高速网络入侵检测系统中规则匹配算法的研究

摘要

本文研究了一些典型的入侵检测系统,考察其检测引擎的原理,着重发现其提高检测速度的有效方法.在归纳出它们的原理后,再做进一步深入研究,提出了新的规则检测方式.本文所提出的新的规则检测方式要对规则进行分层处理,它完全改变了原来检测规则的顺序,改为依规则选项来逐层检测所有规则,这是多模式思想和分层索引思想的推进.而且使用这种分层的方式,可以在检测时使用数据结构和查询算法,更快地提高检测速度.使用这种方法可建立一神新的规则检测引擎,它可以通过对现有系统进行改造来实现.在论文中详细讨论了如何改造典型的检测系统snort,以应用上述新的检测引擎,并做出了系统设计.

目录

文摘

英文文摘

第1章绪论

1.1 网络安全

1.2 NI DS概述

1.3安全性能分析

1.4入侵检测技术分析

1.4.1异常检测

1.4.2误用检测

1.5课题的提出

第2章入侵检测特征

2.1特征的创建

2.2特征的分类

2.2.1基于报头值的特征

2.2.2基于简单匹配的特征

2.2.3基于协议分析的特征

2.3对特征的分析

第3章典型的入侵检测系统snort

3.1 检测流程

3.2入侵检测特征

3.3特点分析

第4章基于多模式匹配的入侵检测

4.1多模式匹配

4.2 AC BM算法的测试

4.3实验结果讨论

第5章适合多模式匹配的入侵检测引擎

5.1对AC BM算法的分析

5.2系统框架

5.3非content选项上的检测

5.4 Stabbing查询

区间二叉查找树

特性分析

5.5各非content选项上的IBS Tree

5.6 逐层缩小检测规则的范围

第6章系统实现的设计

6.1 Snort组织规则的方式

6.2系统的设计

6.3对数据包的检测

6.4测试性能

6.5实验结果分析

第7章总结与展望

7.1 工作总结

7.2未来研究展望

参考文献

附录snort规则详细说明

论文发表情况

西北工业大学学位论文知识产权声明书和西北工业大学学位论文原创性声明