论文摘要
近些年来,威胁网络安全的事件屡屡发生,诸如杀毒软件、防火墙等传统的网络安全技术已经不能满足现在形势下的对于入侵防范的需求。入侵检测技术是当前网络安全发展的主要方向,但是,单一的异常入侵检测系统通常会带来较高的误报率和漏报率,而误用入侵检测系统往往对于未知的攻击类型不能够很好的进行识别。本文针对目前入侵检测技术的不足,在现有的Snort入侵检测系统的基础上,提出了基于隐马尔科可夫模型的改进的混合式入侵检测系统。首先,对于Snort入侵检测系统的结构体系和功能进行了详细分析,提出了若干种提高系统性能的改进方法。基于构建该系统使用了便于扩展的插件模式这一特征,分别对于预处理模块和规则链表进行改进,目的是提高系统工作效率。对于规则集采用了一种新的基于活跃度的优化算法,能够降低规则匹配所需的时间。其次,基于描述随机过程的隐马尔可夫模型的理论,制作了基于隐马尔可夫模型的学习模块和检测模块。将这两个模块以插件的形式作为预处理器,将经过Snort系统解码的数据包与通过使用正常数据训练学习模块获得的正常数据模型进行比对,将“正常”的数据包过滤掉,而将“异常”的数据包送往检测引擎进行误用检测。这种方法一方面可以减少系统检测时间,另一方面减少由于数据量大引起的丢包。最后,通过进行实验测试,验证了新的入侵检测系统与原有的采用单一的误用检测技术的系统相对比,用于数据检测的时间得到了显著的缩减。在降低入侵检测的误报率、漏报率和对未知攻击进行检测的方面,系统效率都有所提升。之后,讨论了目前该系统依然存在的不足之处,提出了进一步改进的构想。