基于深度协议分析与动态规则集的MSN入侵检测引擎研究与实现

论文摘要

网络入侵事件频繁发生,给全世界的互联网用户带来了无法估量的损失。为了保障系统的安全性,仅仅做好防御工作是不够的。入侵检测系统作为一种主动的安全防护工具,能够在计算机网络遭受危害之前发现入侵,并对入侵发出警报、进行拦截,为计算机网络提供安全保障。但是随着网络的发展,入侵检测系统也面临着巨大的挑战。现在的入侵检测系统普遍具有较高的漏报率和误报率等问题。如何提高检测的准确度,如何加快数据检测的速度,是解决这些问题的关键。本文针对当前的入侵检测系统存在比较高的误报率的问题,提出了在入侵检测过程中采用深度协议分析,对数据包进行深度检测的方法来提高检测的准确度。由于对数据包采用深度检测使系统拥有大规模的规则库,从而导致了系统在进行模式匹配时运算量过大,使得系统的性能降低。为了解决这一问题,本文提出了一种分布式规则库策略,该策略基于协议分析,根据协议类型对规则库进行相对应的分类,从而使得规则库相对的变小。其次本文还提出了一种改进的动态规则集策略,进一步对臃肿的规则库进行优化。通过这些技术来减轻入侵检测系统在进行模式匹配的运算量,从而加快数据检测的速度。本文从当前网络安全的要求及入侵检测的发展状况入手,提出了课题的主要研究工作和论文结构；接着给出了一种入侵检测参考模型并分别对模型中的关键技术进行了分析,其中包括深度协议分析、基于状态的入侵检测技术以及规则库的优化技术；然后根据这些技术设计并实现了入侵检测系统的一个应用层协议解析与检测引擎；最后通过试验测试,证明了改进的技术对提高入侵检测系统的性能有着很重要的作用。

论文目录

摘要

ABSTRACT

第1章引言

1.1 入侵检测系统研究的重要意义

1.1.1 计算机网络安全的目标

1.1.2 传统的计算机网络安全技术

1.1.3 入侵检测的必要性

1.2 本文研究内容

1.3 本文组织结构

第2章入侵检测系统概述

2.1 网络入侵概述

2.2 入侵检测概述

2.3 入侵检测技术

2.4 入侵检测系统模型

2.4.1 Denning模型

2.4.2 通用入侵检测系统结构

2.4.3 公共入侵检测系统框架CIDF

2.5 入侵检测系统的部署

2.5.1 传统的入侵检测系统部署

2.5.2 嵌入到数据流的入侵检测系统

2.6 侵检测系统分类

2.6.1 根据检测方法分类

2.6.2 根据数据源分类

2.7 入侵检测技术的发展趋势

2.8 本章小结

第3章深度协议分析与分流算法研究

3.1 TCP/IP协议简介

3.2 协议分析

3.2.1 数据链路层的协议分析

3.2.2 网络层的协议分析

3.2.3 传输层的协议分析

3.2.4 应用层的协议分析

3.3 基于协议分析的入侵检测方法

3.3.1 传统的入侵检测方法

3.3.2 基于深度协议分析的入侵检测方法

3.3.3 基于协议状态的入侵检测技术

3.4 协议分流算法

3.5 基于主机处理能力的二次分流

3.6 本章小结

第4章动态规则策略优化规则库研究

4.1 规则库概述

4.1.1 传统规则库

4.1.2 分布式规则库

4.2 基于动态规则策略改进规则库

4.2.1 规则库动态调整

4.2.2 建立一个规则优先的策略

4.3 规则项优先级的设置

4.3.1 根据蜜罐系统设置优先级

4.3.2 根据分析主机信息设置优先级

4.4 本章小结

第5章 NIDS中MSN检测引擎的设计与实现

5.1 传统的入侵检测系统模型

5.2 基于协议分析与动态规则集的入侵检测系统模型

5.3 本系统的特点

5.3.1 深度协议分析技术

5.3.2 动态规则集技术

5.4 MSN检测引擎的设计与实现

5.4.1 MSN概述

5.4.2 MSN工作原理

5.4.3 MSN协议结构分析

5.4.4 MSN协议引擎设计

5.4.5 MSN协议引擎的实现

5.5 实验测试

5.6 本章小结

第6章结论与展望

6.1 本文工作总结

6.2 下一步工作展望

参考文献

致谢

攻读硕士期间发表的论文

基于深度协议分析与动态规则集的MSN入侵检测引擎研究与实现

论文摘要

论文目录

相关论文文献

猜你喜欢