入侵檢測(cè)系統(tǒng)中模式匹配與協(xié)議分析的方法研究.pdf

1、隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)數(shù)據(jù)通信技術(shù)的飛速發(fā)展,計(jì)算機(jī)信息與網(wǎng)絡(luò)的安全問(wèn)題日益突出。基于模式匹配入侵檢測(cè)技術(shù)因其檢測(cè)速度慢、準(zhǔn)確性低和資源消耗大等缺點(diǎn)已不能適應(yīng)入侵檢測(cè)的需求。協(xié)議分析技術(shù)充分利用了網(wǎng)絡(luò)協(xié)議的高度規(guī)則性,能快速地探測(cè)不安全因素的存在。因其檢測(cè)速度快、準(zhǔn)確率高、漏報(bào)率和誤報(bào)率低以及占用系統(tǒng)資源少等優(yōu)點(diǎn)而倍受青睞。模式匹配是入侵檢測(cè)系統(tǒng)的核心部分,它直接影響著系統(tǒng)的整體性能。
　　本文首先重點(diǎn)分析了入侵檢測(cè)系統(tǒng)中幾種常用的

2、模式匹配算法,在深入研究經(jīng)典模匹配算法——Boyer-Moore(BM)算法的基礎(chǔ)上,結(jié)合Boyer-Moore-Horspool(BMH)算法和Boyer-Moore-Horspool-Sunday(BMHS)算法的優(yōu)點(diǎn),提出一種改進(jìn)的Boyer-Moore算法。該算法針對(duì)BM算法預(yù)處理時(shí)間開銷大的缺點(diǎn),通過(guò)減少模式串的移動(dòng)次數(shù)和增大最大移動(dòng)距離m+1的出現(xiàn)概率,來(lái)減少模式匹配所需要的時(shí)間,進(jìn)而提高模式匹配的效率。其次,全面分析了模式

3、匹配和協(xié)議分析的特點(diǎn),針對(duì)基于模式匹配的入侵檢測(cè)系統(tǒng)的計(jì)算量大、漏報(bào)率和誤報(bào)率高等問(wèn)題,本文提出了一種基于模式匹配與協(xié)議分析相結(jié)合的入侵檢測(cè)系統(tǒng)。
　　該系統(tǒng)把模式匹配和協(xié)議分析有效地結(jié)合起來(lái),充分利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性來(lái)快速探測(cè)已知和未知漏洞、攻擊的存在。通過(guò)定義標(biāo)準(zhǔn)化、層次化、格式化的網(wǎng)絡(luò)協(xié)議,在檢測(cè)過(guò)程中對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行逐層分析,不僅能提高檢測(cè)速度和準(zhǔn)確率,而且還能有效地控制漏報(bào)率和誤報(bào)率。最后總結(jié)了本文的研究工作,指出了下