文档介绍：电子科技大学
硕士学位论文
基于协议分析的网络入侵检测系统的研究与设计
姓名:廖俊云
申请学位级别:硕士
专业:信号与信息处理
指导教师:范明钰
20050516
摘要入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象入侵系统,而且也能监视授权对象对系统资源的非法使用。随着因特网应用的日益普及,基于网络的入侵检测也越来越受到重视。但是基于网络的入侵检测系统也面临着诸多挑战,例如:如何提高入侵检测系统的检测速度,以适应网络通信的要求:如何减少入侵检测系统的漏报和误报来提高其安全性和准确度等。本文首先介绍了网络安全问题、入侵检测的原理和囊话隳P停蝗缓笾点对基于网络的入侵检测系统的关键技术进行了研究,分析了现有网络入侵检测系统在数据包截获和模式匹配检测等关键技术上存在的严重问题,并提出了积极第一、针对传统嬖诘母叨0实奈侍猓疚奶岢隽艘恢指慕腇抓第:二、针对传统模式匹配检测技术存在的计算量大、误报警率高等问题,本文提出了‘种基于协议分析的智能匹配检测技术。该检测技术把传统的模式匹配技术和协议分析技术的优势结合起来,充分利用疘榈母叨裙嬖蛐岳刺测攻击的存在;从而显著地缩减了匹配检测的计算量,并提高了检测的准确率。采用基于协议分析的智能匹配检测技术对运算量的减少主要体现在两个方面:首先,通过对协议分析后的某些特殊字段的值进行简单的比较就能检测出某些攻击,这样就不用进行运算量很大的模式匹配检测。这种简单的比较并不是进行从头至尾的特征串匹配,而是根据协议的规则性来精确定位某些特殊字段的位胃并确定其值,然后直接比较这些特殊位置的值就可以了。其次,利用协议分析技术可以把匹配检测规则按照协议来进行分集,这样就可以缩小模式匹配的范围,从而显著减少了模式匹配的运算量。本文利用基于协议分析的智能匹配检测技术设计了一个基于协议分析的网络入侵检测系统,并实现了其中的网络数据包捕获模块、协议分析模块以关键词:ǎ谖饕榉治龅闹悄芷ヅ浼觳饧际酰琍绨踩有效的改进方案。主要改进如下:包法,并进行了详细的铡试。测试结果表明,与传统的网络数据包捕获方法相比;在高流量环境中,采用此方法捕获网络数据包能显著降低丢包率。及网络数据包存储模块等关键模块。基于协议分析的网络入侵检测系统的研究与设计
曲瓵.,,篎基协议分析的网络入侵检测系统的研究与设计—.,..琲.,,.甌瑃猰疘,甇甇,,/
签名:。寡閕导师签名:三叠』赴签名:趁查嗍辏骆关于论文使用授权的说明独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谓狻本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。C艿难宦畚脑诮饷芎笥ψ袷卮斯娑为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。日期:野年』月
第一章绪论入侵检测技术的背景及其研究意义随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,姆⒄购陀τ盟揭惨丫晌:饬一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速。网络带给人们的便利比比皆是:可以利用网络下载所需要的各种资料,可以在线看电影、听歌,也可以通过网络购买、定制产品等等。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技⒎阑鹎健⑸倍救砑⑹智┟和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要好的身份认证和访问控制;但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击;入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