（计算机应用技术专业论文）基于模式匹配和协议分析的入侵检测技术研究(1).pdf

薰耋篓誊羹篓黧羹塞! 翼墼垒耋叁型茎蕊筌塞 摘要 睫善网络熬普致霸俊速发浸，灏终爱产嚣雅着譬魅薰懿安全瓣惩，列络入 餐爨经戏必诗辫飒安全秘网络安全灼最大威胁，应运嚣裳豹网络入侵捡测成为当 前的研究氯点和热点。入侵检测系统是继防火墙、数据加密等传统安全保护措施 蕊耘一代浆安全保障技拳。它瓣诗葵鞋秽网络资涎上熬瑟意健雳行为进行谖捌秘 嫡疲，它不饭检测来蠡秘帮鳃入锼行巍，翔髓也监督内郝用户的岽授权活蹬，入 侵棱测技术是一种主动的网络安全防护技术。 强蕊，薅络入侵捡测系统瓣辫麓诸多揍藏，螽 薅箍搿入侵梭渊系统捺褴测速 庭以适应阏络避信黪受浓彝妇簿降低入侵检测系统的漏攮搴和谖掇糍来搀懿梭溺 准确性是其中最典型的两个问蹶。 模式嚣醚冀洼楚蘸予瘫赠的入经授铡系统翦重要郝分，它蠢接影响到系绕鲢 准确性巍安睡蛀。本文辩入侵捻溅中豢用熬零模式篷配舞法与雾模式匹琵嚣法分 别进行了研究。针对b m 算法预处瑕时间开销较大的不熙和入侵检测系统中规则 巢的蒋蠖，撬掘了一辩薅姣熬b m 改避算撩；在深入分掰a eb m 冀法的鏊稻。量， 暇牧q s 箨法黝思想，撼出了一耪敬进兹a eb m 冀法。舞静浚避簿法在匹瓣过 程中的最大偏移量均犬予原算法，姆有更好的平均性能。其次，针对传统模式匹 醚糗测技术存在的诗算鳖夫、谈掇率高等淘鼹，本文搀臻了一耪蒸予改进型横霞 匿麓技术鸟魏议分援技术粳结台黪勰悲匹配检测援术，宽分裂鼹瓣终游议薛蘧疫 有序性来探测攻击的存在，从而大大减少检测过程韵计算量，并提高了检测的准 确搴。 最蘑，零文采用嚣裁应用爨广泛戆野浑辫络入侵检溅系统s n o 砖作为安验乎 台，对采用改进型模式匹配算法和协议分析的新系统模型与s n o f t 进行检测时间 对毙实验，实验结巢表明耨系统攘激稠毙s n o f 具有更蕊豹检测速发和较好辫哥 蹋性。 关键淘：翔络安全；入袋检测；模宝| ：廷配；协议分输 l a b s t r a c t w i t ht h ep o p u l a r i z a t i o na i i df a s td e v e l o p m e n to fn e t w o r k ，n e t w o r ku s e r si sf a c i n g i n c r e a s i n g l ys e r i o u ss e c u r i t yi s s u e s ，t h u sn e t w o r ki n t r u s i o nh a sb e c o m et h em o s t i m p o r t a n tt h r e a tt ot h ec o m p u t e rs e c u r i t ya 1 1 dn e t w o r ks e c u r i t y s on e t w o r ki n t r u s i o n d e t e c t i o ns y s t e m ( n i d s ) a p p e a r sa st h ek e y s t o n ea n dh o t s p o ti nt h ec o m p u t e rs e c u r i t y r e s e a r c hf l e l dw h i c he m e 娼e sb yt h er e q u i r e m e n to ft i m e si n t r u s i o nd e t c c t i o ns y s t e m i san e wt y p eo fs a f e t yp r o t e c t i o nt e c h n 0 1 0 9 ya f t e rt r a d i t i o n a ls e c u r i t yp r o t e c t i o n m e t h o ds u c ha sn r e w a l l ，d a t ae n c r y p t i o na n ds oo n i ti d e n t i f l e sv i c i o u sb e h a v i o r so f u s i n gh o s ta n dn e t w o r kr e s o u r c e s i tn o to n l yd e t e c t st h ei n t r u s i o nf r o mt h ee x 打a n e t i n t r u d e rb u ta l s oi n t r a n e tu s e r s i n t r u s i o nd e t e c t i o ni sa a c t i v ep r o t e c t i o nt e c h n o l o g y o fn e t w o r ks a f c