高速网络入侵检测系统中规则匹配算法研究.pdf

西北工业大学
硕士学位论文
高速网络入侵检测系统中规则匹配算法的研究
姓名:胡敏
申请学位级别:硕士
专业:模式识别与智能系统
指导教师:戴冠中
20050301
摘要
误用型入侵检测是入侵检测系统中的一种主要检测方式。但是随着网络流
量的日益增大以及入侵系统规则库的扩大,这种方式由于其检测速度根不上网
络速度从而产生漏检测的情况己非常严重。本文通过分析入侵检测包匹配的检
测引擎,对提高检测速度进行了系统研究。
入侵检测的规则可分为内容规则和非内容规则。在已有的一些研究中,主
要是对内容规则匹配进行改进,如引入多模式匹配思想,以提高这部分检测的
速度。但在应用上还不能从整体上提高检测包的速度。
本文研究了一些典型的入侵检测系统,考察其检测引擎的原理,着重发现
其提高检测速度的有效方法。在归纳出它们的原理后,再做进一步深入研究,
提出了新的规则检测方式。
本文所提出的新的规则检测方式要对规则进行分层处理,它完全改变了原
来检测规则的顺序,改为依规则选项来逐层检测所有规则,这是多模式思想和
分层索引思想的推进。而且使用这种分层的方式,可以在检测时使用数据结构
和查询算法,更快地提高检测速度。
使用这种方法可建立一种新的规则检测引擎,它可以通过对现有系统进行
改造来实现。在论文中详细讨论了如何改造典型的检测系统,以应用上述
新的检测引擎,并做出了系统设计。
为了验证这种新检测方法的性能,我们建立了检测模型,并参考生成
了用于检测的规则,根据实际网络数据生成了检测数据,对模型进行了实验,
以考察其在速度和内存占用上的性能。通过实验,验证了模型对提高检测速度
有很大的效果。应当指出所建立的系统对内存的消费比较大,因此在实际检测
环境中应用还需做进一步的工作。
关键字入侵检测数扼包检测引擎模式匹配
内客规则规则选项平衡二又树查询
叩
,人学硕十学位论文高速网络入检测系统中规则匹配算认的研究
第章绪论
网络安全
网络安全的核心是信息的安全,为防止非法用户利用网络系统的安全缺陷
进行数据的窃取、伪造和破坏,必须建立网络信息系统的安全服务体系。关于
计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织
的定义为“为数据处理系统建立和采用的技术和管理的安全保护保护计算机
硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。计算机安全
包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以
免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。信
息安全的隐患存在于信息的共享和传通过程中、网的安全包括网上的信
息数据安全和网络设各服务的运行安全,日益成为与国家、政府、企业、个人
的利益息息相关的“大事情”。然而,由于在早期网络协议设计上对安全问题的
忽视,以及在使用和管理的无政府状态,逐渐使自身的安全受到严重
威胁,与它有关的安全事故屡有发生。这就要求我们对与互连所带来的
安全性问题予以足够重视。网络面临的安全威胁大体可分为两种一是对网络
数据的威胁二是对网络设备的威胁。这些威胁可能来源于各种各样的因素
可能是有意的,也可能是无意的也能是来源于企业外部的,也可能是内部人
员造成的可能是人为的,也可能是自然力造成的。总结起来,大致有下面几
种伞要威胁
非人为、自然力造成的数据丢失、设备失效、线路阻断。
人为但属于操作人员无意的失误造成的数据丢失。
来月外部和内部人负恶意攻击和入浸。
前面两种的预防与传统电信网络基本相同略。最后一种是当前
网络所而临的最大威胁,是电子商务、政府上网工程等顺利发展的最大障
也是网结安全策略最需要解决的问题。
,人学硕十学位论文高速网络入检测系统中规则匹配算认的研究
第章绪论
网络安全
网络安全的核心是信息的安全,为防止非法用户利用网络系统的安全缺陷
进行数据的窃取、伪造和破坏,必须建立网络信息系统的安全服务体系。关于
计算机信息系统安全性的定义到目前为止还没有统一,国际标准化组织
的定义为“为数据处理系统建立和采用的技术和管理的安全保护保护计算机
硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露”。计算机安全
包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以
免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。信
息安全的隐患存在于信息的共享和传通过程中、网的安全包括网上的信
息数据安全和网络设各服务的运行安全,日益成为与国家、政府、企业、个人
的利益息息相关的“大事情”。然而,由于在早期网络协议设计上对安全问题的
忽视,以及在使用和管理的无政府状