随着信息技术的飞速发展,信息安全己逐渐发展成为信息系统的关键问题。入侵检测作为一种主动的信息安全保障措施,有效地弥补了访问控制、防火墙和身份认证等传统安全防护技术的缺陷。目前已有很多入侵检测系统被研究和使用,但是随着入侵种类、数目以及网络带宽的不断增加,导致系统的准确性、高效性尚不能满足人们的要求。 对于基于误用的入侵检测系统,特征字符串的匹配是检测过程中最费时的部分,因此匹配算法的性能直接影响到整个入侵检测系统的效率。针对这个问题,本文首先阐述了几种经典的串匹配算法,对它们的适用范围和优缺点进行了分析。在此基础上,提出了一种基于排除的串匹配算法,该算法能快速而准确地排除负载中不包含匹配模式串的数据包。 同时,基于误用的检测系统检测过程就是将数据包负载与规则库中的规则进行匹配,因此规则库的结构对检测效率也有很大的影响。针对这个问题,本文对规则库结构进行了改进。一方面通过优化规则的分类标准,使得每条规则唯一地从属于一个规则链表;另一方面考虑到应用服务使用频率的差异性,将常用的服务端口放在规则链表的前面。 为了进一步提高入侵检测的速度和准确度,本文从缩短数据包待测负载长度考虑,提出了应用层协议分析的思想,从而可以降低系统检测的负担,增加检测的准确性。 本文利用轻量级网络入侵检测系统Snon在Linux操作系统下进行了一系列实验,重点测试了本文提出的串匹配算法和改进的规则库的性能。通过分析得出实验结果与理论基本相符,系统的性能有了明显的改进。 改进后的入侵检测系统仍然存在一些问题和不足,本文在最后给出了今后的研究方向和内容。