论文部分内容阅读
传统的入侵防御系统中对于通过tcp流分片而躲避入侵检测的攻击行为,所采用的应对方法是通过流重组,而当前的流重组方案要么有着严重的系统开销,要么当攻击者将数据包分片得过小时,方法失效.本文提出了流式模式匹配的思想,将对流数据的连续性需求转化为对模式匹配连续性的需求,从而设计了一种基于流式模式匹配的分片攻击检测方法,可代替流重组方式进行分片攻击检测.经过实验证明,本方法在实时性、吞吐量和内存占用等方面优于传统的流重组方法.