入侵檢測分析技術(shù)的研究與應用.pdf

1、入侵檢測是一種動態(tài)監(jiān)控、預防或抵御系統(tǒng)入侵行為的安全機制，已經(jīng)成為動態(tài)安全工具的主要研究和開發(fā)的方向。 入侵檢測系統(tǒng)能在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，加入到知識庫內(nèi)，增強系統(tǒng)的防范能力，避免系統(tǒng)再次受到入侵。作為保護計算機和網(wǎng)絡系統(tǒng)的第二道防線，入侵檢測系統(tǒng)的應用越來越廣泛。

2、 入侵檢測的發(fā)展最終需要依靠核心技術(shù)——分析技術(shù)的改進?，F(xiàn)有的入侵檢測分析技術(shù)主要有：統(tǒng)計分析、模式匹配、數(shù)據(jù)重組、行為分析等。這些技術(shù)無法適應高速網(wǎng)絡環(huán)境，算法處理和規(guī)則制定的難度大，不能完全滿足現(xiàn)今入侵檢測系統(tǒng)的需求，有待進一步完善和新技術(shù)的開發(fā)。 本文主要研究了入侵檢測技術(shù)中的模式匹配技術(shù)、數(shù)據(jù)挖掘技術(shù)和協(xié)議分析技術(shù)。模式匹配技術(shù)具有準確率高和誤報率低的優(yōu)點，但只能檢測已知特征模式入侵，不能檢測出新的入侵方式或已知入侵方式

3、的變異的問題。通過利用數(shù)據(jù)挖掘技術(shù)挖掘新的入侵特征，改善單一運用模式匹配技術(shù)的這一缺點。而利用協(xié)議的規(guī)律性，對協(xié)議進行合理分析，檢測時沿構(gòu)造的協(xié)議樹的一條路徑進行，可以較大程度上減少了計算量，提高整個數(shù)據(jù)分析的效率。本文改進了BM算法，對文本中搜索不同模式串所用時間及其比較次數(shù)進行了測試。結(jié)果表明新算法BG1每次查找所匹配的次數(shù)最少，效率方面與BMH算法接近；新算法BG2每次匹配的次數(shù)少于BM算法，效率方面與BM算法接近。通常在查找的模

4、式串P中的字符在文本T中出現(xiàn)的重復率高時，新算法的效率明顯高于BM算法和BMH算法。通過分析當前的主要網(wǎng)絡協(xié)議，給出了協(xié)議分析的流程圖。利用關(guān)聯(lián)規(guī)則apriori算法對網(wǎng)絡數(shù)據(jù)集進行挖掘，將挖掘的關(guān)聯(lián)規(guī)則分析篩選后按Snort規(guī)則轉(zhuǎn)換成入侵規(guī)則。探討了入侵檢測系統(tǒng)測試評估的內(nèi)容，以Snort入侵檢測系統(tǒng)為基礎(chǔ)，設(shè)計開發(fā)了入侵檢測系統(tǒng)的檢測分析部分，并對該入侵檢測系統(tǒng)進行了測試。結(jié)果表明該系統(tǒng)對已知入侵具有較高的檢測率，并能夠檢測出一些未