论文部分内容阅读
长期以来,网络用户一般采用防火墙作为计算机网络安全的首道防线,但随着网络攻击者知识的日趋丰富,其攻击工具与手段的日趋复杂,单纯的防火墙应用已无法彻底保障网络系统安全,这就要求用户必须采用多样和纵深的安全检测手段。在此背景下,入侵检测系统作为一种十分重要的安全检测工具,已逐渐成为了网络安全的第二道防线,通过与防火墙等技术结合应用,使计算机网络对非法攻击和破坏表现得更为健壮。然而近年来,随着大型网络以及千兆以太网的普及,传统的入侵检测系统难以跟随网络飞速前进的步伐,进而面临极为严峻的挑战。本文在分析误用型网络入侵检测系统通用模型的基础上,对项目中现有系统的实现方案提出改进措施,设计出适用于当前快速发展的网络环境的入侵检测方案。该方案通过在已有多模式匹配算法的基础上,引入了Boyer-Moore-Horspool (BMH)算法中坏字符移动表的思想,将字符串匹配过程中一部分时间开销转移到模式添加时的预处理过程中,从而使得入侵检测的性能得以提升。同时,设计中还根据该系统的特点和应用环境,提出了一种基于扩展型ACL规则的连续端口展开算法,通过简化使用ACL规则进行数据包筛选的过程,减少了入侵检测数据提取的时间开销。本文最后给出了改进后系统的性能测试结果,测试数据表明该系统完全满足设计要求,并已在多款路由器设备上成功应用。本课题所研究的误用型入侵检测方案,还可方便地移植到电子邮件、电子商务安全检测等诸多领域,具有广泛的应用前景。