基于模式匹配和協(xié)議分析的NIDS研究和設(shè)計.pdf

1、入侵檢測是系統(tǒng)安全防御體系中繼防火墻之后又一項重要的安全技術(shù)，可以在系統(tǒng)入侵的全過程對系統(tǒng)進(jìn)行實時檢測與監(jiān)控。入侵檢測系統(tǒng)能在入侵危害發(fā)生前，檢測到入侵攻擊，并利用預(yù)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過程中，能及時報警，并將入侵攻擊造成的損失減至最?。辉谌肭止舭l(fā)生后，可以收集相關(guān)信息，作為入侵特征，添加入知識庫內(nèi)，以避免系統(tǒng)再次受到入侵。隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和入侵手段的不斷更新，對入侵檢測技術(shù)也提出了更高的要求。 本文在研

2、究現(xiàn)有入侵檢測技術(shù)國內(nèi)外發(fā)展現(xiàn)狀及發(fā)展方向的基礎(chǔ)上，提出模式匹配和協(xié)議分析技術(shù)相結(jié)合的思想。在深入研究入侵檢測系統(tǒng)常用的模式匹配方法的基礎(chǔ)上，提出了改進(jìn)的模式匹配算法(NMSA)，并將新一代的協(xié)議分析方法應(yīng)用到網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)中，使誤用檢測和異常檢測方法相結(jié)合，并詳細(xì)給出了基于模式匹配和協(xié)議分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型和設(shè)計過程。最后通過實驗證明系統(tǒng)具有較高的檢測率、檢測效率和可用性。 論文共分六章。 第一章為

3、文獻(xiàn)綜述和問題提出部分； 第二章建立了基于模式匹配和協(xié)議分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)整體框架，主要包括6個模塊：網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊、規(guī)則解析模塊、數(shù)據(jù)分析模塊、入侵響應(yīng)模塊、數(shù)據(jù)存儲和報表生成模塊、分析控制中心模塊，并對部分模塊進(jìn)行了分析設(shè)計。 第三章建立了事件描述語言，用于描述入侵特征，闡述了特征選擇、規(guī)則格式、規(guī)則選項和規(guī)則解析等，并針對snort規(guī)則解析方法的不足，增加寬度搜索，提高了檢測效率。 第四章著重討論快