入侵检测系统中的离散特征检测方法研究

摘要

入侵检测系统在网络报文流中进行特征模式匹配是边界网络安全防护的核心技术之一。由于网络环境的特殊性，网络中传输的命令、文件和媒体等信息在各种网络协议的约束下被划分成了格式不一的大量报文片段，并受到乱序、丢包、网络拥塞、抖动等不稳定因素影响。因此需要对产生的离散特征检测问题进行深入分析与实验。
　　 离散匹配算法是在经典模式匹配算法的基础上修改实现，通过对报文的单遍扫描完成检测，可以解决重组检测方式中的资源性能问题。但离散匹配算法检测准确率大多受限于网络流量稳定性，并且缺乏实践效果论证。文中综合离散匹配与重组检测的优点提出了改进的离散特征检测算法，在基础离散匹配中加入了选择重组功能。实验证明离散匹配算法具有内存耗用极低的优势，改进算法利用这一点来重组处理非常规报文，并进一步提出了自适应阈值调整的解决方案，以应对网络拥塞等流量不稳定现象，实现了性能耗用与检测效果的更好融合。
　　 最后以离散特征检测算法为核心引擎，设计并实现了一个恶意代码入侵检测系统原型，主要由离散规则库、流管理模块和检测引擎组成，能够完成对网络中恶意代码传输的实时检测。通过实际的测试效果证明了基础算法和改进算法的检测能力，系统最终的检测效果和性能评估也体现了离散匹配算法与改进算法的优越性。

目录

文摘

英文文摘

声明

1 绪论

2 IDS 离散特征检测基本方法

3 改进的离散特征检测算法RD-Match

4 基于离散特征检测的恶意文件IDS

5 实验测试

6 总结与展望

致 谢

参考文献