資源描述:
《網(wǎng)絡(luò)入侵檢測系統(tǒng)模式匹配算法的.研究與實(shí)現(xiàn)》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1����、四JIIW范大學(xué)學(xué)位論文獨(dú)創(chuàng)性及使用授權(quán)聲明本人聲明:所呈交學(xué)位論文,是本人在導(dǎo)師芒金絲熬攫指導(dǎo)下�����,獨(dú)立進(jìn)行研究工作所取得的成果��。除文中已經(jīng)注明引用的內(nèi)容外�,本論文不含任何其他個人或集體已經(jīng)發(fā)表或撰寫過的作品或成果。對本文的研究做出重要貢獻(xiàn)的個人和集體�,均已在文中以明確方式標(biāo)明。本人承諾:已提交的學(xué)位論文電子版與論文紙本的內(nèi)容一致�����。如因不符而引起的學(xué)術(shù)聲譽(yù)上的損失由本人自負(fù)��。本人同意所撰寫學(xué)位論文的使用授權(quán)遵照學(xué)校的管理規(guī)定:學(xué)校作為申請學(xué)位的條件之一����,學(xué)位論文著作權(quán)擁有者須授權(quán)所在大學(xué)擁有學(xué)位論文的部分使用權(quán)����,即:1)已獲學(xué)位的研究生必
2�����、須按學(xué)校規(guī)定提交印刷版和電子版學(xué)位論文��,可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進(jìn)行檢索���;2)為教學(xué)和科研目的,學(xué)??梢詫⒐_的學(xué)位論文或解密后的學(xué)位論文作為資料在圖書館、資料室等場所或在校園網(wǎng)上供校內(nèi)師生閱讀�����、瀏覽����。轉(zhuǎn)L論文作者簽名:黃娟乙oo孑年≯月/D日第一章緒論1.1課題研究的背景和意義隨著網(wǎng)絡(luò)的普及和發(fā)展,網(wǎng)絡(luò)用戶面臨著更加嚴(yán)峻的安全問題�����。網(wǎng)絡(luò)入侵事件頻頻發(fā)生,成為威脅計(jì)算機(jī)安全和網(wǎng)絡(luò)安全的最大隱患【11�。傳統(tǒng)的靜態(tài)安全防御體系,如防火墻���、身份認(rèn)證及數(shù)據(jù)加密技術(shù)雖然都較為成熟���,但由于其被動、靜態(tài)等缺陷����,仍不能完全解決當(dāng)前日益
3、嚴(yán)峻的安全問題��。于是�����,入侵檢測技術(shù)應(yīng)運(yùn)而生�����。網(wǎng)絡(luò)入侵檢測是對網(wǎng)絡(luò)入侵行為的檢測�����,它通過收集、分析來自于網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)的信息����,從而對計(jì)算機(jī)和網(wǎng)絡(luò)資源上惡意使用行為做出識別和響應(yīng),是一種主動����、實(shí)時的網(wǎng)絡(luò)安全防護(hù)技術(shù),是一種能有效發(fā)現(xiàn)和防御網(wǎng)絡(luò)入侵的安全防護(hù)手段�����。因此���,網(wǎng)絡(luò)入侵檢測必將成為當(dāng)前信息安全領(lǐng)域研究的重點(diǎn)和熱點(diǎn),對它的相關(guān)研究處于信息科學(xué)的前沿I二引��。然而�,網(wǎng)絡(luò)入侵檢測系統(tǒng)也面臨著諸多挑戰(zhàn)【4一】。一方面����,網(wǎng)絡(luò)感染病毒、遭受攻擊的速度日益加快,另一方面��,網(wǎng)絡(luò)受到攻擊做出響應(yīng)的時間卻越來越滯后���。因此�,如何提高入侵檢測系統(tǒng)的檢測速
4����、度以適應(yīng)網(wǎng)絡(luò)通信的要求已直接影響到系統(tǒng)的準(zhǔn)確性和實(shí)時性,成為提高檢測效率和質(zhì)量的關(guān)鍵問題【6j���。特征匹配是入侵檢測技術(shù)中最重要的一個環(huán)節(jié)�����,其實(shí)質(zhì)是模式匹配問題��。模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵檢測系統(tǒng)已有規(guī)則數(shù)據(jù)庫進(jìn)行比較���,從而發(fā)現(xiàn)違背安全策略的行為,即在分組有效負(fù)載或重組后的報文中找到入侵檢測字�����,從而判斷是否出現(xiàn)入侵。目前的模式匹配主要是對報文中特征字符串的匹配����。隨著網(wǎng)絡(luò)速度的不斷提高,網(wǎng)絡(luò)數(shù)據(jù)流量越來越大�,匹配效率就成為制約其應(yīng)用和發(fā)展的一個瓶頸。因此�����,研究快速的模式匹配算法是提高入侵檢測系統(tǒng)性能的重要手段�,不僅具有較高的理
