資源描述:
《入侵檢測(cè)系統(tǒng)模式匹配算法研究開(kāi)題報(bào)告》由會(huì)員上傳分享�����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1�����、開(kāi)題報(bào)告入侵檢測(cè)系統(tǒng)模式匹配算法研究一�、選題的背景、意義1.1入侵檢測(cè)系統(tǒng)的發(fā)展與趨勢(shì)從上世紀(jì)90年代到現(xiàn)在�,人們對(duì)入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出了百家爭(zhēng)鳴的局面,并且分別在智能化和分布式兩個(gè)方向取得了巨大的進(jìn)展[1]�。入侵檢測(cè)系統(tǒng)的趨勢(shì)(1)各入侵檢測(cè)系統(tǒng)目前具有的功能將會(huì)得到相互的融合。就目前為止各類開(kāi)發(fā)公司已經(jīng)出現(xiàn)了的兼并案例.(2)體系結(jié)構(gòu)上的變化,分別為以小型網(wǎng)絡(luò)和大型網(wǎng)絡(luò)結(jié)構(gòu)為主的發(fā)展��。(3)信息來(lái)源的改變���,目前的系統(tǒng)越來(lái)越以網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)為主�����。(4)特征模式的提取�����,目前絕大多數(shù)系統(tǒng)采用的是基于特征的檢測(cè)方法[2]�。1.
2�����、2模式匹配算法的發(fā)展與現(xiàn)狀模式匹配時(shí)指在目標(biāo)文本串檢索子串的過(guò)程��,其中字串成為模式[3]。目前字模式匹配算法分主要為多模式匹配算法[4]和單模式匹配算法[5]���。在長(zhǎng)久的發(fā)展過(guò)程中��,已經(jīng)有了一些經(jīng)典的算法����,例如多模式匹配算法主要有AC[6]算法�����、WM[7]算法等����;而單模式匹配算法主要有BF[8]算法、KMP[9]�、BM[10]算法及其一些改進(jìn)算法(BMH[11]算法和BMHS[12]算法等)。隨著黑客技術(shù)的提高����,描述攻擊行為的特征數(shù)目急劇上升,模式匹配算法的效率己成為誤用檢測(cè)技術(shù)的瓶頸�����,直接影響系統(tǒng)的實(shí)時(shí)性能����。模式匹配算法是基于特征
3、匹配的錄取接車系統(tǒng)中的核心算法�����,直接決定了入侵檢測(cè)系統(tǒng)的性能���。因而���,如何改進(jìn)模式匹配算法,提高檢測(cè)效率�����,是目前IDS研究的重點(diǎn)之一���。二�����、研究的基本內(nèi)容與擬解決的主要問(wèn)題2.1研究的基本內(nèi)容1)了解入侵檢測(cè)系統(tǒng)的作用和流程2)理解模式匹配算法的作用3)學(xué)習(xí)經(jīng)典的單模式匹配算法BF����、BM、BMH��、BMHS4)在學(xué)習(xí)原有算法的基礎(chǔ)上��,提出新的算法5)通過(guò)使用證明新算法的優(yōu)越性2.2基礎(chǔ)和內(nèi)容支持2.2.1入侵檢測(cè)系統(tǒng)知識(shí)入侵檢測(cè)系統(tǒng)[13]是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視�����,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備��。IDS是
4����、一種積極主動(dòng)的安全防護(hù)技術(shù)。JamesP.Anderson[14]于1980年的《計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視》第一次詳細(xì)闡述了入侵檢測(cè)的概念;提出計(jì)算機(jī)系統(tǒng)威脅分類;提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想�����。隨后���,在1990年���,加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM(NetworkSecurityMonitor)系統(tǒng)�����。將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)的來(lái)源。2.2.2入侵檢測(cè)目前存在的問(wèn)題 根據(jù)國(guó)外權(quán)威機(jī)構(gòu)近來(lái)發(fā)布的入侵檢測(cè)產(chǎn)品評(píng)測(cè)報(bào)告��,目前主流的入侵檢測(cè)系統(tǒng)大都存在三個(gè)問(wèn)題[15]: 一���、報(bào)警錯(cuò)誤多�����。存在大量的報(bào)
