高速網(wǎng)絡環(huán)境下入侵檢測系統(tǒng)的研究.pdf

1、入侵檢測技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施之后的新一代安全保障技術(shù)。它與防火墻、病毒防護、漏洞掃描、數(shù)據(jù)加密等技術(shù)一起，共同構(gòu)筑了計算機網(wǎng)絡安全的多層防護體系。近些年來，入侵檢測技術(shù)已經(jīng)有了飛速的發(fā)展，但是隨著大量高速網(wǎng)絡技術(shù)的出現(xiàn)，入侵檢測系統(tǒng)正面臨著巨大的挑戰(zhàn)。如何保障系統(tǒng)及時、高效地分析，處理大量的網(wǎng)絡數(shù)據(jù)包，減少甚至避免丟包現(xiàn)象的發(fā)生，是每一個網(wǎng)絡入侵檢測系統(tǒng)都要面臨的問題。 作者對以Snort為代表的開

2、源入侵檢測系統(tǒng)中各個主要模塊進行了深入的研究，發(fā)現(xiàn)數(shù)據(jù)包捕獲和規(guī)則匹配是影響系統(tǒng)性能的主要瓶頸。為了解決這些問題，論文對網(wǎng)絡入侵檢測系統(tǒng)的體系結(jié)構(gòu)、網(wǎng)絡數(shù)據(jù)包捕獲模塊以及分析檢測技術(shù)等方面做了一些改進。 在系統(tǒng)的體系結(jié)構(gòu)上，采用了基于協(xié)議的分流技術(shù)。海量網(wǎng)絡數(shù)據(jù)包按照協(xié)議類別，被分流到不同的分析處理模塊。這樣不僅提高了入侵檢測系統(tǒng)的檢測效率，而且也增強了系統(tǒng)自身的抗攻擊能力，即使某一個分析處理模塊無法正常工作，也不會影響到其它的

3、分析處理模塊。 在網(wǎng)絡數(shù)據(jù)包捕獲模塊的設(shè)計上，論文采用了零拷貝數(shù)據(jù)包捕獲的設(shè)計方案(ZCPCP)。它的主要思想和最大優(yōu)點就是通過用戶層和網(wǎng)絡接口的直接交互、避免數(shù)據(jù)包在內(nèi)存的多次拷貝。這樣使得數(shù)據(jù)包的行走路徑縮短，極大地節(jié)省CPU的開銷，為上層更復雜的處理贏得了寶貴的時間。 在入侵檢測技術(shù)上，論文采用協(xié)議分析技術(shù)與模式匹配技術(shù)相結(jié)合的檢測方法，這樣做的優(yōu)勢是：一方面，可以利用網(wǎng)絡協(xié)議的高度規(guī)則性對數(shù)據(jù)包進行預處理、快速探

4、測某些攻擊的存在；另一方面又可以利用模式匹配算法對數(shù)據(jù)包負載中的內(nèi)容進行特征匹配。在此，本論文通過詳細分析BM模式匹配算法，對BM算法進行了一些改進，設(shè)計了增強型BM算法——EBM算法。同BM算法相比，EBM算法具有更大的文本指針偏移值，更少的字符匹配次數(shù)。另外，論文還對入侵檢測系統(tǒng)規(guī)則庫的組織結(jié)構(gòu)進行了優(yōu)化，即：進一步細化了規(guī)則的分類和在規(guī)則樹中引入了動態(tài)調(diào)整機制。這樣做的目的是：減少規(guī)則樹的深度和使得規(guī)則樹的結(jié)構(gòu)能夠根據(jù)網(wǎng)絡入侵的實