基于协议分析的入侵检测系统的研究与实现

山东大学硕士学位论文基于协议分析的入侵检测系统的研究与实现姓名：张文慧申请学位级别：硕士专业：计算机软件与理论指导教师：张岳公20090420基于协议分析的入侵检测系统的研究与实现作者：张文慧学位授予单位：山东大学相似文献(10条)1.学位论文杜丰入侵检测中BM模式匹配算法的研究和改进2009入侵检测是一种动态的安全防护手段，它能主动识别入侵信息，为网络系统提供安全保护。模式匹配技术是入侵检测系统识别攻击行为的主要技术，它能够快速探测攻击的存在，具有误报率低、准确性高、实用性强等优点。在高速网络环境下，入侵检测的速度有可能跟不上数据包传输速率，导致攻击行为的漏报，因而入侵检测系统的检测速度越来越成为其获得实效的瓶颈之一。降低入侵检测中常用的模式匹配算法的时间复杂度和空间复杂度是提高检测性能的一种有效途径。本文的研究重点是对入侵检测中使用的模式匹配算法进行研究和改进。本文首先对入侵检测的现状进行了分析，重点研究了网络入侵检测的核心技术--模式匹配。研究从模式匹配方法的原理出发，提出了其面临的问题。在此基础上，对当前最流行的BM算法从原理到性能进行了详细地分析和讨论。BM算法拥有较好的匹配效率，但是它不能记录上一次匹配结果，而且算法的预处理过程也会带来较大的内存占有量。本文从时间复杂度和空间复杂度两个方面进行了算法的改进研究，分别提出两种改进算法：BMLT和BMLS。BMLT通过设定一个新的预处理函数来计算移动量，能有效增加模式串的移动距离。BMLS通过减少处理规则和判断坏字符在模式串中出现的次数，能在对时间复杂度影响不大的前提下，减少算法的空间复杂度。本文利用著名的开源入侵检测系统Snort和实际的网络环境，从匹配速度和空间占用两方面对BMLT和BMLS算法进行了测试分析，并与BM算法进行了比较。相比改进前，算法的时间复杂度最多减少了60％，空间复杂度最多减少了26％。实验结果表明两种算法均能有效地提高入侵检测的性能。2.期刊论文杜浩阳.DUHao-yangSnort中BM模式匹配算法的研究与改进-河南城建学院学报2009,18(3)随着网络安全问题的日益严峻,入侵检测系统Snort凭借其自身特点能有效地弥补传统安全保护措施的不足,己成为计算机与网络安全的重要组成部分.模式匹配算法是基于特征匹配入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能.文章首先详细阐述了入侵检测系统Snort的BM模式匹配算法思想,在此基础上提出了一种改进的BM算法,该算法在重复后缀较多的情况下,能有效加快模式匹配的速度,提高入侵检测的效率.3.期刊论文程玉青.梅登华.CHENGYu-qing.MEIDeng-hua入侵检测系统中BM模式匹配算法的改进-计算机技术与发展2009,19(3)随着计算机网络的持续快速发展,网络安全问题日益突出,入侵检测技术也成为当前研究的热点.检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,模式匹配算法直接影响到系统的准确性和实时性能.文中介绍了目前最常用的BM模式匹配算法,以及其改进算法Boyer-Moore-Horspool(BMH)算法,在此基础上提出了另一种改进的BM算法.该算法减少了匹配次数,有效地加快了模式匹配的速度,提高了入侵检测的效率.4.学位论文田密基于校园网的入侵检测系统设计与研究2009随着互联网应用的飞速发展，入侵技术和攻击手段也日趋复杂。为了加强网络的安全，主动防御的入侵检测系统得到了广泛的应用并成为网络领域的研究热点。br　　本文对我院各校区现有的网络结构进行了细致的分析。在现有入侵检测系统的基础上，在Linux系统下设计了基于校园网的入侵检测系统PIDS。论文开展了以下几个方面的研究工作：br　　1、研究入侵检测系统的基本概念、检测技术分类和检测方法，并对各种检测方法进行比较，分析其优、缺点。br　　2、研究入侵检测系统的检测原理，设计出一种基于校园网的入侵检测系统方案，分析了系统主要组成模块的具体功能。br　　3、对网络数据包捕获模块进行了深入的研究，发现数据包捕获模块是影响系统性能的主要瓶颈，通过分析比较研究，提出了使用NAPI和内存映射技术提高数据包的捕获效率，通过实现表明该模块的捕包性能有了很大的提高。br　　4、对入侵检测模块的设计上，采用了基于协议的分析技术，并给出了一种改进的BM模式匹配算法。提高了入侵检测系统的检测效率。5.期刊论文费洪晓.戴宏伟.肖新华Snort中BM模式匹配算法的研究与改进-计算机系统应用2007,(8)首先详细的阐述了入侵检测系统Snort的BM模式匹配算法的思想,在此基础上提出了一种改进的BM算法,该算法在重复后缀较多的情况下,能有效的加快模式匹配的速度,提高入侵检测的效率.6.