點(diǎn)。
　　 本文針對(duì)大型的分布式網(wǎng)絡(luò)，提出了一個(gè)基于網(wǎng)絡(luò)的分布式入侵檢測(cè)系統(tǒng)模型，并且設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。同時(shí)，針對(duì)分布式入侵檢測(cè)系統(tǒng)的單點(diǎn)失效問(wèn)題給出了解

2、決方案。
　　 本文分析了Snort檢測(cè)規(guī)則樹的邏輯結(jié)構(gòu)，采用了改進(jìn)的規(guī)則樹，通過(guò)實(shí)例的形式驗(yàn)證了改進(jìn)后的規(guī)則樹能夠明顯降低規(guī)則匹配的次數(shù)。同時(shí)，對(duì)BM模式匹配算法的匹配順序和好后綴規(guī)則進(jìn)行了改進(jìn)和實(shí)現(xiàn)，通過(guò)實(shí)例和程序驗(yàn)證了改進(jìn)后的BM算法能夠減少模式串的滑動(dòng)次數(shù)和字符的匹配次數(shù)，提高了模式匹配的速度，最后，以VC++的形式給出了改進(jìn)后的BM算法的實(shí)現(xiàn)過(guò)程。此外，根據(jù)TCP協(xié)議的特點(diǎn)，采用了狀態(tài)協(xié)議分析的方法，并且分析了如何在狀

3、態(tài)協(xié)議分析過(guò)程中設(shè)置時(shí)間間隔△T和閾值N，并證明了△T和N之間存在著正比例關(guān)系：△T=kN(k>0)。
　　 另外，本文所實(shí)現(xiàn)的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)中相關(guān)協(xié)議數(shù)據(jù)包的數(shù)量進(jìn)行了統(tǒng)計(jì)，方便監(jiān)視網(wǎng)絡(luò)中相關(guān)協(xié)議流量的變化情況。為了方便查看協(xié)議分析和入侵檢測(cè)的結(jié)果，將不同協(xié)議的分析結(jié)果和入侵檢測(cè)的結(jié)果顯示在不同的列表中，并且能夠?qū)?shù)據(jù)進(jìn)行備份。同時(shí)，協(xié)議確認(rèn)模塊的過(guò)濾功能減輕了系統(tǒng)的負(fù)擔(dān)，提高了入侵檢測(cè)系統(tǒng)本身的安全性。