基于網絡的入侵檢測技術的研究與實現.pdf

1、網絡安全是一個系統的概念，有效的安全策略或方案的制定，是網絡信息安全的首要目標。網絡安全技術主要有認證授權、數據加密、訪問控制、安全審計等。入侵檢測技術是安全審計中的核心技術之一，是網絡安全防護的重要組成部分。入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在不影響網絡性能的情況下能對網絡進行監(jiān)測，提高了信息安全基礎結構的完整性。 論文首先介紹了入侵檢測系統的概念及分類，明確了入侵檢測系統在

2、網絡安全中的地位。同時簡要討論了目前入侵檢測系統存在的問題，指出了提高入侵檢測系統分析數據的效率是提高系統性能的關鍵所在。論文根據CIDF模型，設計了基于網絡的入侵檢測系統，該系統主要包括規(guī)則解析模塊、數據采集模塊、數據分析模塊、響應模塊和日志模塊五個模塊。 在系統的規(guī)則部分借鑒了經典的snort規(guī)則描述語言，這種描述語言簡單、靈活、易于擴展且功能強大，能夠描述絕大多數的入侵行為。 數據采集模塊中采用了專門為數據監(jiān)聽應用

3、程序設計的開發(fā)包WinPcap來實現數據采集。該開發(fā)包中內置的內核層實現的BPF(BerKeley Packet Filter)過濾機制和許多接口函數，不但能夠提高監(jiān)聽部分的效率，也降低了開發(fā)的難度。同時WinPcap是從UNIX平臺上的LibPcap移植過來的，它們具有相同的接口，減輕了不同平臺上開發(fā)網絡代理的難度。 數據分析模塊中采用了協議分析技術，利用網絡協議的高度規(guī)則性快速探測攻擊的存在，有效的提高了數據分析效率，同時還

4、避免了單純模式匹配帶來的誤報。作為本文重點，在該模塊中著重討論了檢測引擎中模式匹配的算法，通過對BF、KMP、BM、BMH等單模式算法的分析比較，以及對多模式匹配WM算法的研究，最后設計出了適合本系統的單模式算法與多模式算法相結合的優(yōu)化算法，使系統性能得到了較大的提高。 雖然研究得到的成果與真正適用的產品還有較大的差距，但通過對系統的設計與實現，使系統具備了基本的入侵檢測功能，并在數據分析效率上相對傳統的入侵檢測系統有了較大的提