入侵检测中的数据包采样算法研究及实现

摘要

随着网络安全问题的日益严重，入侵检测系统(Intrusion Detection System，缩写：IDS)已经成为计算机与网络安全的重要组成部分。随着网络带宽的不断增加，由于处理能力的限制，现有入侵检测系统面临挑战，如何提升IDS的处理能力备受关注。提升硬件的处理速度是常用的方法，然而，硬件处理速度的提升却远远跟不上网络带宽的增加速度，IDS的处理能力面临着瓶颈。 数据包采样是提升数据包处理能力的很好方法，在网络流量监测分析中得到了广泛应用。然而，传统的数据包采样算法，都是针对网络流量监测所设计的，初始设计时并没有考虑应用在入侵检测中。近些年来，逐渐开始有研究者开始研究入侵检测中的数据包采样算法，分析了几种传统的应用于网络测量中的数据包采样算法，验证了这些算法直接应用在高速链路入侵检测中的不适用性，但并没有提出新的有效算法。基于此，本文将针对高速链路入侵检测研究新的数据包采样算法。 本文的主要研究内容和工作成果如下： 1.分析了网络中典型的入侵攻击方式，通过对经典数据集进行入侵检测后的日志统计，得出入侵过程的一个重要特点：入侵攻击过程在时间上具有连续性。依据此特点，为高速链路中的入侵检测设计了一种新的数据包采样算法。 2.在入侵检测系统Snort的基础上设计实验平台，把Snort数据包捕获速率从百兆提升至千兆，使其能应用于真实高速链路中的实验。 3.搭建真实高速链路环境，利用新设计的实验平台对采样算法进行实验。实验结果证明，新的数据包采样算法在高速链路下可以大大提升检测速度，同时，与传统数据包采样算法相比，有更高的检测成功率。

目录

文摘

英文文摘

论文说明：图表目录

声明

第1章绪论

1.1课题背景及意义

1.2入侵检测概述

1.2.1入侵检测研究的历史

1.2.2入侵检测技术的定义及分类

1.2.3入侵检测系统

1.3网络测试中的数据包采样技术概述

1.3.1网络测试研究的历史

1.3.2网络中数据包采样技术的背景

1.3.3网络中数据包采样技术的研究现状

1.4本文的主要研究工作和组织结构

第2章传统数据包采样算法对入侵检测的影响

2.1数据包采样算法

2.2流量异常检测方法

2.3端口扫描检测

2.4采样对异常流检测的影响

2.4.1流量异常检测结果

2.4.2采样对流量特性的改变

2.5采样对端口扫描检测的影响

2.5.1采样对TRWSYN算法的影响

2.5.2采样对TAPS的影响

2.6 小结

第3章一种适用高速链路入侵检测的数据包采样算法

3.1常见网络入侵手段原理分析

3.2入侵过程在时间上的连续性

3.2.1实验所使用的数据集

3.2.2实验方法及其结果

3.3应用于入侵检测的数据包采样算法

3.3.1设计思想

3.3.2算法流程

3.4小结

第4章基于Snort的千兆链路实验平台设计

4.1 Snort的特点

4.2 Snort的体系结构

4.3 Snort工作原理

4.4实验平台设计

4.4.1实验平台流程

4.4.2高速捕包模块

4.4.3采样模块

4.4.4检测模块

4.4.5转发模块

4.5小结

第5章新算法在千兆链路中的实验及结果分析

5.1网络测试仪表AX/4000简介

5.2实验平台搭建

5.3实验

5.3.1新算法对处理数据包速度的影响

5.3.2新算法对入侵检测的影响

5.4 小结

结束语

参考文献

附录A(攻读硕士学位期间所发表的学术论文目录)

致谢