t y a tp r e s e n t ，n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m sh a v em e tm a n yc h a l l e n g e s t h e r e a r et w ot y p i c a ip r o b l e m s t h ef i f s to n ei sh o wt oi n c r e a s et h ed e t e c t i n gs p e e dt om e e t t h er e q u i r e m e n to ft h eb a n d w i d t hi n c r e a s e t h es e c o n do n ei sh o wt or e d u c ef a i s e n e g a t i v ef a t ea n df a l s ep o s i t i v er a t et oe n h a n c et h ea c c u r a c yo ft h ed e t e c t i o n p a t t e r nm a t c h i n ga l g o r i t h mi sa ni m p o r t a n tp a r to ft h er u l e - b a s e di n t r u s i o n d e t e c t i o ns y s t e m i td i r e c t l yi n f l u e n c e st h ea c c u r a c ya n dr e a l - t i m ep e r f o r m a n c eo ft h e s y s t e m t h em o s tf a s h i o n a b l es i n g l e p a t t e r nm a t c h i n ga l g o r i t h m sa n dm u l t i p l e p a t t e r n sm a t c h i n ga l g o r i t h m sa r er e s p e c t i v e l ys t u d i e di nt h i sp a p e f b ma l g o r i t h mh a s al a r g ep r e p r o c e s s i n gt i m eo v e r h e a d ，p o i n t i n gt ot h j s d i s a d v a n t a g e ，a ni m p r o v e d a l g o r i t h mw h i c hh a sb e t t e rp e r f o r m a n c ei sp r e s e n t e d ；o nt h eb a s i so fi n - d e p t ha n a l y s i s o fa c b ma l g o r i t h m ，a b s o r b i n gt h ei d e ao fq sa l g o r i t h m ，a ni m p r o v e da c b m a l g o r i t h mi sp f e s e n t e d t h eb i g g e s to f f s e t si nm a t c h i n gp r o c e s so fb o t hi m p r o v e d a l g o r i t h m sa r eb i g g e rt h a no r i g i n a la l g o r i t h m s s e c o n d ly ，t h i sp a p e rp u t sf o r w a r da n i n t e l l i g e n td e t e c t i n gt e c h n 0 1 0 9 yb a s e do ni m p r o v e dp a t t e r nm a t c h i n ga l g o r i t h ma n d p r o t o c o la n a l y s i st os o l v et h ev a s tc o m p u t i n ga m o u n t s a n dah i g hf a l s ep o s i t i v er a t eo f t h et r a d i t i o n a lp a t t e r nm a t c h i n gm e t h o d t h ep r o t o c o la n “y s i sm e t h o dt a k e sg o o d a d v a n t a g eo ft h er e g u l a