基于模式匹配和协议分析的入侵检测系统研究

入侵检测作为一种主动的安全防护手段,为主机和网络提供了动态的安全保障。它不仅检测来自外部的入侵行为,同时也对内部的未授权活动进行监督。利用网络协议的高度规则性,采用协议分析的方法,结合优秀的模式匹配算法,能较好地解决当前入侵检测系统中准确性与实时性之间的矛盾。 首先,本文在研究现有入侵检测技术国内外发展现状及发展方向的基础上,将误用检测和异常检测两种方法相结合,提出模式匹配和协议分析技术相结合的思想,相对于传统的模式匹配检测技术,有效的减少了匹配检测的计算量、误报率和漏报率。其次,在深入研究入侵检测系统常用的BM模式匹配方法的基础上,提出了改进的模式匹配算法,提高了匹配效率。将新一代的协议分析方法应用到网络入侵检测系统(NIDS)中,给出了基于模式匹配和协议分析的网络入侵检测系统模型。本系统通过Winpcap实现了数据包的高效捕获,引入预处理模块解决协议解码、数据包分片重组、数据流分段重组问题,详述了基于Snort的规则解析,对基于Snort的规则划分和规则链表的生成进行了改进,在协议分析模块详细地探讨了IP、TCP、UDP协议的分析过程。在响应模块给出了被动响应和断开TCP连接、发送ICMP报文等主动响应两种响应方式。测试结果表明了模型的可行性和高效性。