使用动态规则集机制改善IDS性能

摘要

针对基于静态规则集的入侵检测系统在高速网环境下高漏报误报和性能失衡问题进行研究,提出分析强度、最优规则集的概念,建立了动态规则集机制的模型,它可以根据网络流速和事件反馈实时动态的调整规则集的规模和分布,以提高和改善入侵检测系统的整体性能,随后讨论了模型的关键技术和算法以及系统的实现.

目录

致谢

摘要

声明

符号说明

图表目录

引言

第1章入侵检测系统现状

1.1 IDS基本原理和分类

1.2模式匹配技术和规则集

第2章IDS性能失衡问题

2.1 IDS性能的定交

2.2影响性能的因素

2.2.1规则

2.2.2规则集复杂度

2.2.3网络流量和丢包率

2.2.4系统结构

2.2.5模式匹配算法

2.3 性能失衡问题

第3章动态规则集模型

3.1流速策略原理

3.2事件关联策略原理

3.3非实时修正策略原理

3.4IDS性能曲线对比

第4章关键技术及算法讨论

4.1动态规则集的设计

4.1.1规则分类树

4.1.2规则数据结构设计

4.1.3规则子集结构

4.2检测算法

4.2.1数据包分类

4.2.2规则匹配

4.3流速策略算法

4.3.1计算方式建表

4.3.2实验方式建表

4.3.3流速查表算法

4.4事件关联策略算法

4.4.1规则索引哈希表

4.4.2子集中的规则位置调整

4.4.3算法总结

4.5对网络流速的探测

第5章系统实现

5.1系统总体结构

5.2 基于XML的规则表示

5.3规则调整器模块

5.3.1策略实施

5.3.2反馈接口协议

5.3.3策略机制

5.4数据获取模块

5.4.1网络抓包

5.4.2数据捕获和队列长度

5.4.3流速定时器

5.5数据分析模块

5.6事件处理模块

5.7系统评估

第6章结束语

6.1总结

6.2本文贡献

6.3未来工作

参考文献

注解索引

附录A关键结构和算法代码

附录B典型攻击举例