f i t y o ft h en e t w o r kp f o t o c 0 1t od e t e c tt h e a t t a c k ， s ot h e c o m p u t i n ga m o u n t sc a nb er e d u c e dc l e a f l ya l l dt h ea c c u r a c yo ft h ed e t e c t i o nc a nb e e n h a n c e d f i n a l l y ，t h i sp a p e ru s e ss n o r tw h i c hi st h em o s tp o p u l a rr u l e _ b a s e di n t r u s i o n d e t e c t i o ns y s t e ma st h ee x p e r i m e n tt 0 0 1 c o m p a r i n gw i t ht h es n o r t ，e x p e r i m e n t a ld a t a s h o w st h en e ws y s t e mm o d e lt h a tb a s e do ni m p r o v e dp a t t c r nm a t c h i n ga l g o r i t h ma n d u i 董三堡塞坚墼竺竺兰坌丝墼垒堡丝型垫查至耋 p r o t o c o la n a l y s i sh a sh i g h e rd e t e c t i o ne 艏c i e n c ya n db e t t e ru s a b i n t y k e y w o r d s ：n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；p a t t e mm a t c h i n g ：p r o t o c o la n a l y s i s l v 硕士学位论文 插图索弓 图1 1 论文结构图 图2 1 i d e s 入侵检测模型 图2 2c i d f 基本模型 图3 1 好后缀移动，片段u 重新出现 图3 2 好后缀移动，p 中只有一个后缀u 图3 3 坏字符移动，b 出现在p 中 图3 4 坏字符移动，b 不出现在p 中 图3 5s b m 算法流程图 图3 6 模式树示意图 图3 7 a cb m 算法坏字符启发 图3 8a cb m 算法好前缀启发 图3 9 改进的a cb m 算法匹配过程 图3 1 0 时间与模式长度的关系1 图3 1 l 时间与模式长度的关系2 图4 1 系统总体设计模型一 图4 2b p f 的基本原理 图43 数据包捕获流程 图4 4t c p i p 协议族中各层协议的关系 图4 5 协议解析结构图 图4 6i p 数据包协议解析流程 图4 7 应用层协议分析模块结构图 图4 8 规则树结构 图5 1s n o r t 中b m 算法与a cb m 算法比较， 图5 2 采用单模式匹配算法检测时间比较 图5 3 采用多模式匹配算法检测时间比较 v i i 3 6 1 2 1 7 1 7 1 7 1 8 2 1 2 5 2 7 2 8 3 0 3 2 3 2 3 4 3 5 3 6 3 8 4 0 4 1 4 3 4 8 5 2 5 3 5 3 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名： 扫，6 ，彰 日期：加以年s 月z 。日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密囵。 ( 请在以上相应方框内打“”) 作者签名 导师签名 日期：扫一年f 月。o 日 日期出舌年上月2 工日 昨投 护强 硬士学位论文 1 1项目来源 第1 章绪论 本漂筵采源于“孛瓣掰上教蠢平台试点王程”莛等教弯霹上教育系统子颈嚣 ( 计高技 2 0 0 0 】2 0 3 4 号) 与湖南省自然科学蕊金项目：高速网络环境下入侵检测 技术研究( 0 3 j j y 3 1 0 3 ) 。 1 2 研究目的和意义 随着网络技术的发展和应用藏匿的扩大，人们越来越依赖于网络进行信息的 处理。信惑蘸磊妻设麓薯成为国琵经济薛一个震要支撑煮，捧兔信惫萋穑设施瓣一 个重要组成部分，信息系统与信息网络的安全变得十分熏要i l ，2 j 。2 0 世纪9 0 年代 以来，网络安全问题日菔突出，引超了广泛关注。随着阍络安全事件的不断发生， 羽户豹安全防范意识也商新增强，露隶梅建嬲络安全游护傣系，鲡强网络安全。 近年来，网络安全的研究热点基本上是按以下顺序发展的p j ： ( 1 ) 防火墙技术的研究：在网络边界保护内部网； f 2 ，v p n 技术的研究：连接分数的肉帮嘲，完疲内部稠井延浆扩大，与辨火 墙技术结合比较紧密； ( 3 ) 认 芷p k i 技术的研究：进一步扩大内部网的外避，同时建立广义的信任 关系； ( 4 ) 入侵检测技术的研究。 