基于協(xié)議分析的入侵檢測系統(tǒng)的設(shè)計實現(xiàn).pdf

1、在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，網(wǎng)絡(luò)安全的現(xiàn)狀越來越讓人擔(dān)憂，網(wǎng)絡(luò)安全的重要性越發(fā)顯現(xiàn)出來，隨之產(chǎn)生的各種網(wǎng)絡(luò)安全技術(shù)也得到了不斷地發(fā)展。防火墻、加密技術(shù)等技術(shù)，總的來說都屬于一些靜態(tài)的防御技術(shù)。如果單純依靠這些技術(shù)，仍然難以保證網(wǎng)絡(luò)的安全性。入侵檢測技術(shù)是一種主動的防御技術(shù)，能夠?qū)W(wǎng)絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進(jìn)行主動實時的監(jiān)測，更加有效地保護(hù)被監(jiān)測網(wǎng)絡(luò)的安全。為此，本文在綜合了當(dāng)今流行的安全檢測技術(shù)的基礎(chǔ)上，提出了一種基于協(xié)議

2、分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)的模型，并詳細(xì)討論了其實現(xiàn)研究。 當(dāng)前的網(wǎng)絡(luò)入侵檢測系統(tǒng)正面臨著巨大的挑戰(zhàn)：及時、高效地采集、處理、分析大量的數(shù)據(jù)包，減少甚至避免丟包現(xiàn)象的發(fā)生。提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性。我們在網(wǎng)絡(luò)入侵檢測系統(tǒng)的體系結(jié)構(gòu)、網(wǎng)絡(luò)數(shù)據(jù)包采集模塊以及分析檢測技術(shù)等方面做了一些改進(jìn)，在實驗中取得了較好的效果。 網(wǎng)絡(luò)數(shù)據(jù)包采集模塊是整個系統(tǒng)高效工作的基礎(chǔ)，目前國內(nèi)外的大多數(shù)網(wǎng)絡(luò)入侵檢測系統(tǒng)的數(shù)據(jù)采集

3、模塊，都是利用libpcap提供的函數(shù)庫來實現(xiàn)，其在Windows下的版本為winpcap。本系統(tǒng)通過設(shè)置多個接收數(shù)據(jù)緩存，利用多個采集線程同分析線程并行運行，提高采集的效率。 其中，在檢測部件的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結(jié)合的方法，有效地減小了目標(biāo)的匹配范圍，提高了檢測速度。同時改進(jìn)了匹配算法，使得系統(tǒng)具有更好的實時性能。在系統(tǒng)的安全規(guī)則數(shù)據(jù)庫的更新過程中，系統(tǒng)不斷對用于匹配的安全規(guī)則進(jìn)行及時的更新，從而可以盡量減少錯