入侵檢測系統(tǒng)中模式匹配與協(xié)議分析的方法研究.pdf

1、隨著計算機技術(shù)與網(wǎng)絡(luò)數(shù)據(jù)通信技術(shù)的飛速發(fā)展,計算機信息與網(wǎng)絡(luò)的安全問題日益突出?；谀Ｊ狡ヅ淙肭謾z測技術(shù)因其檢測速度慢、準(zhǔn)確性低和資源消耗大等缺點已不能適應(yīng)入侵檢測的需求。協(xié)議分析技術(shù)充分利用了網(wǎng)絡(luò)協(xié)議的高度規(guī)則性,能快速地探測不安全因素的存在。因其檢測速度快、準(zhǔn)確率高、漏報率和誤報率低以及占用系統(tǒng)資源少等優(yōu)點而倍受青睞。模式匹配是入侵檢測系統(tǒng)的核心部分,它直接影響著系統(tǒng)的整體性能。
　　本文首先重點分析了入侵檢測系統(tǒng)中幾種常用的

2、模式匹配算法,在深入研究經(jīng)典模匹配算法——Boyer-Moore(BM)算法的基礎(chǔ)上,結(jié)合Boyer-Moore-Horspool(BMH)算法和Boyer-Moore-Horspool-Sunday(BMHS)算法的優(yōu)點,提出一種改進的Boyer-Moore算法。該算法針對BM算法預(yù)處理時間開銷大的缺點,通過減少模式串的移動次數(shù)和增大最大移動距離m+1的出現(xiàn)概率,來減少模式匹配所需要的時間,進而提高模式匹配的效率。其次,全面分析了模式

3、匹配和協(xié)議分析的特點,針對基于模式匹配的入侵檢測系統(tǒng)的計算量大、漏報率和誤報率高等問題,本文提出了一種基于模式匹配與協(xié)議分析相結(jié)合的入侵檢測系統(tǒng)。
　　該系統(tǒng)把模式匹配和協(xié)議分析有效地結(jié)合起來,充分利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性來快速探測已知和未知漏洞、攻擊的存在。通過定義標(biāo)準(zhǔn)化、層次化、格式化的網(wǎng)絡(luò)協(xié)議,在檢測過程中對網(wǎng)絡(luò)數(shù)據(jù)進行逐層分析,不僅能提高檢測速度和準(zhǔn)確率,而且還能有效地控制漏報率和誤報率。最后總結(jié)了本文的研究工作,指出了下