一种基于正则表达式匹配的协议分析异常检测方法.pdfVIP

维普资讯 第25卷第3期 计算机应用与软件 V01．25No．3 2008年 3月 ComputerApplicationsandSoftware Mar．2008 一 种基于正则表达式匹配的协议分析异常检测方法 陆 虎 宋余庆 7Y-Y- 徐 景 (江苏大学计算机与通信工程学院 江苏 镇江 212013) (南京理工大学计算机系 江苏 南京210094) 摘 要 在分析了基于协议分析技术的IDS不足的基础上，引入 了正则表达式的技术，提出了基于正则表达式匹配的协议分析技 术，给出了相应实现算法，并在实际构建 IDS规则库时进行了试验，通过实验结果表明，运用正则表达式改善了误用检测中检测特征 单一、无法检测新攻击的缺陷，扩展了检测变种攻击的能力，从而大大提高了检测的效率。 关键词 入侵检测系统 协议分析 正则表达式 NEW APPRoACH To INTRUSIoN DETECTIoN IN PRoToCoL ANALYSISBASED ON REGULAR EXPRESSION LuHu ‘SongYuqing XueWanyu XuJing (SchoolofComputerScienceandTelecommunicationsEngineering，JiangsuUniversity，Zhenjiang212013，Jiangsu，China) 。(DepartmentofComputer，NanfingUniversityofScienceandTechnology，Nanfing210094，fiangsu，China) Abstract OnthebasisoftheanalysisoftheshortagesofIDSbasedonprotocolanalysis，theregularexpressionisimportedintoIDS．A protocolanalysistechnologybasedonreuglarexpressionisputforward，andthecorrespondingalgorithmsandtheexoerimentsfortheconstruc— tionofruledatabasesarepresented．Experimentsindicatethatthedefectionsofmisusedetectionareimproved．Theabilityofvariantattackde— tection isstrengthened，andtheefficiencyofdetection isenhanced． Keywords Intrusiondetectionsystem (IDS) Protocolanalysis Reuglarexpression 范进行封装的原理。我们把常用协议按照从底层到高层的方式 0 前 言 生成了一棵协议树。每层上的协议都对应一个特定的编号，一 个网络数据包的分析过程就是一条从树的根节点到某个叶子节 入侵检测系统(IDS)是通过对计算机网络或计算机系统中 点的路径。 的若干关键点收集信息并对其进行分析，从中发现网络或系统 一 旦协议树生成以后 ，就可以对报文进行协议分析了。如 中是否有违反安全策略的行为和攻击迹象的软硬件系统的组 接收