利用动态规则集和协议分析提高入侵检测效率

摘要

随着网络的普及和黑客的增多，网络安全问题变得日益重要。入侵检测技术作为一种计算机网络安全监测手段，已经成为维护网络安全的主要技术之一。 入侵检测通常是抓取数据包然后基于特征逐条模式匹配，匹配成功则说明有入侵发生。随着网络和攻击的发展，不得不增多规则条目来完善规则库。规则集的膨胀和网络流速的提高，使得事件分析器来不及处理每一个数据包，致使丢包不可避免，所丢的包中的攻击100％被漏报，导致漏报率增大，因此事件分析器的处理能力成为了入侵检测系统的瓶颈。 为了解决这一瓶颈问题，降低入侵检测系统的漏报率，结合通用入侵检测框架的思想，以动态规则集和协议分析为基础，设计了一个基于动态规则集和协议分析的入侵检测系统中的事件分析器。在该事件分析器建立一个动态规则调整策略，它可以获得网络流速和入侵检测系统的处理能力，然后根据相应的策略来动态调整规则集的范围，同时也结合协议分析，将规则集分类，这样尽可能的减少匹配规则集的范围，在匹配的过程中，同时也根据规则的概率机制，按照概率顺序，先匹配那些经常匹配成功的规则，后匹配那些很少匹配成功的规则，这样就能减少数据包的平均匹配时间。这样的入侵检测系统使系统资源得到充分利用，也解决了入侵检测系统的瓶颈问题，使入侵检测系统在当前流速下的性能得到提高。 结合snort(一种小型的网络入侵检测系统)给出了该事件分析器的实现和原型系统，并进行测试得出了结论，即利用动态规则集和协议分析能提高入侵检测效率。