入侵檢測中的數(shù)據(jù)包采樣算法研究及實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)安全問題的日益嚴(yán)重，入侵檢測系統(tǒng)(Intrusion Detection System，縮寫：IDS)已經(jīng)成為計算機(jī)與網(wǎng)絡(luò)安全的重要組成部分。隨著網(wǎng)絡(luò)帶寬的不斷增加，由于處理能力的限制，現(xiàn)有入侵檢測系統(tǒng)面臨挑戰(zhàn)，如何提升IDS的處理能力備受關(guān)注。提升硬件的處理速度是常用的方法，然而，硬件處理速度的提升卻遠(yuǎn)遠(yuǎn)跟不上網(wǎng)絡(luò)帶寬的增加速度，IDS的處理能力面臨著瓶頸。 數(shù)據(jù)包采樣是提升數(shù)據(jù)包處理能力的很好方法，在網(wǎng)絡(luò)流量監(jiān)測分析

2、中得到了廣泛應(yīng)用。然而，傳統(tǒng)的數(shù)據(jù)包采樣算法，都是針對網(wǎng)絡(luò)流量監(jiān)測所設(shè)計的，初始設(shè)計時并沒有考慮應(yīng)用在入侵檢測中。近些年來，逐漸開始有研究者開始研究入侵檢測中的數(shù)據(jù)包采樣算法，分析了幾種傳統(tǒng)的應(yīng)用于網(wǎng)絡(luò)測量中的數(shù)據(jù)包采樣算法，驗(yàn)證了這些算法直接應(yīng)用在高速鏈路入侵檢測中的不適用性，但并沒有提出新的有效算法?；诖?，本文將針對高速鏈路入侵檢測研究新的數(shù)據(jù)包采樣算法。 本文的主要研究內(nèi)容和工作成果如下： 1.分析了網(wǎng)絡(luò)中典型的

3、入侵攻擊方式，通過對經(jīng)典數(shù)據(jù)集進(jìn)行入侵檢測后的日志統(tǒng)計，得出入侵過程的一個重要特點(diǎn)：入侵攻擊過程在時間上具有連續(xù)性。依據(jù)此特點(diǎn)，為高速鏈路中的入侵檢測設(shè)計了一種新的數(shù)據(jù)包采樣算法。 2.在入侵檢測系統(tǒng)Snort的基礎(chǔ)上設(shè)計實(shí)驗(yàn)平臺，把Snort數(shù)據(jù)包捕獲速率從百兆提升至千兆，使其能應(yīng)用于真實(shí)高速鏈路中的實(shí)驗(yàn)。 3.搭建真實(shí)高速鏈路環(huán)境，利用新設(shè)計的實(shí)驗(yàn)平臺對采樣算法進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果證明，新的數(shù)據(jù)包采樣算法在高速鏈路下可