随着计算机技术和网络技术的不断发展,网络安全问题受到越来越多的关注。传统的安全技术已经不能满足人们对网络安全的要求,入侵检测技术作为一种新型的积极主动的防御技术应运而生。 本文首先介绍了入侵检测技术的基本概念,分析了目前比较成熟的、应用范围比较广的模式匹配技术的优缺点并引出了新一代的入侵检测技术——协议分析技术。对协议分析技术的两种检测方法进行详细的介绍后,设计实现了一个基于协议分析的入侵检测系统。该系统主要包括数据包捕获模块、预处理模块、协议分析检测模块、规则库、响应模块、存储模块等。系统对捕获的数据包进行协议解析,提取有效数据,通过与特定攻击的规则进行匹配,找出可疑或攻击行为,做出响应并记录结果。本文还对基于伸展树的IP重组算法做了改进并引入了一种快速无损的TCP流重组算法,实现了对数据包高效、安全的预处理,为整个系统的高效运作奠定了基础;结合简单协议分析检测方法和状态协议分析检测方法实现了协议分析检测模块;对TCP状态转换图深入理解后,研究和分析了TCP协议状态的转换关系,设计了TCP状态协议分析模块,该模块采用状态协议分析检测方法检测TCP协议异常,实现了对TCP SYN Flooding攻击的检测。 在论文的最后通过对比测试表明采用了改进的IP重组算法和快速无损的TCP流重组算法的基于协议分析的入侵检测系统提高了检测准确率和检测效率,误报率和漏报率得到了较大的降低,性能得到了明显的改善。
暂无评论