入侵檢測(cè)系統(tǒng)模式匹配算法研究文獻(xiàn)綜述

《入侵檢測(cè)系統(tǒng)模式匹配算法研究文獻(xiàn)綜述》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。

1、文獻(xiàn)綜述入侵檢測(cè)系統(tǒng)模式匹配算法研究一、前言部分計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展使人們的工作、學(xué)習(xí)和生活更加高效和便利，但借助于網(wǎng)絡(luò)的入侵行為的數(shù)量和破壞性也不斷增加。近年來(lái)，網(wǎng)絡(luò)安全事件呈爆炸性增長(zhǎng)，安全問(wèn)題日益突出。根據(jù)CERT／CC的統(tǒng)計(jì)，1994年安全事件為2340件，而2003年這一數(shù)字己達(dá)到137529件(此項(xiàng)統(tǒng)計(jì)截至于2003年)[1].網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理和控制技術(shù)，保證網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及其系統(tǒng)中的數(shù)據(jù)不被偶然的或者惡意的原因破壞，更改，泄漏，保持系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。它涉及到網(wǎng)絡(luò)上信息的保密性，完整性，可用性，真實(shí)性和可

2、控性的相關(guān)技術(shù)和理論。網(wǎng)絡(luò)安全應(yīng)該具有保密性、完整性、可用性、可控性和正確性五個(gè)方面的特征[2]。面對(duì)日益加劇的網(wǎng)絡(luò)安全威脅，傳統(tǒng)的靜態(tài)安全技術(shù)如認(rèn)證機(jī)制、加密和防火墻等已經(jīng)難以勝任。為此，我們需要盡可能找到更好的措施以保護(hù)系統(tǒng)免受入侵者的攻擊。要求事先設(shè)置規(guī)則。對(duì)于實(shí)時(shí)攻擊或異常行為不能實(shí)時(shí)反應(yīng)。無(wú)法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊。因而出現(xiàn)了入侵檢測(cè)系統(tǒng)[3]。入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)可以彌補(bǔ)防火墻技術(shù)的不足，對(duì)網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為作出策略反應(yīng)，及時(shí)切斷資料入侵源，記錄并通過(guò)各種途徑通知網(wǎng)絡(luò)管理員，以求最大幅度地保障系統(tǒng)安全。它是

3、防火墻的合理補(bǔ)充，可以幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，從而提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是防火墻之后的第2道安全閘門。它能在不影響網(wǎng)絡(luò)性能的情況下監(jiān)測(cè)網(wǎng)絡(luò)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)[4]。入侵檢測(cè)作為一種重要的動(dòng)態(tài)安全技術(shù)，能夠提供對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的外部攻擊、內(nèi)部攻擊及誤操作的全面檢測(cè)，其主要功能是監(jiān)視并分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)、評(píng)估重要系統(tǒng)圖、安全事件報(bào)告數(shù)據(jù)和數(shù)據(jù)文件的完整性、識(shí)別己知攻擊的行為模式、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理和識(shí)別用戶違反安全策略的行為。作為防火墻

4、之后的第2道安全防線[5]。它從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息，再通過(guò)這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊；在入侵攻擊過(guò)程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)，添加入策略集中，增強(qiáng)系統(tǒng)的防范能力，避免系統(tǒng)再次受到同類型的入侵[3]。入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到入侵的跡象的一種安全技術(shù)。將入侵檢測(cè)的軟硬件組合起來(lái)便是入侵檢測(cè)系

5、統(tǒng)。入侵檢測(cè)的第一步是信息收集，第二步是信息分析。最后進(jìn)行結(jié)果處理。對(duì)于入侵檢測(cè)系統(tǒng)分類，從數(shù)據(jù)分析手段看，通常可以分為兩類：濫用入侵檢測(cè)和異常入侵檢測(cè)。從數(shù)據(jù)來(lái)源來(lái)看，入侵檢測(cè)目前可以分為三類：基于主機(jī)的入侵檢測(cè)、基于網(wǎng)絡(luò)的入侵檢測(cè)和分布式入侵檢測(cè)[6]。目前，基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS：NetworkIntrusionDetectionSystem)，通常也稱硬件檢測(cè)系統(tǒng)，放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，并對(duì)每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析．如果數(shù)據(jù)包與檢測(cè)系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至直接切斷網(wǎng)絡(luò)連接，網(wǎng)管可以在Windows平臺(tái)

6、進(jìn)行配置，中央管理．目前，大部分入侵檢測(cè)產(chǎn)品都是基于網(wǎng)絡(luò)的．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源主要是網(wǎng)絡(luò)中的數(shù)據(jù)源，而且這種系統(tǒng)對(duì)入侵者是透明的，可以避免本身被入侵者攻擊，同時(shí)該種入侵檢測(cè)方式對(duì)主機(jī)的資源消耗較少，可以對(duì)網(wǎng)絡(luò)系統(tǒng)采用通用的保護(hù)．基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常都是采用基于特征的入侵分析方法，因?yàn)榫W(wǎng)絡(luò)數(shù)據(jù)包中沒(méi)有明顯的主體信息可用[1,7]．未來(lái)入侵檢測(cè)系統(tǒng)的發(fā)展方向。(1)入侵檢測(cè)系統(tǒng)目前具有的功能將會(huì)得到融合。目前各類開(kāi)發(fā)公司已經(jīng)出現(xiàn)的兼并案例．(2)體系結(jié)構(gòu)結(jié)構(gòu)上的變化，小型網(wǎng)絡(luò)和大型網(wǎng)絡(luò)將不同的結(jié)構(gòu)為主。(3)信息來(lái)源的改變，目前的將越來(lái)越已網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)數(shù)據(jù)為主。(4)特征模式

7、的提取，目前絕大多數(shù)系統(tǒng)采用的是基于特征的檢測(cè)方法[8]。二、主題部分1模式匹配算法的背景及原理模式匹配[8]是指將兩個(gè)模式作為輸入，計(jì)算模式元素之間語(yǔ)義上的對(duì)應(yīng)關(guān)系的過(guò)程?！　∮袃蓚€(gè)字符串T和Ｓ，字符串S稱為正文，字符串T稱為模式，通過(guò)查找求出模式T在正文S中的首次出現(xiàn)的位置。如果模式T在正文S中出現(xiàn)，就說(shuō)發(fā)生一次匹配。接下來(lái)則繼續(xù)查找，求得匹配次數(shù)。入侵檢測(cè)系統(tǒng)中的模式匹配技術(shù)的操作步驟[9]：⑴檢測(cè)數(shù)據(jù)