基于改进的BM算法在IDS中的实现
摘 要
入侵检测技术是一种主动保护自己免受攻击的网络安全技术,是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。
本文首先对入侵检测现状、入侵检测系统组成进行了分析和总结,重点研究了网络入侵检测的核心技术——入侵检测算法。模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,是当前入侵检测设备中普遍应用的算法。模式匹配的效率决定了入侵检测系统的性能。通过对开放源代码的snort中模式匹配技术的改进,提出了一种更快的模式匹配算法,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。http://www.16sheji8.cn/
关键词:BM算法;入侵检测系统;模式匹配;单模式匹配算法
Implementation of Improved BM Algorithm in IDS
Abstract
Intrusion Detection Technology is such a kind of safe technologies that can make one avoid being attacked by network practices voluntarily, a new generation of security technology after the traditional security protective measure, such as fire wall, data encrypted etc. As a rational supplement of fire wall, Intrusion Detection Technique can help the system to deal with attacks from network and expand security managerial ability of system manager, and raise the integrality of the security infrastructure of the information.http://www.16sheji8.cn/
First, this dissertation analyses and summarizes the current status of intrusion research, focuses on research and practice on intrusion detection system (IDS) algorithm which is technique difficulties in network intrusion detection. Pattern Matching Algorithm is central algorithm in signature based on IDS. The effect of these IDS is dominated by pattern matching algorithm used. By means of improving the pattern matching technique in open source code-snort, an even faster algorithm of pattern matching is presented so that the detection speed of IDS can be increased and the detective ability of available IDS is proved.
Key words: BM Algorithm; IDS; Pattern-matching; Single Pattern-matching Algorithm
目 录
论文总页数:21页
1 引言 1
1.1 课题背景 1
1.2 本课题研究的意义 2
2 入侵检测系统概述 2
2.1 入侵检测的概念 2
2.2 入侵检测系统的组成及部署 2
2.2.1 入侵检测系统的组成 2
2.2.2 入侵检测系统的部署 3
2.3 网络入侵检测系统Snort 3
2.3.1 Snort系统概述 3
2.3.2 Snort系统简要分析 4
2.3.3 Snort系统部分源码简介 6http://www.16sheji8.cn/
3 BM算法 6
3.1 BM算法 6
3.1.1 BM算法具体介绍 6
3.1.2 BM算法预处理 8
3.1.3 BM算法查找 9
3.2 BM算法字符匹配实例 9
4 BM算法的改进和实现 12
4.1 BM算法的改进思想 12
4.2 改进的BM算法 14
4.3 改进的BM算法与BM算法的性能比较 16
4.3.1 性能实例比较 16
4.3.2 性能测试比较 17
4.4改进的BM算法在Snort系统中的实现 18
结 论 19
参考文献 19
致 谢 20
声 明 21http://www.16sheji8.cn/
1 引言
1.1 课题背景
由于计算机网络自身存在的局限性和信息系统的脆弱性,使得计算机网络系统上的硬件资源,通信资源,软件及信息资源等因为可预见或不可预见的甚至恶意的原因而遭到破坏、更改、泄露或功能失效,使得信息系统处于异常状态,甚至引起系统的崩溃瘫痪,造成巨大的经济损失。在这样的形式下,以保护网络中的信息免受各种攻击为目的的网络安全变得越来越重要,对安全方面的考虑提高到了越来越重要的地位上。
在设计现有防护系统的时候,只可能考虑到已知的安全威胁与有限范围的未知安全威胁。防护技术只能做到尽量阻止攻击企图的得逞或者延缓这个过程,而不能阻止各种攻击事件的发生,这时就需要引入入侵检测手段加以弥补。
入侵检测系统(IDS)就是按照一定的安全策略建立相应的安全辅助措施的保障系统。目前IDS软件的开发方式基本上就是按照这个思路进行的。对IDS的要求是:如果系统遭到攻击,IDS应尽可能的检测到,甚至是实时的检测到入侵攻击,然后采取适当的处理措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其作用在于:
(1)识别入侵者;http://www.16sheji8.cn/
(2)识别入侵行为;
(3)检测和监视已成功的安全突破;
(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这些角度看待安全问题,入侵检测非常必要,它将弥补传统安全保护措施的不足。
从目前入侵检测技术的研究来看,一个重要的环节是对入侵行为特征进行匹配,即规则匹配。规则匹配的过程就是对从网络上捕获的每一条数据报文和预先定义的入侵规则树进行匹配的过程。如果发现存在某条规则匹配这个报文,就表示检测到一个攻击,然后按照规则指定的行为进行处理;如果搜索完所有的规则都没有找到匹配的规则,就表示报文是正常的报文。BM算法和KMP算法是情报学中应用范围最广的一种字符匹配算法,近年来在入侵检测系统中也得到应用,典型的入侵检测系统Snort就采用了BM算法。但由于BM算法自身存在的缺陷,导致在高速网络环境下入侵检测的速度可能跟不上数据包到达速率,进而可能导致丢包现象。本文提出了BM算法的改进算法,充分利用了Badchar函数在匹配过程中起到的移动指针的主导作用,去掉了GoodSuffix函数的烦琐计算,并对Badchar函数进行了一定程度的修改,提高了匹配速度。http://www.16sheji8.cn/
1.2 本课题研究的意义
随着网络技术的快速发展,网络入侵行为也越来越严重。入侵检测系统作为防火墙技术的合理补充,越来越受到人们的重视,逐渐成为网络安全体系的一个重要组成部分。它对网络或操作系统上的可疑行为做出策略反应,及时切断入侵源,记录并通过各种途径通知网络管理员,以求最大幅度的保障系统安全。在IDS中数据包的捕获与解析是其中最重要的两个部分。但是在实际的网络运行中,数据包的捕获速度与解释速度不能匹配,这样就造成了IDS中的一个比较普遍的丢包率较高的问题。为了解决这个问题,各种各样的IDS技术被广泛采用。这些技术中,模式匹配是IDS的一个最基本也是关键的技术,它通过对照一系列已有的攻击比较用户活动,从而发现入侵。它的匹配速度的快慢直接影响到IDS的丢包率以及误报率。尤其对于基于规则的入侵检测来说,模式匹配算法非常重要,它直接影响到系统的准确性和实时性能。http://www.16sheji8.cn/