在网络技术高速发展的今天,网络安全的现状越来越让人担忧,网络安全的重要性越发显现出来,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密技术等技术,总的来说都属于一些静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,能够对网络中发生的安全事件和网络中存在的安全漏洞进行主动实时的监测,更加有效地保护被监测网络的安全。为此,本文在综合了当今流行的安全检测技术的基础上,提出了一种基于协议分析的网络入侵检测系统的模型,并详细讨论了其实现研究。 当前的网络入侵检测系统正面临着巨大的挑战:及时、高效地采集、处理、分析大量的数据包,减少甚至避免丢包现象的发生。提高IDS产品、组件及与其他安全产品之间的互操作性。我们在网络入侵检测系统的体系结构、网络数据包采集模块以及分析检测技术等方面做了一些改进,在实验中取得了较好的效果。 网络数据包采集模块是整个系统高效工作的基础,目前国内外的大多数网络入侵检测系统的数据采集模块,都是利用libpcap提供的函数库来实现,其在Windows下的版本为winpcap。本系统通过设置多个接收数据缓存,利用多个采集线程同分析线程并行运行,提高采集的效率。 其中,在检测部件的实现上,使用了协议分析和模式匹配相结合的方法,有效地减小了目标的匹配范围,提高了检测速度。同时改进了匹配算法,使得系统具有更好的实时性能。在系统的安全规则数据库的更新过程中,系统不断对用于匹配的安全规则进行及时的更新,从而可以尽量减少错报和漏报的现象,提高了整个系统的检测准确性。