基于模式匹配和协议分析的入侵检测系统研究

随着计算机网络和信息技术的广泛应用，网络系统的安全变得至关重要。入侵检测系统是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动，入侵检测技术是一种主动的网络安全防护技术。 由于网络规模的不断扩大和入侵手段的不断涌现，传统的基于模式匹配的入侵检测技术已经不能适应入侵检测的需要，而协议分析是利用了网络协议的高度规则性，它是继模式匹配之后的第三代入侵检测技术，能适应新的入侵检测的需要。为此，在入侵检测系统中把模式匹配和协议分析相结合是网络安全领域新的研究热点。 论文分析了当前的入侵检测系统及模式匹配，协议分析两门技术，针对现有入侵检测系统的不足，详细探讨了在入侵检测系统中运用模式匹配和协议分析相结合的优势，研究了模式匹配各种常用的算法，以及匹配算法的效率在高速网络中的重要性，提出了PBM和FCACBM新的改进算法。在参照国际入侵检测系统标准化组织Common Intrusion Detection Framework（CIDF）提出的通用入侵检测框架模型的基础上，设计了一个基于模式匹配和协议分析的入侵检测系统。该系统把模式匹配和协议分析有效结合在一起，充分利用网络协议的高度有序性来探测攻击的存在，从而大大减少了检测过程的计算量，提高了检测的准确性，并且在模式匹配的过程中，运用了PBM新的改进算法，提高了系统的整体性能，一定程度上解决了入侵检测系统中误报率和漏报率较高的问题。最后总结了本文的研究工作，指出了下一步的研究方向。