论文摘要
入侵检测作为一种主动的安全防护手段,为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为,同时也对内部的未授权活动进行监督。利用网络协议的高度规则性,采用协议分析的方法,结合优秀的模式匹配算法,能较好地解决当前入侵检测系统中准确性与实时性之间的矛盾。首先,本文在研究现有入侵检测技术国内外发展现状及发展方向的基础上,将误用检测和异常检测两种方法相结合,提出模式匹配和协议分析技术相结合的思想,相对于传统的模式匹配检测技术,有效的减少了匹配检测的计算量、误报率和漏报率。其次,在深入研究入侵检测系统常用的BM模式匹配方法的基础上,提出了改进的模式匹配算法,提高了匹配效率。将新一代的协议分析方法应用到网络入侵检测系统(NIDS)中,给出了基于模式匹配和协议分析的网络入侵检测系统模型。本系统通过Winpcap实现了数据包的高效捕获,引入预处理模块解决协议解码、数据包分片重组、数据流分段重组问题,详述了基于Snort的规则解析,对基于Snort的规则划分和规则链表的生成进行了改进,在协议分析模块详细地探讨了IP、TCP、UDP协议的分析过程。在响应模块给出了被动响应和断开TCP连接、发送ICMP报文等主动响应两种响应方式。测试结果表明了模型的可行性和高效性。
论文目录
摘要Abstract1 前言1.1 研究背景和意义1.2 国内外研究现状1.3 入侵检测系统面临的主要问题及发展趋势1.3.1 入侵检测系统面临的主要问题1.3.2 入侵检测系统的发展趋势和研究热点1.4 本文的工作和组织结构1.4.1 论文的工作1.4.2 论文的组织2 入侵检测系统2.1 入侵检测概述2.1.1 入侵检测系统的基本概念2.1.2 入侵检测系统的构成2.2 入侵检测系统的分类2.2.1 主机、网络、分布式入侵检测系统2.2.2 误用检测、异常检测、完整性分析2.3 入侵检测系统的标准化2.3.1 CIDF的标准化2.3.2 IDWG的标准化2.4 本章小结3 模式匹配算法的研究与改进3.1 模式匹配简介3.1.1 基于模式匹配的入侵检测的特点3.1.2 模式匹配系统具体实现3.1.3 基于模式匹配的系统的优缺点3.2 单模式匹配算法3.2.1 KMP算法3.2.2 BM算法3.2.3 基于BM算法的改进算法3.3 多模式匹配算法3.3.1 AC算法3.3.2 AC-BM算法3.4 本章小结4 基于模式匹配和协议分析的IDS设计4.1 TCP/IP协议模型4.2 协议分析原理4.2.1 数据包的封装过程4.2.2 协议分析的基本思想4.3 协议分析的优势4.4 IDS总体设计4.5 数据包捕获模块4.5.1 WinPcap简介4.5.2 网络数据包捕获原理4.6 预处理模块4.6.1 HTTP解码4.6.2 数据包分片重组4.6.3 数据流重组4.7 规则解析模块4.7.1 规则头4.7.2 规则选项4.7.3 规则解析结构分析4.7.4 规则匹配过程4.7.5 规则划分标准的改进4.7.6 规则链表的改进4.8 协议分析模块4.8.1 IP协议分析模块4.8.2 TCP协议分析模块4.8.3 UDP协议分析模块4.9 响应模块4.10 本章小结5 系统测试5.1 实验数据及环境配置5.2 实验内容5.2.1 规则数目与匹配时间测试5.2.2 数据包数目与匹配时间测试5.3 实验结果分析5.3.1 检测准确率5.3.2 检测效率5.3.3 用户的可用性5.4 本章小结结论致谢参考文献在校学习期间发表的论文
相关论文文献
标签:入侵检测论文; 模式匹配论文; 协议分析论文;
