一種入侵檢測系統(tǒng)設(shè)計(jì)方案的研究與實(shí)現(xiàn).pdf

1、隨著近幾年網(wǎng)絡(luò)攻擊的事故頻頻出現(xiàn)，其影響范圍越來越廣泛，入侵檢測系統(tǒng)得到越來越多的重視，成為網(wǎng)絡(luò)環(huán)境下信息安全方案的重要組成部分。入侵檢測系統(tǒng)是一種軟件與硬件的結(jié)合，它通過分析網(wǎng)絡(luò)或主機(jī)上發(fā)生的事件來發(fā)現(xiàn)其中的安全隱患。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)數(shù)據(jù)作為原始的數(shù)據(jù)源，實(shí)時(shí)的分析網(wǎng)絡(luò)上的通信。與基于主機(jī)的入侵檢測相比，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)已經(jīng)成為入侵檢測的主流。但是隨著網(wǎng)絡(luò)帶寬飛速增長，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)面臨許多的困難。

2、本文設(shè)計(jì)了一種高速網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)入侵檢測系統(tǒng)。 該系統(tǒng)用零拷貝的思想改進(jìn)了傳統(tǒng)的“抓包”方式和傳統(tǒng)的BM算法，結(jié)合AC算法的思想提出了AC_BM多模匹配算法來解決上層處理的瓶頸。改進(jìn)的協(xié)議分析技術(shù)承接了上下兩部分的工作，加快了檢測的速度，降低了入侵檢測的誤報(bào)率。同時(shí)對CVE規(guī)則庫的規(guī)則分析模塊，提出了可行性方案。 最后，本文對系統(tǒng)的性能進(jìn)行了測試和分析，通過與傳統(tǒng)系統(tǒng)的性能比較，證明該系統(tǒng)能夠適應(yīng)高速網(wǎng)絡(luò)環(huán)境下入侵檢測