基于報(bào)文抽樣的異常檢測(cè)在高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的研究.pdf

1、入侵檢測(cè)系統(tǒng)是用來(lái)檢測(cè)針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊的安全措施。是網(wǎng)絡(luò)安全防御體系中繼防火墻后又一個(gè)重要的發(fā)展領(lǐng)域，也是網(wǎng)絡(luò)安全技術(shù)中最核心的技術(shù)之一。 目前，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)帶寬流量的不斷增大，傳統(tǒng)的入侵檢測(cè)技術(shù)已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)當(dāng)今網(wǎng)絡(luò)技術(shù)發(fā)展的要求。本文設(shè)計(jì)了一種高速網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)系統(tǒng)，從數(shù)據(jù)的采集、數(shù)據(jù)的分流、報(bào)文的抽樣、異常檢測(cè)四個(gè)模塊采用了新的設(shè)計(jì)方法，提高了高速網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)速度及準(zhǔn)

2、確性。 數(shù)據(jù)采集模塊中，簡(jiǎn)要介紹了基于數(shù)據(jù)采集的兩種實(shí)現(xiàn)方式，并提出了本文研究中數(shù)據(jù)采集的設(shè)計(jì)與實(shí)現(xiàn)；數(shù)據(jù)分流模塊中，根據(jù)高速網(wǎng)絡(luò)數(shù)據(jù)分流的基本要求，采用了IP地址段動(dòng)態(tài)劃分的方式；報(bào)文抽樣模塊也是本文研究的核心模塊，將報(bào)文抽樣的理論應(yīng)用于高速網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)。采用測(cè)量精確度高的分層抽樣算法，證明其在理論和應(yīng)用上都是可行的。在檢測(cè)模塊中采用基于程序行為的異常入侵檢測(cè)模型對(duì)抽樣得到的報(bào)文進(jìn)行檢測(cè)。本文設(shè)計(jì)了一個(gè)完整的入侵檢測(cè)