文档介绍：燕山大学
硕士学位论文
基于协议分析的入侵检测系统的研究与设计
姓名:卢军从
申请学位级别:硕士
专业:计算机软件与理论
指导教师:王新生
20060301
摘要计算机应用的普及与互联网的发展在使人们信息交流更加快捷方便的同时,也带来了信息安全隐患。入侵检测技术已经在全球范围内被广泛用来保护公司、组织的信息网络。入侵检测技术作为网络安全的重要组成部分也得到了重视,但直到今天,绝大多数入侵检测系统的核心技术并没有获得明显进展,在应用中存在准确性和性能方面的瓶颈问题。本文提出了一种基于协议分析的入侵检测模型,从系统总体结构、分析检测方法、规则匹配算法几个方面提高系统效率,改善系统性能。本文首先阐述了入侵检测系统相关的概念,通过研究目前的先进理论、技术和方法,总结目前入侵检测系统的相关模型,提出了基于协议分析的入侵检测模型。该模型在协议分析的基础上,引入了协议确认模块,在进行模式匹配前对数据进行过滤。在协议确认模块引入了数据过滤和状态分析的检测方法,实现数据缩减的功能,同时屏蔽掉一些针对入侵检测系统本身的攻击,增强系统本身的安全性。其次,在将本文中提出的模型应用于入侵检测系统时,将分析与检测部分针对各种协议做成不同的子模块,作为协议树的节点。这样具体数据具体分析,减少了数据匹配的计算量,也提高了系统检测的针对性,这样使系统具有很好的灵活性和适应性。最后,在模式匹配模块,引入了惴ǎ并在系统中实现了该算法。在计算量最大的模式匹配模块,进一步提高了系统性能。本文完成了模型中各模块的总体设计和系统的详细设计,通过合理的数据结构和函数接口设计实现了系统的构想,完成了系统的仿真实验,验证了系统性能和效率。最后,提出了模型的应用前景与方向。关键词入侵检测;入侵检测系统;入侵检测模型;协议分析;协议确认模式匹配;算法
..瓼,產,,燕山大学工学硕士学位论文瓵,,琩.,,.,,..瑂’.,Ⅱ
籔瓻籌;.,.,,;籔;
王哆乞手萼火产善川\燕山大学硕士学位论文原创性声明日期:ぁ0月燕山大学硕士学位论文使用授权书日期:卫∞辟日日期:!!月本人郑重声明:此处所提交的硕士学位论文《基于协议分析的入侵检测系统的研究与设计》,是本人在导师指导下,在燕山大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所知,论文中除已注明部分外不包含他人已发表或撰写过的研究成果。对本文的研究工作做出重要贡献的个人和集体,均已在文中以明确方式注明。本声明的法律结果将完全由本人承担。作者签字:《基于协议分析的入侵检测系统的研究与设计》系本人在燕山大学攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归燕山大学所有,本人如需发表将署名燕山大学为第一完成单位及相关人员。本人完全了解燕山大学关于保存、使用学位论文的规定,同意学校保留并向有关部门送交论文的复印件和电子版本,允许论文被查阅和借阅。本人授权燕山大学,可以采用影印、缩印或其他复制手段保存论文,可以公布论文的全部或部分内容。保密口,在年解密后适用本授权书。本学位论文属于不保密口。朐谝陨舷嘤Ψ娇蚰诖颉啊獭作者签名:导师签名
第滦髀引言简称庵制苹敌形;岜灰种啤6阑鹎街蛔龅皆市砘蛘呔芫髦指随着互联网技术的飞速发展,网络的结构越来越复杂,黑客入侵事件变得越来越频繁,给企业与用户带来的损失和威胁也日益加大,信息安全问题显得同益重要和复杂。信息系统安全保障是一种防御体系,包括防护⒓觳⒎从和恢复霾忝妗H肭旨觳庀统是其中一个重要组成部分,扮演着数字空问“预警机”的角色。多年来,人们在维护信息系统安全时常用的安全技术往往只是防火墙。然而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,以及黑客技术在铣鱿植⑸⒉娇@矗鼋鲆揽糠阑鹎嚼次は低嘲踩窃对恫还坏摹而入侵检测作为系统安全的又一道防线越来越得到人们的重视。通常,对网络安全性的要求越高,需要采取的防范措施就越严密。那么对于现实的企业网,首先需要防火墙作为防御非法入侵的大门,通过规则定义防火墙和路由器,可以对符合条件的信息放行,而对不符合某些条件的信息需要被拒绝。其次是对服务器进行加固,提高安全防护水平。对系统的安全加固是个长期的工作,用户需要随时进行漏洞检查。第三就是采用优秀的入侵检测系统。当有不良来访者被允许访问,他会做出令网络管理者这无法控制的事情,同样,合法用户的误操作也可能对系统带来无法预料的破坏。如果系统配备了入侵检测系统样的访问者的访问,却对伪装的入侵者和合法用户的误操作无能为力,也无法判定具有攻击行为的访问是否会摧毁防火墙。这好像门卫难以判定来访者是办事者还是盗贼一样。如果安装了微型摄像机,能够监视其一举一动,保安人员可以根据来访者的行为,及时发现不法分子,及时报警。“入侵”唤霭ū环⑵鸸セ鞯娜巳〉贸龊戏ǚ段У南统控制权,也