论文部分内容阅读
随着计算机网络和应用的迅速发展,特别是电子银行、电子商务的兴起,网络安全问题也日益突出起来。同样,校园网的网络安全也是当前各高校面临的一个主要问题,从事该项研究具有重要的理论意义和广泛的应用前景。 文章分析了大多数校园网在安全方面所采用的架构,也就是采用基于Iptables包过滤和Squid+socks代理服务器的防火墙体系结构,但很少有校园网部署和实现入侵检测系统(IDS)。作为一种非常重要的网络安全技术,IDS是防火墙的重要补充,其基本功能是监视内部网络的流量,并对识别到的重要攻击特征或异常行为进行警报,监视来自内部网络的对防火墙和其它主机的攻击,但是IDS不能代替防火墙。 文章提出了在使用基于开放源代码软件的校园网环境中使用防火墙+入侵检测系统的校园网网络安全策略,并用著名的网络入侵检测系统snort NIDS加以实现。Snort具有实时数据流量分析和日志网络数据包的能力,能够进行协议分析,对内容进行搜索和匹配,能够检测各种不同的攻击方式并对攻击进行实时警报。 Snort网络入侵检测系统是一个非常特殊的基于字符串匹配技术的应用,在校园网这样的高速网络环境中对它的实时模式匹配能力有很高的要求,如果IDS检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而影响系统的准确性和有效性,甚至会造成对网络系统的Dos攻击,因而在IDS中模式匹配算法的性能严重影响IDS的性能。文章的主要目的是改进snort入侵检测系统中的模式匹配算法,提高snort入侵检测速度,减少对系统资源的占用,提高其安全性和准确度。 模式匹配算法已经被广泛地加以研究,snort入侵检测系统使用Aho-Corasick多模式匹配算法,该算法基于确定有限自动机DFA,它的特点是对状态转换矩阵的存储会占用大量的存储器空间,但该算法执行速度快和能同时对多个模式进行匹配,并且性能不受模式集中模式串长度大小的影响,在最坏情况和一般情况下具有相同的性能,因而对IDS来说具有很强的健壮性。为了优化Aho-Corasick算法,文章中研究了几种稀疏矩阵和稀疏向量的存储方式,提出了使用