基于深度包檢測技術(shù)入侵檢測系統(tǒng)設(shè)計與實現(xiàn).pdf

1、深度包檢測技術(shù)(Deep packet inspecTiO2,DPI)是相對普通報文分析而言的一種新技術(shù),普通報文檢測僅僅分析IP包的四層以下的內(nèi)容,包括源地址、目的地址、源端口、目的端口以及協(xié)議類型,深度包檢測技術(shù)不僅檢測網(wǎng)絡(luò)層和傳輸層數(shù)據(jù)包頭部,而且深入到應(yīng)用層數(shù)據(jù)包的有效載荷所封裝的內(nèi)容中,搜尋合法或非法的內(nèi)容以決定是否允許數(shù)據(jù)包通過。
　　 入侵檢測系統(tǒng)(IDS,Intrusion DetecTiO2 System)是一

2、種新的安全防御措施,作為防火墻的一種補充策略,IDS可以用來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)或者更廣泛意義上的信息系統(tǒng)的非法攻擊,包括檢測外界非法入侵者的惡意攻擊或試探。
　　 深度包檢測技術(shù)是現(xiàn)代IDS的主要實現(xiàn)手段。本文從數(shù)據(jù)包的捕獲原理開始,以對TCP/IP數(shù)據(jù)包的解析為主線,詳細(xì)介紹了其實現(xiàn)原理和實現(xiàn)過程。在深入研究深度包檢測技術(shù)基礎(chǔ)之上,針對基于傳統(tǒng)模式匹配算法的入侵檢測系統(tǒng)多存在的如匹配速度慢、檢測的誤報率和漏報率較高等

3、問題,本文提出了一種基于深度包檢測的結(jié)合協(xié)議分析的智能匹配檢測技術(shù)。相對于傳統(tǒng)的模式匹配檢測技術(shù),有效的減少了匹配檢測的計算量、誤報率和漏報率。本文采用該智能匹配檢測技術(shù)對運算量的減少主要體現(xiàn)在兩個方面:
　　 首先,對某些攻擊可以通過對協(xié)議分析后的某些特殊字段的值進行簡單的比較就檢測出攻擊,這樣就不用進行運算量很大的模式匹配檢測。這種簡單的比較不是進行從頭至尾的特征匹配,而是根據(jù)協(xié)議的規(guī)則性來精確定位某些特殊字段的位置并確定其