基于網(wǎng)絡(luò)處理器的分布式入侵檢測系統(tǒng)研究與設(shè)計.pdf

1、隨著計算機和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)安全成為世界各國共同關(guān)注的焦點。入侵檢測技術(shù)是繼傳統(tǒng)的安全保護(hù)措施之后新一代的安全保障技術(shù)。作為信息安全保障中的一個重要環(huán)節(jié)，它很好地彌補了訪問控制、身份認(rèn)證等傳統(tǒng)機制所不能解決的問題，對計算機和網(wǎng)絡(luò)資源上的惡意訪問行為進(jìn)行識別和響應(yīng)。入侵檢測已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)領(lǐng)域內(nèi)的一個研究熱點。 在前人對入侵檢測研究的基礎(chǔ)上，本文主要提出了構(gòu)建一個基于網(wǎng)絡(luò)處理器的分布式網(wǎng)絡(luò)入侵檢測系統(tǒng)——DNIDS

2、的設(shè)計方法和具體實現(xiàn)。DNIDS采用網(wǎng)絡(luò)處理器IXP2400作為硬件平臺，充分利用網(wǎng)絡(luò)處理器IXP2400處理速度快和可編程的特點，結(jié)合高效的基于TCAM的模式匹配算法，利用基于協(xié)議分析的入侵檢測技術(shù)，分析來自網(wǎng)絡(luò)外部的入侵攻擊以及內(nèi)部的未授權(quán)行為，提供實時報警和自動響應(yīng)，實現(xiàn)一個高性能、分布式的入侵檢測和預(yù)警系統(tǒng)。 針對入侵檢測的關(guān)鍵技術(shù)，文章主要從以下三個方面開展了研究工作： 第一，基于TCAM的模式匹配算法。對于基

3、于誤用的入侵檢測，模式匹配算法是至關(guān)重要的，它的性能將直接影響到入侵檢測系統(tǒng)的快速性和準(zhǔn)確性。本文提出了一種基于TCAM的模式匹配高效算法，它較好的避免了傳統(tǒng)入侵檢測算法由于規(guī)則增加導(dǎo)致的性能下降，提高了模式匹配的速度。 第二，協(xié)議分析算法。協(xié)議分析有效地利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識，能快速、準(zhǔn)確地判斷攻擊特征是否存在，利用協(xié)議分析可以大大減小模式匹配的計算量，提高匹配的精確度、檢測速度、檢測率，減少誤報率。