基于協(xié)議分析樹的入侵檢測技術(shù)研究.pdf

1、目前，國內(nèi)外很多的入侵檢測系統(tǒng)都是基于誤用的，主要采用模式匹配技術(shù)，在協(xié)議分析方面，主要針對TCP/IP的較底層的協(xié)議進(jìn)行分析，對于應(yīng)用層協(xié)議則沒有進(jìn)行分析，導(dǎo)致所捕獲的每個數(shù)據(jù)包需要匹配規(guī)則的數(shù)量龐大，引起性能不足。本論文研究與改進(jìn)了基于協(xié)議分析樹的入侵檢測技術(shù)，以提高入侵檢測系統(tǒng)中數(shù)據(jù)包的檢測效率為目的，為減少入侵檢測系統(tǒng)的誤報率、漏報率，提高入侵檢測系統(tǒng)的性能提供了更好的基礎(chǔ)。 首先，在充分研究各種決策樹算法的適用條件的基

2、礎(chǔ)上，采用信息增益理論對協(xié)議描述文件進(jìn)行分類，創(chuàng)建一棵協(xié)議分析樹來實(shí)現(xiàn)對入侵檢測規(guī)則集的優(yōu)化，從減少規(guī)則匹配區(qū)間的角度，大大減少了檢測攻擊的匹配時間。同時應(yīng)用層協(xié)議分析的實(shí)現(xiàn)，降低了基于誤用的入侵檢測系統(tǒng)的誤報率、漏報率，提高了系統(tǒng)性能。 其次，通過研究TCP/IP協(xié)議族，特別是它的應(yīng)用層協(xié)議，并對各種入侵檢測系統(tǒng)入侵特征描述方法進(jìn)行了分析比較，在此基礎(chǔ)上，設(shè)計實(shí)現(xiàn)了一種協(xié)議描述文件的方法，該方法利用BNF語法對TCP/IP協(xié)議