基于改进BM算法的入侵检测系统研究与设计

论文摘要

随着网络的不断发展,网络安全也越来越受到关注,原有的防火墙已经越来越难以独立保障网络的安全,这其中包含很多原因,主要是由于防火墙始终在明处抵挡外来的攻击,黑客针对防火墙的手段不断翻新,让它防不胜防；另一方面,很多攻击来源于网络内部,例如内部用户的越权操作或恶意破坏等,这些都对网络安全构成了极大的威胁。为更全面的保护网络不受攻击,入侵检测系统应运而生本文详细讨论了朴素算法、KMP、BM、BMH和AC-BM五种模式匹配算法的基本思想以及主要性能,并且编程实现了BM、BMH两种算法。以常用的网络入侵检测系统Snort为例,在深入研究入侵检测系统常用的模式匹配方法的基础上,通过分析得出模式匹配检测方法存在的问题以及瓶颈所在,提出了两种改进算法,一种是增加预处理程序,减少不必要的匹配次数,可有效地防止算法攻击,并且可应用于单模式和多模式匹配算法。另一种是根据紧跟在当前子串之后的那个字符获得位移量的方法来进行匹配,具有匹配速度快,算法简便易行等特点。两种算法在实际运行中都很快,并且给出了代码。最后,从各个角度和各个层次对模式匹配和协议分析在入侵检测方面上的差异进行了对比。在文章的结尾,提出了一种新的NIDS模型,该模型将模式匹配和协议分析技术两种检测方法相结合,并进行了总体设计。

论文目录

摘要

ABSTRACT

第一章引言

1.1 研究背景

1.2 现实意义

1.3 入侵检测技术的国内和国外研究现状

1.4 本论文研究的问题

第二章入侵检测系统概述

2.1 入侵检测系统的基本概念

2.1.1 入侵检测的定义

2.1.2 入侵检测系统模型

2.2 入侵检测系统的分类

2.2.1 数据来源

2.2.2 检测方法

2.3 入侵检测系统的标准化

2.3.1 公共入侵检测框架（CIDF）

2.3.2 入侵检测工作组（IDWG）的相关标准

2.4 入侵检测系统的组成部分

2.5 入侵检测系统的部署

2.6 Snort系统概述

2.6.1 Snort简介

2.6.2 Snort规则介绍

2.7 入侵检测系统的发展趋势

第三章基于模式匹配的入侵检测方法

3.1 模式匹配检测方法简介

3.1.1 模式匹配原理

3.1.2 模式匹配系统特点

3.1.3 模式匹配系统实现

3.2 单模式字符串匹配算法

3.2.1 朴素的模式匹配算法

3.2.2 KMP算法

3.2.3 BM算法

3.2.4 BMH算法

3.2.5 BM及BMH算法分析

3.3 多模式字符串匹配算法

3.3.1 多模式字符串匹配算法的研究方向

3.3.2 AC-BM算法介绍

3.3.3 AC-BM算法分析

3.4 改进算法

3.4.1 预处理

3.4.2 增加移动步长

3.5 模式匹配检测方法

3.5.1 模式匹配特点

3.5.2 基于模式匹配的NIDS面临的问题

第四章基于协议分析的检测方法

4.1 协议分析方法

4.1.1 基于协议分析的特征

4.1.2 基于状态的协议分析的特征

4.1.3 原理举例

4.2 协议分析的特点

4.3 协议分析与模式匹配的对比

4.4 一种新型NIDS模型

4.4.1 基于攻击特征模式匹配的入侵检测方法

4.4.2 基于协议分析的入侵检测方法

4.5 模型性能分析

4.5.1 检测速度

4.5.2 误报率

4.5.3 漏报率

4.5.4 系统本身抗攻击能力

第五章 NIDS系统总体设计

5.1 系统工作流程

5.2 数据包捕获模块

5.2.1 以太网络的工作原理

5.2.2 以太网卡的工作模式

5.2.3 常见的抓取网络数据包工具

5.2.4 捕获到的IP数据报的结构

5.2.5 Winpcap函数库捕获机制

5.3 协议解码模块

5.4 规则处理模块

5.4.1 规则描述语言

5.4.2 规则存储结构

5.5 模式匹配模块

5.5.1 预处理

5.5.2 模式字符串匹配

5.6 协议分析模块

5.7 安全响应模块

5.7.1 入侵响应

5.7.2 日志记录

第六章结束语

参考文献

致谢

基于改进BM算法的入侵检测系统研究与设计

论文摘要

论文目录

相关论文文献

猜你喜欢