5、論價值�����,同時還具有很好的應(yīng)用價值���,是一個非常值得我們深入探討的具有綜合性研究意義的課題����。1.2入侵檢測及其算法研究現(xiàn)狀1.2.1入侵檢測研究現(xiàn)狀入侵檢測技術(shù)的研究與開發(fā)興起于國外�,集中在美國��。1980年,JamesAderson首先提出了入侵檢測的概念���。1987年DorothyEDenning提出入侵檢測系統(tǒng)的抽象模型���,取名為IDES模型(InstructionDe.ionExpertSystem),首次將入侵檢測作為一種計(jì)算機(jī)安全防御措施提出【7�,8l,入侵檢測系統(tǒng)由此迅速發(fā)展起來�����。1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺���。這一年����,
6���、加州大學(xué)戴維斯分校的LT.Heberlein等開發(fā)出了NSMt9】(NetworkSecurityMonitor)�����,第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來源����,因而,可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格式的情況下監(jiān)控異種主機(jī)���,入侵檢測系統(tǒng)的發(fā)展翻開了新的一頁��,兩大陣營正式形成:基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機(jī)的入侵檢測系統(tǒng)�����。90年代后��,隨著網(wǎng)絡(luò)入侵檢測系統(tǒng)的問世���,對入侵檢測的研究也由早期的實(shí)驗(yàn)階段進(jìn)入了商業(yè)化,并且開始將其他領(lǐng)域的技術(shù)應(yīng)用到該領(lǐng)域���,如神經(jīng)網(wǎng)絡(luò)��、人工智能����、數(shù)據(jù)挖掘��、免疫學(xué)等110~141�����。但是���,這些方法大多還處于實(shí)驗(yàn)研究階段���,實(shí)用性并不高
7、�����。模式匹配方法由于其檢測原理簡單易懂����、.易于實(shí)現(xiàn)、準(zhǔn)確率高��、實(shí)時性好而備受青睞�,并且技術(shù)已經(jīng)相對成熟,在入侵檢測產(chǎn)品中得到了廣泛應(yīng)用��。當(dāng)今網(wǎng)絡(luò)日益普及�,人們對網(wǎng)絡(luò)的依賴性日趨增強(qiáng)����,尤其是近年來網(wǎng)絡(luò)技術(shù)的飛速發(fā)展���,大型網(wǎng)絡(luò)以及千兆以太網(wǎng)的出現(xiàn)����,使目前的網(wǎng)絡(luò)入侵檢測系統(tǒng)很難跟上網(wǎng)絡(luò)快速發(fā)展的步伐�����,網(wǎng)絡(luò)入侵檢測系統(tǒng)正面臨著前所未有的挑戰(zhàn):一方面����,隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速、寬帶化發(fā)展����,網(wǎng)絡(luò)對于捕獲的數(shù)據(jù)包進(jìn)行實(shí)時處理的難度加大,大流量的網(wǎng)絡(luò)環(huán)境對入侵檢測系統(tǒng)的檢測能力提出了更高的要求���。另一方面�,隨著網(wǎng)絡(luò)攻擊技術(shù)和手段的日益多樣化,為了更加全面���、準(zhǔn)確地
8�����、描述攻擊行為,不得不增加入侵規(guī)則���,這使得入侵檢測規(guī)則庫相當(dāng)?shù)凝嫶?�,極大的增加了網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測負(fù)擔(dān)��,報文處理速率也隨之下降���。由此可見,網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測效率已經(jīng)成為制約其性能發(fā)展2的
