论文部分内容阅读
本文首先对当前的网络安全现状做了介绍,从而提出本课题研究的背景与意义。接着本文回顾了入侵检测技术的发展史,对目前的入侵检测技术进行了分析。通过分析主要的商用入侵检测产品,预测了入侵检测技术的发展趋势,进而提出本文的研究工作。
通过分析国内外研究中已有的用于入侵检测的常用模式匹配算法,本文选择基于BM(Boyer-Moore)算法的改进的OBM(OptimizedBoyer-Moore)算法与匹配规则策略优化相结合的方式,构建入侵检测系统并进行研究。OBM算法能够同时与多个模式串进行匹配,大量减少在Boyer-Moore算法中所进行的非必要的比较。同时引入横向淘汰方法,如果一个规则中的一个条件为假,那么就不匹配此规则中的其他条件,从而能有效地减少数据包的匹配时间。IDS所监视的网络数据包在一段时间内会具有一定共性,在系统检测出一个或多个攻击数据包后,本文对与之匹配的规则采用动态调整法进行适当的调整,使后继的同类数据包能够尽快与规则相匹配,将能有效提高系统整体运行效率。
在此基础之上,构建基于Snort的分布式网络入侵协同检测模型,从数据采集协同、数据分析协同、系统响应协同三个方面实现。本文的研究主要是实现该系统的内部网络数据分析协同。实验中在同一台计算机上用BM算法和OBM算法分别进行三组不同次数循环匹配,分别统计各算法总消耗时间与匹配次数。BM算法检测时间与匹配次数随着检测次数的增多线性增长明显,而OBM算法并没有如此,因此,无论在匹配次数还是运行时间上,OBM算法都要明显优于BM算法。在对规则顺序动态调整后,检测时间比原程序的检测时间明显减少,表明规则顺序的调整提高了系统的整体运行效率。最后使用林肯实验室数据包,将IDS中规则顺序的动态调整与OBM算法相结合,进行协同分析网络连接数据记录,实验结果表明,这种协同检测方法的检测率较高,实时性好,能较好的发现新的攻击类型。