基于SNORT的串行混合式入侵檢測系統(tǒng)研究.pdf

1、近些年網(wǎng)絡(luò)發(fā)展迅速,傳統(tǒng)的計算機(jī)安全理論無法適應(yīng)日趨復(fù)雜、變化的網(wǎng)絡(luò)環(huán)境,傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)基本上都立足于防,但是防護(hù)技術(shù)只能最大量阻止入侵行為的發(fā)生或延緩此過程,卻不能完全阻止各種入侵行為的發(fā)生。隨著入侵檢測技術(shù)的研究,針對入侵行為的阻止與對未知行為的預(yù)判,很好的解決了傳統(tǒng)計算機(jī)安全技術(shù)的不足。
　　 本文從入侵檢測常用技術(shù)開始分析,比較各種檢測分類方法的優(yōu)缺點。針對采用異常模式檢測系統(tǒng)Payload AD誤報率較高,檢測入侵

2、行為解釋性差及采用誤用模式的Snort入侵檢測系統(tǒng)漏報率高,對未知入侵行為不可檢測等缺點,提出一種串行混合式入侵檢測系統(tǒng)。結(jié)合兩種單一模式系統(tǒng)優(yōu)點,減少數(shù)據(jù)包誤報漏報問題,對已知入侵行為解釋性強,對未知入侵行為有很好的預(yù)判。實驗證明串行混合式入侵檢測系統(tǒng)誤報率相對異常檢測系統(tǒng)較低,漏報率相對Snort系統(tǒng)較低。
　　 針對串行混合式入侵檢測系統(tǒng)檢測模塊中的模式匹配算法AC算法不能有效跳躍不必要轉(zhuǎn)移狀態(tài),匹配速率較慢的問題,提出一