文档介绍：东北大学
硕士学位论文
基于模式匹配和协议分析的入侵检测系统的设计与实现
姓名:骆小华
申请学位级别:硕士
专业:计算机应用技术
指导教师:高晓兴
20070101
摘要基于模式匹配和协议分析的入侵检测系统的设计与实现随着计算机网络技术的飞速发展,计算机网络在现代生活中的重要性正不断加强。但随之而来的计算机网络攻击也不断增加,顺应这一趋势,涌现出了许多的网络安全技术,如网络防火墙、病毒检测、密码技术、身份认证等,但是这种被动的防御系统显露出技术上很多的不足,有很多服务器在不能够及时检测和预防的情况下被攻击,导致了巨大的经济损失。入侵检测系统是一种不同于防火墙的、主动保护网络资源的网络安全系统,是防火墙合理和必要的补充,它的出现完全改变了传统网络安全防护体系被动防守的局面,使网络安全防护变得更积极、更主动。它不仅可以检测外界非法入侵者的恶意攻击或试探,而且可以检测内部合法用户超越使用权限的非法行为,并根据检测的结果做出相应的响应,从而减少损失。入侵检测借助其动态和主动的工作原理,成为联动各静态防护技术的关键环节,是网络安全研究中的一个重要课题。本文首先详细论述了入侵检测方面的知识,包括入侵检测的定义和分类、入侵检测原理、入侵检测的标准化等方面的内容,然后分析了现有入侵检测技术存在的问题以及未来发展趋势,从而引入了模式匹配和协议分析技术相结合的检测技术。在深入研究入侵检测系统常用的模式匹配方法惴的基础上,对该算法进行了改进,并将新一代的协议分析方法应用到网络入侵检测系统中,使误用检测和异常检测方法相结合,并详细给出了基于模式匹配和协议分析的网络入侵检测系统的设计和实现过程。最后通过测试和分析,本系统具有较高的检测速度、抗攻击能力和较低的漏报率、关键词:入侵检测;模式匹配;协议分析;算法;患觳夥椒东北大学硕士学位论文误报率。一Ⅱ一
,,.,產东北大学硕士学位论文.,,..琣..,.瑃,瑃甌瑃—瓵.
一Ⅳ一东北大学硕士学位论文::.
髟艺辱自如彩学位论文作者签名:箍独创性声明学位论文版权使用授权书签字日期:炒,痡芦·疺期:铂。海的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示诚挚本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的研究成果除加以标注和致谢的地方外,不包含其他人已经发表或撰写过的研究成果,也不包括本人为获得其他学位而使用过的材料。与我一同工作的谢意。学位论文作者签名:本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论文的规定:即学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部或部分内容编入有关数据库进行检索、交流。缱髡吆偷际ν馔辖涣鳎朐谙路角┟悍裨蚴游2煌导师签名:签字日签字日期:
第一章绪论论文课题研究的意义本文的结构速探测攻击的存在。协议分析技术优势在于能够详细解析各种协议,如命令字笱串解析器能对不同的高层协议——如、、、、鹊挠没随着互联网高速发展,诖淳薮蠡岷涂赡苄缘耐保泊戳硕褚馊侵的风险。针对网络和计算机系统的攻击变得更为普遍,攻击手法也越来越复杂,例如协同攻击和合作攻击等。入侵检测系统魑R恢种鞫防御策略:在检测和防范入侵方面发挥了其他安全部件难以替代的重要作用。传统的特征模式匹配虽然是入侵检测系统中用到的主要技术,但是由于最初的基于模式匹配检测技术的入侵检测系统完全不考虑网络数据包中所包含的协议格式化信息,而是将输入的数据包视为一个无序的无结构的随机数据流,仅仅依靠简单的字符串匹配操作完成所有的检测任务,需要进行匹配的模式数量多,计算量较大,所以存在速度慢、效率低等缺点。协议分析是新一代讲夤セ魇址ǖ闹饕<际酰猛缧榈母叨裙嬖蛐钥进行详细的分析。探测碎片攻击和协议确认技术可以因为系统在每一层上都沿着协议栈向上解码,从而使用所有当前己知的协议信息,来排除所有异常协议结构的攻击,同时大大降低了传统模式匹配带来的误报问题,提高了效率。基于应用层协议分析之后,协议分析器采用的是命令解析方式,而这就意味着“/./薄ⅰ埃痯”及所有其它类似的“/.”变形,通过分析器都被看作同一攻击,即“,惫セ鳎谌肭帜J娇庵校一攻击只需一种模式特征即可检测到,因而可以大量减少模式特征库的规模,同时减少了系统资源消耗。目前基于命令解析器和协议分析的千兆网络传感器具有淄缌量的ゼ觳饽芰Γ梢灾С万个并发连接。新一代榉治龊湍J狡ヅ浼际跞诤掀鹄矗晟频寐愀咚儆没У挠τ眯求,成为千兆⒄沟闹髁髑魇啤本章上一节简单介绍了网络安全存在的问题,从而引出入侵检测系统的必要性,通东北大学硕士学位论文
过分析传统模式匹配存在的问题,引入了模式匹配和协议分析相结合的入侵检测技术,第二章对入侵检测技术及入侵检测系统的体系架构作一简单的回顾