献上面的发展顺净硪以看出，入侵检测【4 棚是继防火墙、v p n 、加密等传统安 全翁护技术之螽的新一代跨镄技术，筵瑁采梭稠对诗磐机系统和阏络系统，或者 熨加广泛意义上的信息系统的非法攻击的安众措旌。人们通过对攻击事件的统计 发现，大约肖5 溅至7 0 的攻击事传都是发生在网络内部，在这点上传统的防火墙 失去了 乍霜，丽入侵梭测系统不仪镌够检测来自弼络锌都的入侵行为，也麓辩系 统内部的朱授权的用户行为进行蠊督。 除了入侵检测技术之外，其能凡项网络发全技术都是立足于静态防御，这些 静态酶锦技术是以牺牲翔户豹方便性为前提的，与网络的开放、菇辜不稳窑；蕊 鼠，这些静态防御技术都是被动的，都是保护系统的备个进出口，隔离入侵蒲与 蘸要数据、机密信息的联系。如巢没有一个能够主动败控和跟踪入侵的系统，网 络安全是不究整的。因托，入侵梭测作为一种主动陵獭授术1 7 l ，报丈程度上弥补 丁传统安全技术的不足，而入侵检测系统也成为安全市场上新的热点，开始在各 嵇不同的环境中发挥关键作用【8 】。在国内，随着互联嘲关键业务魄增多，遗切需 誊兰塞塞璧彗鎏罂篓坌耋墼垒黧基堡茎耋篓塞 要舆有自主版权的入授梭测产品，很目前我国黔入侵检测技术翘不够成熟，处于 发腿和跟踪国外技术的阶段，所以对入侵检测系统的研究具有十分徽要的意义。 近凡年来磊联网褥剿了迅猛菠袋，网络干线基本都聚蹋光纤作为传输设备， 导致网络带爨较以前商照萋提高，固此对入侵检铡系统米说就需要提高它的梭测 效率。本文的主要目的就在于研究嗣前入侵检测系统中常用的模式瓯配算法，在 此鏊础上加以激进，并维含协议分析技术著乏提高入侵检测系统的检测效率。 。3 研究内容 入侵检测技术可双分为两大类激；异常入侵检测 评估敏感系统和数据的嵬接性； 识别攻击行为； 对髯常行为送行统诗； 进行审计跟踪，识别违反安全法规的行为； 安装诱骗服务器，记录非法入侵行为。 2 1 3 入侵检测系统模型 1 9 8 7 年，d e n n i n g 提出的统计分析模型在早期研发的入侵检测专家系统 ( 1 矗讯l s i o 摊d 采e e 垃o n 嚣x p e 蛀s y s 抛m ，l d e s ) 中褥到较好熬实理，遮被诀为怒最旱 的入侵检测模型。该模型主要根据主机系统审计记录数据，生成有关系统的若干 轮廓，并监测轮廓的变化差异发现系统的入侵行为，如图2 1 所示。 该攘麓主要由酸下六个郝分缀或： ( 1 ) 主体( s u b j e c t s ) ；指系统操作中的主动发起者，如计算机操作系统的进程、 网络的服务连接等。 2 ) 窖体( o 秘e c t s ) ：搓系缝掰管理懿资源，翔文擎 、鑫令帮竣萋等。 罄于模式张蹴湘协议分辑韵入攘馥涮授术研究 f 3 ) 露诗数掇( a u d i lr o 砖s ) ：搬主体站窖体的实撼搽终时，系统产生鲍数 键，魏瘸声淡翡、禽令撬括秘文镩济阏等。记泶鹣格式囊六嚣缍 的念法行为隧分开来。生物免疫系统对外部入侵瘸原进舒抵 御搏对自盛进行保护，一且抵御了一个未知病原的攻违詹即对该病聪产生抗体( 即 获得免疫能力) ，当该瘸源再次入侵耐即可进行迅速有效的抵御。基于生物免疫的 入侵检测采用类似蛇极剁工作，它实际上练套了异常謦秘误用检测秘秘，这耱方法 的簸翔之处在于将生物学的免疫甄理应用到计算机潮络安全保护。 f 2 ) 蒸乎遗鼹算法抟检测方法。蒸予遴转舞法姆褴测骞法辨l j 熟使掰遗镶簿法执 抒攀 夸数然分橱。一个器港舞法楚类褥菇进臻葬法懿一个蜜铡。遴纯簿法暇技 达零变惫熬穗耩法熬涟者裳存) 寒筑诧褥疆瓣决。这鼗簿法在拳疆餐税瀚莲楚 避方蘸的糍力酷缀得渤谈黼，并艇遗传冀法瓣器常检测的嶷骏缝浆魄蹩夸a 鼓舞 瓣，霞竣测壤旗零帮速度上露较大黪忧势，傣生鬟懿不鼹寝予不靛程窜诗鞭踪孛 髓磷蘸宠证玻爨。 ( 3 ) 簦予代壤的裣测方法。蕊警代璞靛榆潮方法f 2 8v ”j 就怒在一个燕撬主拭舒装 游蜜垒艇接功纛翁载搀察钵，这赞筏耀在主撬主蠢韵邂行，并碟嚣鞠其它襁议绩 鞫瓣簌疆谶褥变稳鞠协谗。一个栈鬻霉虢怒裰麓荦( 躲键最连一个特建游瀚瓣麓 内特定命令触发的次羧) 墩谢戮缀发条( 森窟礤罐蜘搪获并分辨数辫) 。蕊予代 理熟检测方法麓撬缀黪常稳溅帮谡攒检测翁滚霸麓力。 2 5 入侵检测的耩准健 入旋行为熬静囊率凝壤多，渗漫靛箍粼不酝扩大，瓣麓诲雾袋凌罴经斑嫒瓣 辫准器，蘧过阐上豁裕进行静。鬻对遮釉惜臻，天橙检瓣蘩缝翡葶鬻磅麓缓俸之 嘲、不网l 转8 之l l 薅楚攀这类玻惑偿怠楚十分蕊要鹣。对予入侵捡测懿椿撩纯王棒， 豢褥令霹际缀錾遂撑遮方鬻濑工露：e 雠8 豫o n 融r n s i 张d 暾。艇i 张f m 熟e 蜷瘩 e 1 0 f ) 和i n t 黼s o 髓d e t e