入侵檢測(cè)中的數(shù)據(jù)包采樣算法研究及實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)安全問(wèn)題的日益嚴(yán)重，入侵檢測(cè)系統(tǒng)(Intrusion Detection System，縮寫(xiě)：IDS)已經(jīng)成為計(jì)算機(jī)與網(wǎng)絡(luò)安全的重要組成部分。隨著網(wǎng)絡(luò)帶寬的不斷增加，由于處理能力的限制，現(xiàn)有入侵檢測(cè)系統(tǒng)面臨挑戰(zhàn)，如何提升IDS的處理能力備受關(guān)注。提升硬件的處理速度是常用的方法，然而，硬件處理速度的提升卻遠(yuǎn)遠(yuǎn)跟不上網(wǎng)絡(luò)帶寬的增加速度，IDS的處理能力面臨著瓶頸。 數(shù)據(jù)包采樣是提升數(shù)據(jù)包處理能力的很好方法，在網(wǎng)絡(luò)流量監(jiān)測(cè)分析

2、中得到了廣泛應(yīng)用。然而，傳統(tǒng)的數(shù)據(jù)包采樣算法，都是針對(duì)網(wǎng)絡(luò)流量監(jiān)測(cè)所設(shè)計(jì)的，初始設(shè)計(jì)時(shí)并沒(méi)有考慮應(yīng)用在入侵檢測(cè)中。近些年來(lái)，逐漸開(kāi)始有研究者開(kāi)始研究入侵檢測(cè)中的數(shù)據(jù)包采樣算法，分析了幾種傳統(tǒng)的應(yīng)用于網(wǎng)絡(luò)測(cè)量中的數(shù)據(jù)包采樣算法，驗(yàn)證了這些算法直接應(yīng)用在高速鏈路入侵檢測(cè)中的不適用性，但并沒(méi)有提出新的有效算法。基于此，本文將針對(duì)高速鏈路入侵檢測(cè)研究新的數(shù)據(jù)包采樣算法。 本文的主要研究?jī)?nèi)容和工作成果如下： 1.分析了網(wǎng)絡(luò)中典型的

3、入侵攻擊方式，通過(guò)對(duì)經(jīng)典數(shù)據(jù)集進(jìn)行入侵檢測(cè)后的日志統(tǒng)計(jì)，得出入侵過(guò)程的一個(gè)重要特點(diǎn)：入侵攻擊過(guò)程在時(shí)間上具有連續(xù)性。依據(jù)此特點(diǎn)，為高速鏈路中的入侵檢測(cè)設(shè)計(jì)了一種新的數(shù)據(jù)包采樣算法。 2.在入侵檢測(cè)系統(tǒng)Snort的基礎(chǔ)上設(shè)計(jì)實(shí)驗(yàn)平臺(tái)，把Snort數(shù)據(jù)包捕獲速率從百兆提升至千兆，使其能應(yīng)用于真實(shí)高速鏈路中的實(shí)驗(yàn)。 3.搭建真實(shí)高速鏈路環(huán)境，利用新設(shè)計(jì)的實(shí)驗(yàn)平臺(tái)對(duì)采樣算法進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果證明，新的數(shù)據(jù)包采樣算法在高速鏈路下可