5�����、警信息�,即使在沒(méi)有直接針對(duì)入侵檢測(cè)系統(tǒng)本身的惡意攻擊時(shí)�����,入侵檢測(cè)系統(tǒng)也會(huì)發(fā)出大量報(bào)警����?! 《?、防御能力差。入侵檢測(cè)系統(tǒng)的智能分析能力越強(qiáng)��,處理越復(fù)雜�����,抗強(qiáng)力攻擊的能力就越差����。 三�����、檢測(cè)水平低?��,F(xiàn)有的入侵檢測(cè)系統(tǒng)一般都設(shè)置了閥值��,只要攻擊者將網(wǎng)絡(luò)探測(cè)�、攻擊速度和頻率控制在閥值之下�,入侵檢測(cè)系統(tǒng)就不會(huì)報(bào)警。2.2.3模式匹配算法知識(shí)模式匹配是指將兩個(gè)模式作為輸入,計(jì)算模式元素之間語(yǔ)義上的對(duì)應(yīng)關(guān)系的過(guò)程���?��! ∮袃蓚€(gè)字符串T和S,字符串S稱為正文����,字符串T稱為模式��,通過(guò)查找求出模式T在正文S中的首次出現(xiàn)的位置����。如果模式T在正文S中出現(xiàn),
6����、就說(shuō)發(fā)生一次匹配。接下來(lái)則繼續(xù)查找���,求得匹配次數(shù)����。入侵檢測(cè)系統(tǒng)中的模式匹配技術(shù)的操作步驟[16]:⑴檢測(cè)數(shù)據(jù)包。網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包都被檢測(cè)�����,尋找出攻擊特征��;⑵取得可疑數(shù)據(jù)包�����。從數(shù)據(jù)中查找出與攻擊特征相同長(zhǎng)度的一組字節(jié)���,并將這個(gè)可疑數(shù)據(jù)包的首部取出�,然后對(duì)兩組字節(jié)進(jìn)行比較�����;⑶比較�����。如果比較后���,兩組字節(jié)一樣��,攻擊特征即被檢測(cè)出來(lái)�����;如果兩組字節(jié)不一樣���,攻擊特征“前移一個(gè)字節(jié)”���,重復(fù)比較流程;(4)繼續(xù)檢測(cè)��。特征與數(shù)據(jù)包中第二位開(kāi)始的字節(jié)進(jìn)行比較����;三�����、研究的基本內(nèi)容與擬解決的主要問(wèn)題3.1本課題研究的內(nèi)容:1)了解網(wǎng)絡(luò)對(duì)于現(xiàn)在社會(huì)的重要性
7����、,及入侵檢測(cè)系統(tǒng)的作用和現(xiàn)實(shí)生活中使用的意義���。2)查閱入侵檢測(cè)系統(tǒng)資料�����,了解檢測(cè)的過(guò)程�。3)理解模式匹配算法的概念及在入侵檢測(cè)中的應(yīng)用。4)研究已有的入侵檢測(cè)系統(tǒng)中的模式匹配算法BF���、BMH�����、BMHS等的作用和原理��。通過(guò)查閱有關(guān)資料進(jìn)行將算法實(shí)現(xiàn)程序化��,并了解程序的流程�����。5)基于目前已有算法和別人對(duì)算法的改進(jìn)基礎(chǔ)上���,提出自己的改進(jìn)方法,通過(guò)設(shè)計(jì)入侵檢測(cè)系統(tǒng)的模式匹配算法��,提高效率。3.2擬解決的主要問(wèn)題(1)通過(guò)對(duì)入侵檢測(cè)系統(tǒng)和模式匹配算法的研究�,根據(jù)算法完成相應(yīng)算法要求的程序.(2)根據(jù)已有算法,提出新的算法��。四�����、研究的方法與技
8�����、術(shù)路線�、研究難點(diǎn),預(yù)期達(dá)到的目標(biāo)4.1研究的方法深入研讀有關(guān)軟件工程���、數(shù)據(jù)結(jié)構(gòu)等的文獻(xiàn)資料,理解入侵檢測(cè)系統(tǒng)的流程及模式匹配算法在其中的作用�,理解模式匹配算法的基本思想、原理����、過(guò)程,使用c-free軟件運(yùn)用C語(yǔ)言編程進(jìn)行實(shí)現(xiàn)���。4.2研究的難點(diǎn)1����、已
