无忧论文网
当前位置: 无忧论文网 > 自然科学论文 > 计算机科学论文 > PHP论文 > IDS规则匹配算法的改进与实现
点击提交论文指导需求
高薪诚聘老师
IDS规则匹配算法的改进与实现
时间:2011-01-23 浏览次数:1166次 无忧论文网
点击这里在线咨询我

    摘    要:随着网络技术的飞速发展,计算机网络在社会、经济、文化及人们的日常生活中扮演着越来越重要的角色。人们在使用计算机网络的同时,也深深的感受到网络安全的重要性。入侵检测正是网络安全的一个重要的守卫士。对入侵检测根据其所采用的方法可以分为:误用检测,异常检测和基于规范的检测。
Snort是一个开放源码的网络入侵检本论文由无忧论文网 www.51lunwen.net整理提供测系统(NIDS),它采用误用检测的方法,具有很强的告警能力,然而Snort在规则匹配方面仍存在缺陷,特别是在高速网络连接下,Snort的规则匹配算法匹配效率较低。因此本文对误用检测中的规则匹配算法进行了研究与改进,结合动态规则匹配技术,改进规则匹配算法,使得Snort的检测效率得到提高。
    本文对改进前后的算法做了对比实验。首先,采用Snort入侵检测模型和改进前的算法,构建一个入侵检测系统,进行实验并得到相应的实验结果;然后,使用改进后的算法,将Snort的规则库内容进行动态排序后,进行实验,并将实验结果与改进前进行比较。对比分析结果表明,改进后的算法提高了检测效率。
    
    目 录

    1 绪论 1

    1.1 入侵检测系统的起源 1
    1.2 入侵检测系统的现状 1
    1.2.1 国外IDS现状 2
    1.3 入侵检测系统的分类 3
    1.3.1 国内IDS产品 5
    1.3.2 国外IDS产品介绍 6
    1.4 IDS的体系结构 6
    1.5 入侵检测系统的发展方向 7
    1.6 本文所做的工作 8

    2 Snort的研究 9

    2.1 Snort的规则 9
    2.2 Snort匹配算法解析 13
    2.3 Snort 命令介绍 14
    2.4 Snort的工作模式 16

    3 规则匹配算法 19

    3.1 BMH算法 19
    3.2 KMP匹配算法 20
    3.3 BM算法 22

    4 Snort规则匹配算法的改进 24

    4.1 引言 24
    4.2 算法改进目的 24
    4.3 算法改进思想 24
    4.4 改进后的Snort规则机制 25
    4.5 改进后的Snort模块图 26

    5 Snort实验 28

    5.1 实验一: Snort的调试实验 28
    5.1.1 实验设备 28
    5.1.2 实验目的 28
    5.1.3 平台搭建 28
    5.1.4 实验方案 40
    5.1.5 Snort运行页面 40
    5.1.6 实验结果 42
    5.2 实验二: Snort的改进实验 42
    5.2.1 实验设备 42
    5.2.2 实验目的 43
    5.2.3 实验方案 43
    5.2.4 实验结果 43
    5.3 结论 43

    6 总结和展望 45

    致谢 46
    参考文献 47
    附录 49

    表格目录
    表格 2 1 Snort规则的结构表 11
    表格 2 2 Snort规则头部的结构表 11
    表格 3 1 BM算法的匹配过程表 23
    表格 5 1改进前数据包分析时间表 42
    表格 5 2 改进后数据包分析时间表 43

    图目录

    图 1 1 入侵检测系统的部署方式图 7
    图 2 1  Snort的规则树 14
    图 4 1 改进后的规则树图 26
    图 4 2  Snort的改进模块图 27
    图 5 1  Apache Monitor键面 36
    图 5 2  Apache测试成功图 36
    图 5 3  PHP 安装成功图 37
    图 5 4  Snort 数据表建立成功图 39
    图 5 5 告警信息显示图 40
    图 5 6  频率较高的告警显示图 41
    图 5 7  端口告警显示 41
    图 5 8  目的 IP告警图 42
    图 5 9  改进后实验结果图 44

    1 绪论

    1.1 入侵检测系统的起源

    最早的入侵检测概念是1980年由James.Anderson提出的,认为对日志审计追踪可应用于监视系统的入侵行为。
    1987年,Dorothy E Denning[1]提出了第一个入侵检测模型,称之为入侵检测专家系统(Intrusion Detection Expert System,简称IDES),该模型将异常定义为“稀少和不寻常”(指一些统计特征量不在正常范围内),通过监控本论文由无忧论文网 www.51lunwen.net整理提供若干根据主机系统审计数据建立的正常行为模式集的异常变化发现系统的入侵行为。1988年Teresa Lunt等人在IDES基础上,提出了与系统平台无关的实时检测思想。1990年,Heberlein等人提出第一个基于网络的入侵检测系统,称之为网络安.......

关于我们 | 老师招聘 | 版权声明 | 联系我们 | 付款方式 | 返回顶部 | 

COPYRIGHT ©2001 - 2013 51LUNWEN.NET. ALL RIGHTS RESERVED.
【免责声明】:本网站所提供的信息资源如有侵权、违规,请及时告知
无忧论文网提供毕业论文指导 硕士论文指导服务