入侵檢測系統(tǒng)中誤用檢測技術(shù)的研究.pdf

1、由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和新的入侵手段的不斷涌現(xiàn)，目前企業(yè)級網(wǎng)絡(luò)應(yīng)用已經(jīng)發(fā)展到現(xiàn)在的大規(guī)模、分布式、GB流量的網(wǎng)絡(luò)環(huán)境，基于模式匹配的入侵檢測技術(shù)和單一的入侵檢測體系結(jié)構(gòu)已經(jīng)不能適應(yīng)現(xiàn)代入侵檢測需要。協(xié)議分析技術(shù)是基于網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，它是繼模式匹配之后的第三代入侵檢測技術(shù)。面對分布式的網(wǎng)絡(luò)環(huán)境，當(dāng)然需要分布式的體系結(jié)構(gòu)的入侵檢測系統(tǒng)來應(yīng)對，這樣才能一方面檢測出分布式網(wǎng)絡(luò)環(huán)境下的入侵行為，同時(shí)更容易檢測出分布式攻擊。 字符串匹

2、配算法是入侵檢測系統(tǒng)中最常用的檢測算法之一。由于目前算法多種多樣，并且其所適用的環(huán)境各不相同，而且沒有一種算法在所有環(huán)境下都能夠取得非常好的性能。所以本文以此為切入點(diǎn)，在簡要介紹的入侵檢測系統(tǒng)的發(fā)展過程后，研究了目前非常流行的10種字符串匹配算法(BF算法、KMP算法、BM算法、Turbo-BM算法、Tuned-BM算法、BMH算法、RF算法、TRF算法、KR算法以及QS算法)，并且分別在不同text類型、pattern長度以及alph

3、abet類型下測試這些算法。然后通過實(shí)驗(yàn)對比分析了這10種算法在不同情況下的性能，從而給出了一種能夠按照被匹配字符串類型以及匹配字符串的長度進(jìn)行動態(tài)選擇字符串匹配算法的新方法，并且通過實(shí)驗(yàn)證明了該動態(tài)選擇算法在運(yùn)行時(shí)間上比其它單一算法有著較好的性能。 協(xié)議分析技術(shù)通過對比網(wǎng)絡(luò)信息與協(xié)議的差異性來檢測入侵行為，它有著比模式匹配技術(shù)更好的性能。本文中將字符串匹配算法的動態(tài)選擇算法和協(xié)議分析技術(shù)結(jié)合起來，研究并實(shí)現(xiàn)了誤用檢測算法。由于

4、本文涉及的系統(tǒng)采用分布式體系結(jié)構(gòu)，所以誤用檢測算法涉及到基于主機(jī)的和基于網(wǎng)絡(luò)的兩種不同的類型，在本文中都有詳細(xì)分析，并且給出了算法的形式語言描述。由于基于網(wǎng)絡(luò)的子系統(tǒng)的特殊性，其核心檢測算法僅僅采用單一的基于協(xié)議分析技術(shù)和字符串匹配算法的動態(tài)選擇算法的誤用檢測算法。而基于主機(jī)的子系統(tǒng)所采用的核心算法則是基于誤用檢測算法、異常檢測算法和數(shù)據(jù)完整性檢測算法的算法融合技術(shù)。 由于本文中涉及到的基于網(wǎng)絡(luò)的子系統(tǒng)所采用的核心檢測算法為單一

5、的誤用檢測算法，所以無法檢測到針對字符串匹配的偽裝攻擊。針對這種情況，本文提出了一種基于網(wǎng)絡(luò)分析器和基于主機(jī)分析器之間的反饋式學(xué)習(xí)功能。該功能通過基于主機(jī)的分析器和基于網(wǎng)絡(luò)的分析器的通信功能，首先由網(wǎng)絡(luò)分析器收集可疑信息，然后發(fā)送給該信息對應(yīng)的主機(jī)所在的感應(yīng)單元。當(dāng)該信息通過基于主機(jī)的分析器分析確定后，再由基于主機(jī)的感應(yīng)器將分析結(jié)果返回至基于網(wǎng)絡(luò)的感應(yīng)單元。這樣基于網(wǎng)絡(luò)的子系統(tǒng)可以通過返回的分析結(jié)果來決定可疑信息是否為攻擊，從而達(dá)到學(xué)習(xí)