入侵檢測(cè)系統(tǒng)中的入侵分析技術(shù)研究.pdf

1、入侵檢測(cè)系統(tǒng)(IDS)是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)。近年來(lái)，隨著商業(yè)化IDS產(chǎn)品的不斷開發(fā)，入侵檢測(cè)系統(tǒng)也逐漸發(fā)展普及。但是，復(fù)雜的網(wǎng)絡(luò)環(huán)境和層出不窮的入侵攻擊手段，使得當(dāng)前入侵檢測(cè)系統(tǒng)普遍存在著較高的誤報(bào)率和漏報(bào)率，實(shí)時(shí)檢測(cè)速度和實(shí)際要求也有很大的差距。同時(shí)，入侵防御系統(tǒng)(IPS)以及入侵管理系統(tǒng)(IMS)等概念的提出也成為IDS技術(shù)新的發(fā)展趨勢(shì)，其功能也進(jìn)一步加強(qiáng)和泛化。作為網(wǎng)絡(luò)安全防護(hù)的重

2、要手段，入侵檢測(cè)在很多方面，特別是入侵分析技術(shù)上有待進(jìn)一步深入研究。 本文介紹分析了傳統(tǒng)入侵分析技術(shù)的特點(diǎn)和不足，重點(diǎn)對(duì)目前實(shí)用的商業(yè)化IDS產(chǎn)品中廣泛使用的特征分析技術(shù)進(jìn)行了研究，針對(duì)處理速度上的瓶頸，比較分析了面向特征分析技術(shù)的模式匹配算法，提出了一種新的基于模式樹構(gòu)造的多模式并行匹配算法，算法實(shí)現(xiàn)了匹配的并行化且高效簡(jiǎn)潔，能進(jìn)一步加快模式匹配的速度，分析表明，新算法有較大的移動(dòng)步長(zhǎng)，有效減少了實(shí)際匹配的規(guī)模，使時(shí)間和資源消

3、耗得到合理調(diào)配，提高了特征匹配的速度，從而提高整個(gè)入侵檢測(cè)系統(tǒng)的實(shí)時(shí)檢測(cè)性能。此外，智能化方法也被引入入侵分析技術(shù)之中，成為下一代IDS發(fā)展的關(guān)鍵，本文根據(jù)入侵攻擊行為的模糊不確定性的特點(diǎn)，結(jié)合中醫(yī)學(xué)疾病診斷的原理，提出了一種基于模糊診斷推理的入侵分析模型，該模型旨在提高對(duì)各種變形攻擊、協(xié)同攻擊等的識(shí)別能力以及減少虛警率。模型以系統(tǒng)的運(yùn)行狀態(tài)作為入侵分析的主要依據(jù)，并借助ECA規(guī)則的主動(dòng)機(jī)制來(lái)監(jiān)測(cè)系統(tǒng)運(yùn)行狀態(tài)的變化，結(jié)合模糊診斷推理方法