基于深度包檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、深度包檢測(cè)技術(shù)(Deep packet inspecTiO2,DPI)是相對(duì)普通報(bào)文分析而言的一種新技術(shù),普通報(bào)文檢測(cè)僅僅分析IP包的四層以下的內(nèi)容,包括源地址、目的地址、源端口、目的端口以及協(xié)議類型,深度包檢測(cè)技術(shù)不僅檢測(cè)網(wǎng)絡(luò)層和傳輸層數(shù)據(jù)包頭部,而且深入到應(yīng)用層數(shù)據(jù)包的有效載荷所封裝的內(nèi)容中,搜尋合法或非法的內(nèi)容以決定是否允許數(shù)據(jù)包通過。
　　 入侵檢測(cè)系統(tǒng)(IDS,Intrusion DetecTiO2 System)是一

2、種新的安全防御措施,作為防火墻的一種補(bǔ)充策略,IDS可以用來識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)或者更廣泛意義上的信息系統(tǒng)的非法攻擊,包括檢測(cè)外界非法入侵者的惡意攻擊或試探。
　　 深度包檢測(cè)技術(shù)是現(xiàn)代IDS的主要實(shí)現(xiàn)手段。本文從數(shù)據(jù)包的捕獲原理開始,以對(duì)TCP/IP數(shù)據(jù)包的解析為主線,詳細(xì)介紹了其實(shí)現(xiàn)原理和實(shí)現(xiàn)過程。在深入研究深度包檢測(cè)技術(shù)基礎(chǔ)之上,針對(duì)基于傳統(tǒng)模式匹配算法的入侵檢測(cè)系統(tǒng)多存在的如匹配速度慢、檢測(cè)的誤報(bào)率和漏報(bào)率較高等

3、問題,本文提出了一種基于深度包檢測(cè)的結(jié)合協(xié)議分析的智能匹配檢測(cè)技術(shù)。相對(duì)于傳統(tǒng)的模式匹配檢測(cè)技術(shù),有效的減少了匹配檢測(cè)的計(jì)算量、誤報(bào)率和漏報(bào)率。本文采用該智能匹配檢測(cè)技術(shù)對(duì)運(yùn)算量的減少主要體現(xiàn)在兩個(gè)方面:
　　 首先,對(duì)某些攻擊可以通過對(duì)協(xié)議分析后的某些特殊字段的值進(jìn)行簡(jiǎn)單的比較就檢測(cè)出攻擊,這樣就不用進(jìn)行運(yùn)算量很大的模式匹配檢測(cè)。這種簡(jiǎn)單的比較不是進(jìn)行從頭至尾的特征匹配,而是根據(jù)協(xié)議的規(guī)則性來精確定位某些特殊字段的位置并確定其