论文摘要
入侵检测作为一种主动的安全防御手段,通过对网络上的数据流进行实时分析,发现潜在的入侵威胁,最大限度地提高网络的安全保障能力。本文首先分析了当前网络安全现状及其对策。接着分析了网络安全中的采用入侵检测技术的必要性和分类。并设计了入侵检测系统的整体框架:数据包捕获模块、数据分析模块、规则解析模块、响应模块、日志子系统五个模块,给出了各个模块的实现方式,并重点研究了数据包捕获模块和数据分析模块中的检测引擎子模块。捕获数据包是入侵检测的基础,传统的入侵检测技术一般采用基于BPF过滤机制的捕包工具,该机制需将数据包从网络设备到内存空间,再从内存空间到用户应用程序进行两次拷贝,使其存在捕包效率较低、CPU利用率不高等缺点;为此本文采用零拷贝思想改进了传统的捕包方式。零拷贝技术通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可直接访问到的地址空间,避免数据报文在内核态中传输时的内存操作,有效地降低了网络通信延迟和节省了CPU的开销。检测引擎作为入侵检测系统的核心,基干模式匹配的BM算法实现简单,技术成熟,但由于没有考虑已匹配的后缀及导致匹配失败的当前字符之间的相邻关系,使得算法的效率不高。为此本文设计了一种改进型的BM算法。该算法通过对最长前缀进行匹配,只需查找一个表则可得到模式串的移动次数,从而减少了检测过程中的计算量,提高了检测的准确性和系统的整体性能。最后,本文对系统的性能进行了测试和分析,通过与传统系统的性能比较,证明本文所设计的系统具有捕包和检测匹配效率较高、资源消耗较低等优点。同时总结了本文的研究工作,指出了下一步的研究方向。
论文目录
摘要Abstract第1章 绪论1.1 课题研究背景1.2 课题研究现状1.3 课题研究的内容与组织结构1.3.1 课题研究的内容1.3.2 本文的组织结构第2章 入侵检测系统概述2.1 入侵检测系统的定义2.2 入侵检测系统的体系结构2.3 入侵检测系统的功能2.4 入侵检测系统的分类2.4.1 根据数据来源分类2.4.2 根据采用的分析方法分类2.5 入侵检测系统的检测方法及其比较2.5.1 误用检测的实现方法2.5.2 异常检测的实现方法2.5.3 误用检测和异常检测的比较2.6 现有入侵检测系统的不足2.7 入侵检测系统的发展趋势2.8 小结第3章 入侵检测系统的总体设计3.1 需求分析3.2 系统设计原则及策略3.3 系统设计方案3.4 入侵检测系统的部署3.5 小结第4章 入侵检测系统的详细设计4.1 数据包捕获机制4.1.1 传统的数据包捕获机制4.1.1.1 主要的数据捕获技术4.1.1.2 BPF 机制4.1.1.3 数据包捕获机制的具体实现4.1.2 基于零拷贝技术的数据包捕获机制4.1.2.1 传统的数据包捕获机制及其不合理性分析4.1.2.2 零拷贝主要技术分析4.1.2.3 零拷贝捕包模块方案设计4.1.2.4 零捕包模块工作过程设计4.2 数据分析模块4.2.1 协议解析子模块4.2.2 预处理子模块4.2.3 入侵检测模块4.3 规则解析子模块4.3.1 规则结构4.3.2 规则模块的实现4.4 响应模块4.5 小结第5章 测试与分析5.1 捕包性能测试5.1.1 测试平台及测试工具5.1.2 测试项目5.1.3 测试结果5.1.4 测试结果分析5.2 模式匹配算法测试5.3 小结结论与展望参考文献致谢附录 攻读硕士学位期间的主要研究成果
相关论文文献
标签:网络安全论文; 入侵检测论文; 零拷贝技术论文; 算法论文;
