流量预测算法在入侵检测系统中的应用

摘要

随着互联网的爆炸式发展，计算机网络给人们的工作，学习和生活带来方便快捷的同时，网络安全也给人们带来严峻挑战。作为网络安全的重要手段之一入侵检测和防火墙一起，构成了立体的网络安全防护体系，是网络安全产品中不可或缺的重要组成部分。Snort入侵检测系统作为著名的开源入侵检测系统，能够有效地保护网络信息安全，得到业界非常广泛的研究和使用。Snort的检测模型分为数据包捕获，预处理，模式匹配，产生报警四个主要环节，随着网络带宽的提高，网络攻击种类急剧增加，对检测匹配速度的提高迫在眉睫。 本文在基本上不改变检测结果的前提下，利用流量预测的方法在预处理阶段提前检测入侵行为，从而有效地降低检测的时间，提高检测的效率。基于流量预测算法，针对入侵检测系统snort的研究和改进，主要内容包括：①剖析snort系统的结构体系，发现snort模式匹配阶段所占时间百分比很高，得出模式匹配算法是Snort系统性能瓶颈的结论。②在入侵检测系统snort中，建立八步相关的流量队列，加入流量预测的集成学习算法，根据流量特征，提前产生报警，从而绕过模式匹配阶段，减少模式匹配所占时间的百分比，提高了检测效率，同时，改变了检测模型。③对改进的snort系统进行测评和分析。选择攻击工具对指定的IP进行攻击，并在文本中记录检测的相关信息，验证改进的snort具有检测能力；第二步，用麻省理工林肯实验室的DARPA1999入侵检测数据集对改进前后的snort进行测试。

目录

文摘

英文文摘

声明

第1章绪论

1.1研究意义及背景

1.1.1入侵检测系统的功能

1.1.2流量预测组合算法

1.1.3论文拟解决的的问题

1.2入侵和入侵检测技术

1.2.1入侵行为和入侵检测

1.2.2入侵检测系统的结构

1.2.3入侵检测系统的分类

1.3相关国内外现状分析

1.4主要工作和论文结构

本章小结

第2章snort入侵检测系统

2.1 Snort检测模型及系统架构

2.1.1 Snort主要模块

2.1.2 Snort的检测模型

2.1.3 Snort系统主要模块接口及数据结构

2.2 snort的工作模式和规则集

2.2.1 snort的三种工作模式

2.2.2 snort规则集

2.3 snort主要数据结构和重要主要函数分析

2.3.1主控模块

2.3.2解码模块

2.3.3规则模块

2.3.4数据包的检测部分函数

本章小结

第3章基于多神经网络的集成学习算法

3.1神经网络预测模型

3.1.1线性神经网络预测

3.1.2 Elman神经网络预测

3.1.3 RBF神经网络预测

3.1.4 BP神经网络预测

3.2多神经网络集成学习算法模型

3.3多神经网络集成学习算法

3.4网络流量的特征分析

本章小结

第4章流量预测算法在snort中的应用

4.1 Gorof剖析snort系统

4.1.1 Gprof简介

4.1.2 Snort系统性能瓶颈分析及结论

4.1.3.改进的snort系统检测模型

4.2流量预测算法在snort中的应用

4.2.1配置winpcap环境截获网络流量

4.2.2流量预测的集成学习算法

4.3网络流量分析

本章小结

第5章测评入侵检测系统

5.1采用HGod工具进行攻击

5.1.1 HGod攻击

5.1.2 HGod攻击引起网络流量的变化

5.1.3受攻击的主机的检测结果

5.2对入侵检测系统进行测评

5.2.1 DARPA1999数据集介绍

5.2.2测试改进前后的入侵检测系统

本章小结

总结与展望

致谢

参考文献

攻读硕士学位期间发表的论文及科研成果