学位论文孙继华基于分布式Agent的入侵检测技术研究2003该文分析了各种入侵检测技术的特点,说明了入侵检测对于网络安全的重要意义,并且提出一种基于Agent的分布式入侵检测系统,可适应复杂网络环境,具有良好的分布性能和扩展性.系统主要由层次式的Agent组成,不同Agent负责不同的功能,分工协作,相互通信,实时地监视网络环境的安全状况:系统主要对基于网络方面的入侵检测作了深入研究,对检测的数据包进行分析,说明了检测网络蠕虫的方法,并提供检测和报告功能.系统在实现网络引擎时,主要使用了协议分析技术和模式匹配算法,通过两者的结合,有效地减小目标的匹配范围,提高了检测速度.通过使用BM模式匹配算法,使得网络引擎具有更好的实时性能.7.学位论文戴宏伟基于协议分析的入侵检测技术研究2007入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督。利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，能较好地解决当前入侵检测系统中准确性与实时性之间的矛盾。论文对BM模式匹配算法进行了改进，使之更适应入侵检测系统中入侵规则的重复后缀频繁出现的情况。然后从基于协议分析的入侵检测系统的基本框架出发，深入探讨了其中的包捕获机制、包过滤机制和协议分析机制，重点描述了包括IP重组、TCP流重组和HTTP解码的协议分析预处理过程的设计。利用Winpcap函数库其中的BPF过滤机制，实现了对网络接口设备上的数据捕获和过滤；在TcP/IP协议族层次结构的基础上，实现了对其中的重要协议，如IP、TCP、UDP、HTTP等的分析，能够有效提高系统检测的精度和速度。测试结果表明，改进的BM算法能较好地处理重复后缀较多的情形。网络数据包的捕获、过滤及协议分析模块能够对TCP/IP数据包进行比较详细的解码，系统能够很好地检测出一些典型的网络攻击。8.会议论文程玉青.梅登华Snort中BM模式匹配算法的改进2008SNORT是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。检测引擎作为Snort的核心模块,其模式匹配算法直接影响到系统的准确性和实时性能。首先介绍了目前最常用的BM模式匹配算法,以及其改进算法Boyer-Moore-Horspool(BMH)算法,在此基础上提出了另一种改进的BM算法,该算法减少了匹配次数,有效地加快了Snort模式匹配的速度,提高了入侵检测的效率。9.学位论文陈红军网络入侵检测系统检测引擎的设计实现2005随着计算机网络的飞速发展，社会信息化程度的不断提高，网络在带来巨大的经济效益和社会效益的同时，也面临着日益严重的安全问题。对计算机网络的最大威胁是计算机病毒和黑客攻击。高速的网络为攻击者提供了方便，攻击模式和方法越来越复杂，攻击者的水平也在不断提高，攻击规模日益扩大，越来越多的系统受到攻击，如何保护网络系统不受入侵成为目前迫切需要解决的问题。入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击和外部攻击的实时防护，在计算机网络遭受危害之前进行报警、拦截和响应。论文首先在讨论网络安全缺陷和漏洞的基础上，对入侵检测系统进行了概述性介绍。入侵检测的分析技术主要分为滥用入侵检测和异常入侵检测，目前国内外流行的网络入侵检测系统大都是采用滥用入侵检测技术。本文采用滥用检测技术，实现了基于网络数据包的检测。滥用检测使用模式匹配方法，它是对已知的攻击技术进行分析，提取攻击的特征，然后对收集到的网络数据包与建立的入侵规则进行匹配，判断是否有攻击事件发生。其次，在介绍常用入侵手段和网络入侵检测系统研究现状的基础上，讨论了当前入侵检测技术面临的挑战和发展趋势展望。最后，设计实现了采用协议分析和模式匹配方法的网络入侵检测引擎系统。本课题使用Snort系统定义的规则库，实现了规则解析程序，通过建立规则选项索引链表，动态调整规则顺序，有效地提高了规则检测的速度和效率。对于捕获的数据包根据不同的协议进行解码，预处理模块则能对IP分片进行重组和对TCP流数据还原，规则检测模块采用了改进的BM模式匹配算法，使系统具有较快的字符串匹配速度。10.期刊论文袁静波.郑吉森.丁顺利.YUANJing-bo.ZHENGJi-sen.DINGShun-li一种BM模式匹配算法的改进-计算机工程与应用2009,45(17)模式匹配算法是入侵检测系统中使用较多的一种重要算法.在分析了BM算法以及相关算法的基础上,提出了一种新的改进算法--BMI算法.该算法借鉴了BM算法的思想,并利用了下一字符和末字符的单一性和组合性,有效地提高了最大位移出现的概率.实验测试结果表明该算法能够有效提高匹配过程的效率.本文链接：授权使用：中南大学(zndx)，授权号：da5ad2b0-67a1-463f-ad7f-9e4c00a5d497下载时间：2010年12月14日