基于特征的入侵檢測引擎分析與研究.pdf

1、近些年來，隨著網(wǎng)絡安全問題的日益嚴峻，入侵檢測系統(tǒng)已成為計算機與網(wǎng)絡安全的重要組成部分。隨著網(wǎng)絡流量和速度的不斷增加，快速性成為衡量檢測引擎性能的重要指標。如何提高入侵檢測引擎的速度一直以來都是研究的熱點問題。本文研究了基于特征的入侵檢測引擎，從兩個方面著手，一是如何有效地組織與日俱增的入侵規(guī)則；二是在數(shù)據(jù)包與入侵規(guī)則進行模式匹配時，使用什么樣的模式匹配算法來快速準確地檢測出入侵行為。 本文采用Snort系統(tǒng)作為實驗平臺，該系統(tǒng)

2、是世界上應用最廣泛的開放源代碼的基于特征的網(wǎng)絡入侵檢測系統(tǒng)，在行業(yè)內(nèi)有著重要的地位。對Snort中的兩種檢測引擎進行比較分析，傳統(tǒng)檢測引擎采用二維線性鏈表方法組織入侵規(guī)則，新方法采用決策樹對入侵規(guī)則進行分類組織。在根據(jù)入侵規(guī)則構(gòu)造決策樹時，所依據(jù)的分類屬性選擇標準對決策樹的形狀和深度有很大的影響。本文提出在構(gòu)造決策樹時采用信息增益率為新的分類屬性選擇標準，并用它替代了原有的信息增益標準。實驗結(jié)果證明，對于某些特定的攻擊類型，改進后的入侵

3、檢測引擎在檢測速度上有明顯的提高。 模式匹配算法是基于特征的入侵檢測引擎中的重要部分。本文分析了入侵檢測中常用的幾種模式匹配算法，并分別在混合攻擊和特定攻擊的條件下進行了性能測試，根據(jù)實驗結(jié)果，得出了不同算法的應用范圍，為今后入侵檢測系統(tǒng)開發(fā)者選擇模式匹配算法提供了有價值的參考。最后，本文針對Aho-Corasick算法內(nèi)存消耗量優(yōu)化的問題，采用了一種稱之為壓縮的稀疏向量多帶狀存儲格式，并將它應用到Aho-Corasick算法的