入侵檢測系統(tǒng)中的離散特征檢測方法研究.pdf

1、入侵檢測系統(tǒng)在網(wǎng)絡報文流中進行特征模式匹配是邊界網(wǎng)絡安全防護的核心技術之一。由于網(wǎng)絡環(huán)境的特殊性，網(wǎng)絡中傳輸?shù)拿?、文件和媒體等信息在各種網(wǎng)絡協(xié)議的約束下被劃分成了格式不一的大量報文片段，并受到亂序、丟包、網(wǎng)絡擁塞、抖動等不穩(wěn)定因素影響。因此需要對產(chǎn)生的離散特征檢測問題進行深入分析與實驗。
　　 離散匹配算法是在經(jīng)典模式匹配算法的基礎上修改實現(xiàn)，通過對報文的單遍掃描完成檢測，可以解決重組檢測方式中的資源性能問題。但離散匹配算法檢

2、測準確率大多受限于網(wǎng)絡流量穩(wěn)定性，并且缺乏實踐效果論證。文中綜合離散匹配與重組檢測的優(yōu)點提出了改進的離散特征檢測算法，在基礎離散匹配中加入了選擇重組功能。實驗證明離散匹配算法具有內(nèi)存耗用極低的優(yōu)勢，改進算法利用這一點來重組處理非常規(guī)報文，并進一步提出了自適應閾值調(diào)整的解決方案，以應對網(wǎng)絡擁塞等流量不穩(wěn)定現(xiàn)象，實現(xiàn)了性能耗用與檢測效果的更好融合。
　　 最后以離散特征檢測算法為核心引擎，設計并實現(xiàn)了一個惡意代碼入侵檢測系統(tǒng)原型，主