原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
优秀博硕毕业论文,完美PDF内部资料、支持编辑复制,值得参考!
摘要
误用型入侵检测是入侵检测系统中的一种主要检测方式。但是随着网络流
量的日益增大以及入侵系统规则库的扩大,这种方式由于其检测速度根不上网
络速度从而产生漏检测的情况己非常严重。本文通过分析入侵检测包匹配的检
测引擎,对提高检测速度进行了系统研究。
入侵检测的规则可分为内容规则和非内容规则。在已有的一些研究中,主
要是对内容规则匹配进行改进,如引入多模式匹配思想,以提高这部分检测的
速度。但在应用上还不能从整体上提高检测包的速度。
本文研究了一些典型的入侵检测系统,考察其检测引擎的原理,着重发现
其提高检测速度的有效方法。在归纳出它们的原理后,再做进一步深入研究,
提出了新的规则检测方式。
本文所提出的新的规则检测方式要对规则进行分层处理,它完全改变了原
来检测规则的顺序,改为依规则选项来逐层检测所有规则,这是多模式思想和
分层索引思想的推进。而且使用这种分层的方式,可以在检测时使用数据结构
和查询算法,更快地提高检测速度。
使用这种方法可建立一种新的规则检测引擎,它可以通过对现有系统进行
改造来实现。在论文中详细讨论了如何改造典型的检测系统snort,以应用上述
新的检测引擎,并做出了系统设计。
为了验证这种新检测方法的性能,我们建立了检测模型,并参考snort生成
了用于检测的规则,根据实际网络数据生成了检测数据,对模型进行了实验,
以考察其在速度和内存占用上的性能。通过实验,验证了模型对提高检测速度
有很大的效果。应当指出所建立的系统对内存的消费比较大,因此在实际检测
环境中应用还需做进一步的工作。
关键字:入侵检测 数扼包 检测引擎 模式匹配
内客规则 规则选项 平衡二又树 stabbing查询
Abstract
MisusedetectingisoneofthemostimportantdetectingmethodsofNIDS.With
theincreasingofnetdatatransferringandtheenlargingofsystemregulationdatabase,
thesituationbecomesmoreandmoreseriousasthespeedofthismethodcannot
meettheneedofthespeedofnettransferring.Inthisthesis,detectingurleengineer
ofNIDSwillbeanalyzed,andtheresearchonhowtospeed叩itsperformancewill
bedoneindetail
TherulesusedbyNIDScanbedividedintotwogroups:thecontentrulesand
thenon-contenturles.Inmostofresearches,moreattentionispaidonthecontent
urles.Byusingsomemulti-patternmethods,thedetectingcanbespeededuponthe
contentrules.Butpractically,thespeedofwholeNIDSwillnotbeimproved
evidently.
Inordertospeedupthedetectingentirely,sometypicalNIDSwillbeanalyzed,
andtheirprinciplesofdetectingengineerwillbeinvestigated,especiallythemethods
forspeedingupdetection.Afterstatingtheseprinciples,anewmethodofdetecting
packetswillbepresentedinthisthesis.
Themainprincipleofthenewmethodisthattheprocessingislayered.The
detectingorderwillbechangedcompletely.Whendetecting,thepacketwillpass
everyruleoptiononeby
文档评论(0)