返回
入侵检测系统中高效模式匹配算法的研究

入侵检测系统中高效模式匹配算法的研究

ID:33326256

大小:95.48 KB

页数:3页

时间:2019-02-24

入侵检测系统中高效模式匹配算法的研究_第1页
入侵检测系统中高效模式匹配算法的研究_第2页
入侵检测系统中高效模式匹配算法的研究_第3页
资源描述:

《入侵检测系统中高效模式匹配算法的研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第30卷 第13期计 算 机 工 程2004年7月Vol.30№13ComputerEngineeringJuly2004·安全技术·文章编号:1000—3428(2004)13—0092—03文献标识码:A中图分类号:TP301.6入侵检测系统中高效模式匹配算法的研究1211杨武,方滨兴,云晓春,张宏莉(1.哈尔滨工业大学计算机科学与技术学院,哈尔滨150001;2.国家计算机网络与信息安全管理中心,北京)100031摘要:基于特征匹配的网络入侵检测系统的性能主要受模式匹配算法的影响。文章在对流行的网络入侵检测系统snort深入剖析的基础上,侧重研究如何利用各种高效模式匹配算法来优化sn

2、ort的性能。重点介绍了一种基于BM思想的多模式匹配算法——SSPBM算法,结果表明采用SSPBM算法可以较大提高网络入侵检测系统的检测性能。关键词:入侵检测;特征匹配;多模式匹配;网络安全StudyofEfficientPatternMatchingAlgorithmsinIntrusionDetectionSystem1211YANGWu,FANGBinxing,YUNXiaochun,ZHANGHongli(1.SchoolofComputerScienceandTechnology,HarbinInstituteofTechnology,Harbin150001;2.Nationa

3、lComputerNetworkandInformationSystemSecurityAdministrationCenter,Beijing100031)【Abstract】Theperformanceofasignature-matching-basednetworkintrusiondetectionsystem(NIDS)isdominatedbypatternmatchingalgorithm.BasedontheprofileofthepopularNIDS-snort,thispaperstudieshowtoutilizedifferentefficientpattern

4、matchingalgorithmstooptimizetheperformanceofsnort.Itmainlypresentsamulti-patternmatchingalgorithmbasedontheideaofBMalgorithm-SSPBMalgorithm.TheresultshowsSSPBMalgorithmcangreatlyimprovethedetectingperformanceofNIDS.【Keywords】Intrusiondetection;Signaturematching;;Multi-patternmatchingNetworksecurit

5、y1概述利用这一点,通过发送大量的无害数据包来使NIDS过载从而随着Internet,的飞速发展网络规模日益扩大,网络应用趋造成拒绝服务攻击(DoS攻击)或者逃避NIDS的检查(向全球化,黑客入侵攻击事件也不断发生。传统的防火墙技Evasion)。因此有必要提高基于特征匹配的NIDS在大流量网术已经难以单独保障网络的安全,网络入侵检测系统络环境下的检测性能。(NetworkIntrusionDetectionSystem,NIDS)作为一种积极主基于特征匹配的网络入侵检测系统的性能主要受数据包动的安全防护技术,已成为网络安全领域中研究的热点。和多个特征模式匹配过程的影响,即模式匹配算法是系

6、统主网络入侵检测系统通常采用被动监听的方式从关键网段要的性能瓶颈。本文在对传统的基于特征匹配的网络入侵检捕获网络中传输的数据包,并利用各种检测分析方法从捕获测系统snort进行了剖析,研究如何利用不同的模式匹配算法的数据包中发现入侵证据。NIDS能够在不影响网络性能的情来最优化snort系统的检测性能。况下对网络进行监测,发现网络中的攻击事件。目前网络入2NID传统S——snort的性能评价[1]侵检测系统中的检测分析方法主要分为两类:基于特征的检snort是一种流行的轻量级网络入侵检测系统,它使用一测(signature-baseddetection),又称为滥用检测(misuse种基于

7、特征规则的检测引擎来对网络数据包进行内容模式匹detection),以及异常检测方法(anomalydetection)。基于异配。snort在对网络数据包进行检查时,重复使用Boyer-Moore常的检测方法首先通过建立网络系统正常的行为或规范简算法来将规则集中的每一条内容规则与数据包的有效载荷进档,然后与当前实际的网络行为进行比较,若出现较大的偏行模式匹配。离则认为存在攻击行为,这种方法通常采用神经网络、概率为了量化

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。