基于網(wǎng)絡處理器的分布式入侵檢測系統(tǒng)研究與設計.pdf

1、隨著計算機和網(wǎng)絡技術的迅速發(fā)展，網(wǎng)絡安全成為世界各國共同關注的焦點。入侵檢測技術是繼傳統(tǒng)的安全保護措施之后新一代的安全保障技術。作為信息安全保障中的一個重要環(huán)節(jié)，它很好地彌補了訪問控制、身份認證等傳統(tǒng)機制所不能解決的問題，對計算機和網(wǎng)絡資源上的惡意訪問行為進行識別和響應。入侵檢測已經(jīng)成為當前網(wǎng)絡安全技術領域內(nèi)的一個研究熱點。 在前人對入侵檢測研究的基礎上，本文主要提出了構建一個基于網(wǎng)絡處理器的分布式網(wǎng)絡入侵檢測系統(tǒng)——DNIDS

2、的設計方法和具體實現(xiàn)。DNIDS采用網(wǎng)絡處理器IXP2400作為硬件平臺，充分利用網(wǎng)絡處理器IXP2400處理速度快和可編程的特點，結合高效的基于TCAM的模式匹配算法，利用基于協(xié)議分析的入侵檢測技術，分析來自網(wǎng)絡外部的入侵攻擊以及內(nèi)部的未授權行為，提供實時報警和自動響應，實現(xiàn)一個高性能、分布式的入侵檢測和預警系統(tǒng)。 針對入侵檢測的關鍵技術，文章主要從以下三個方面開展了研究工作： 第一，基于TCAM的模式匹配算法。對于基

3、于誤用的入侵檢測，模式匹配算法是至關重要的，它的性能將直接影響到入侵檢測系統(tǒng)的快速性和準確性。本文提出了一種基于TCAM的模式匹配高效算法，它較好的避免了傳統(tǒng)入侵檢測算法由于規(guī)則增加導致的性能下降，提高了模式匹配的速度。 第二，協(xié)議分析算法。協(xié)議分析有效地利用了網(wǎng)絡協(xié)議的層次性和相關協(xié)議的知識，能快速、準確地判斷攻擊特征是否存在，利用協(xié)議分析可以大大減小模式匹配的計算量，提高匹配的精確度、檢測速度、檢測率，減少誤報率。