智能網絡入侵檢測系統(tǒng)研究與設計.pdf

1、入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是一種主動安全防護系統(tǒng)，融合了許多先進理論與方法，其研究具有重要的理論意義與實用價值。入侵檢測系統(tǒng)按數據源可分為網絡型和主機型，本文研究網絡入侵檢測系統(tǒng)。 現有IDS存在的問題：入侵手段升級迅速，傳統(tǒng)的濫用檢測(Misuse Detection)方法不易檢測，而異常檢測方法誤報率往往較高；網絡帶寬正向千兆級發(fā)展，而現有網絡入侵檢測系統(tǒng)(如Snort)若運

2、行在x86平臺上，往往在百兆網絡中丟包率就已不低，即使運行在NP等高速專用平臺上也難以完全負荷千兆級網絡流量。 本文在對現有入侵檢測理論、方法、體系結構以及實例進行了廣泛深入研究后，將協(xié)議分析、模式匹配、人工免疫三大方法加以改進并整合，以Snort2為原型設計出一種智能網絡入侵檢測系統(tǒng)，并在其中3個關鍵模塊里作出了創(chuàng)新： 改進的協(xié)議分析預處理模塊中：引入了改進的IP分片重組、TCP流還原和應用層分析，并將小生境遺傳與決策

3、樹融合以優(yōu)化分析流程。 改進的模式匹配檢測引擎中：改進匹配算法并動態(tài)化，根據模式長度，把匹配時間看作路徑長，把小生境遺傳引入最短路徑算法，進行模式子集最優(yōu)劃分，并選擇相應的最優(yōu)匹配子算法，設計出智能綜合模式匹配算法。 改進的人工免疫檢測引擎中：采用基于模糊邏輯的表現型/基因型編碼，并引入小生境遺傳算法改進免疫選擇，在減少了所需檢測器數量的前提下，仍然能提高檢測能力，并且檢測器生成所需時間明顯減少。 模塊測試表明：

4、本系統(tǒng)3個關鍵模塊算法與現有算法相比性能均有所提高。 總體測試表明：本系統(tǒng)與Snort2相比，ROC曲線和負載性能有一定的改進；具有異常檢測能力，能檢測未知攻擊并自適應學習(需額外占用小部分資源)，而Snort2作為純粹的濫用檢測系統(tǒng)，不具備真正意義上的異常檢測能力。 本系統(tǒng)若運行于x86平臺，在百兆網絡中丟包率最多能比同等情況下的Snort2低15％。若運行于NP平臺，由于其綜合匹配和人工免疫算法均比Snort2中的單