基于高效模式匹配算法的入侵檢測系統(tǒng)的研究與設(shè)計.pdf

1、隨著網(wǎng)絡(luò)安全的不斷深入，傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)暴露出很多問題，入侵檢測技術(shù)作為一種積極主動的安全防御技術(shù)，越來越受到大家的重視。但是，入侵檢測技術(shù)在發(fā)展中也存在很多問題，如抓包過濾的漏包，分析枚舉的浪費，匹配算法的低效，靜態(tài)識別的局限，各種技術(shù)的孤立等。 本文首先對網(wǎng)絡(luò)安全和入侵檢測進行了理論研究，并通過分析，確定了本文研究的理論基礎(chǔ)。 其次，對網(wǎng)絡(luò)入侵檢測系統(tǒng)的重點模塊進行了設(shè)計和優(yōu)化，內(nèi)容包括： 一、設(shè)計抓包模塊

2、，討論3種過濾方式并選擇BPF作為過濾機制。 二、設(shè)計分析模塊，采用協(xié)議分析的方法，分層提取數(shù)據(jù)包各個字段的數(shù)據(jù)存入全局變量。 三、建立一種通用的入侵事件描述語言，使系統(tǒng)能對新的入侵行為動態(tài)生成模式并添加到模式庫中，解決了模式匹配只能識別已有入侵的問題，保持了模式庫的低開銷和高靈活度。 四、設(shè)計檢測模塊，分兩步進行信息獲取，一是通過模式解析把模式庫中的模式進行分解，提取入侵特征，二是按模塊化的思想把分析模塊的全局

3、變量的數(shù)據(jù)放入檢測模塊的協(xié)議變量中。然后，按照三個步驟進行模式匹配，一是按關(guān)系組合進行匹配，二是按事件運算式的結(jié)構(gòu)進行匹配，三是對整型變量進行匹配。 五、對字符串匹配算法進行優(yōu)化，在總結(jié)前人提出的單模式匹配算法如KMP、BM、BMH、QS、LED等和多模式匹配算法如 AC、MWM、SBMH等的基礎(chǔ)上，提出了快速移動、多模式匹配的 AC-BMF算法，以及快速移動、高效匹配、多模式匹配的LED-SA-ACS算法，把移動速度和匹配效率