网络入侵检测系统检测方法的分析、比较与改进

摘要

该文首先介绍了入侵检测系统的模型、组成、分类、发展趋势以及面临的众多问题,然后从原理上、技术上介绍了目前使用最广泛的模式匹配检测方法,以常用的网络入侵检测系统snort为例,详细讨论了BM、BMH和AC_BM三种模式匹配算法的基本思想以及性能参数,并且编程实现了前两种算法.通过分析得出模式匹配检测方法存在的问题以及瓶颈所在,提出了两种改进问题的算法.第一种是一种预处理算法,可以减少多余的比较.第二种是基于位逻辑运算符的算法,该算法采用了BM的坏字符规则,在实际运行中速度很快.两种算法都给出了伪代码.接着,介绍了第三代入侵检测技术——协议分析.重点介绍了协议分析的工作原理,并以Nimda病毒为例分析了该检测方法能够检测出这种攻击的原因,并概括出其具有模式匹配无法比拟的优势.最后,针对目前入侵检测领域对两种检测方法过分喧嚣的争论,作者将两种检测方法从多角度多层面进行对比,客观冷静地分析,总结问题,得出结论.在文章最后根据网络入侵检测的发展趋势,提出了一种适合目前情况的入侵检测系统模型,该模式将两种检测方法结合在一起,发挥各自的优点,实现入侵检测的功能.

目录

文摘

英文文摘

第1章 绪论

1.1引言

1.2选题的背景及意义

1.2.1背景

1.2.2意义

1.3当前研究状况

1.4本论文研究的问题

第2章 入侵检测系统概述

2.1网络安全基本概念

2.1.1网络安全基本观点

2.1.2PDR模型

2.1.3入侵检测在PDR模型中的位置与作用

2.2入侵检测系统及其分类

2.2.1入侵检测的概念

2.2.2入侵检测系统

2.3入侵检测系统的分类

2.3.1数据来源

2.3.2检测方法

2.4入侵检测系统的发展趋势

2.4.1宽带高速网络的实时入侵检测技术

2.4.2大规模分布式入侵检测技术

2.4.3入侵检测的数据融合技术

2.4.4先进检测算法的应用

2.5主要的入侵检测系统

第3章 入侵检测系统的组成

3.1入侵检测系统的组成部分

3.2入侵检测系统的部署

3.3snort规则简介

3.3.1snort系统概述

3.3.2snort规则介绍

第4章 基于模式匹配的检测方法

4.1模式匹配检测方法简介

4.1.1模式匹配原理

4.1.2模式匹配系统特点

4.1.3模式匹配系统的实现

4.2单模式字符串匹配算法

4.2.1朴素的模式匹配算法介绍

4.2.2BM算法介绍

4.2.3BM算法分析

4.3多模式字符串匹配算法

4.3.1多模式字符串匹配算法的研究方向

4.3.2A_ BM算法介绍

4.3.3AC_BM算法分析

4.4改进算法

4.4.1改进算法一

4.4.2改进算法二

4.5模式匹配检测方法综述

4.5.1特点

4.5.2基于模式匹配的NIDS面临的问题

第5章 基于协议分析的检测方法

5.1引言

5.2协议分析方法简介

5.2.1协议分析的基本思想

5.2.2协议分析的特点

5.3协议分析与模式匹配的对比

5.4一种新型NIDS模型

结论

致谢

参考书目

攻读硕士学位期间发表的论文

附录