入侵檢測中的數(shù)據(jù)包采樣算法研究及實現(xiàn).pdf

1、隨著網(wǎng)絡安全問題的日益嚴重，入侵檢測系統(tǒng)(Intrusion Detection System，縮寫：IDS)已經成為計算機與網(wǎng)絡安全的重要組成部分。隨著網(wǎng)絡帶寬的不斷增加，由于處理能力的限制，現(xiàn)有入侵檢測系統(tǒng)面臨挑戰(zhàn)，如何提升IDS的處理能力備受關注。提升硬件的處理速度是常用的方法，然而，硬件處理速度的提升卻遠遠跟不上網(wǎng)絡帶寬的增加速度，IDS的處理能力面臨著瓶頸。 數(shù)據(jù)包采樣是提升數(shù)據(jù)包處理能力的很好方法，在網(wǎng)絡流量監(jiān)測分析

2、中得到了廣泛應用。然而，傳統(tǒng)的數(shù)據(jù)包采樣算法，都是針對網(wǎng)絡流量監(jiān)測所設計的，初始設計時并沒有考慮應用在入侵檢測中。近些年來，逐漸開始有研究者開始研究入侵檢測中的數(shù)據(jù)包采樣算法，分析了幾種傳統(tǒng)的應用于網(wǎng)絡測量中的數(shù)據(jù)包采樣算法，驗證了這些算法直接應用在高速鏈路入侵檢測中的不適用性，但并沒有提出新的有效算法?；诖?，本文將針對高速鏈路入侵檢測研究新的數(shù)據(jù)包采樣算法。 本文的主要研究內容和工作成果如下： 1.分析了網(wǎng)絡中典型的

3、入侵攻擊方式，通過對經典數(shù)據(jù)集進行入侵檢測后的日志統(tǒng)計，得出入侵過程的一個重要特點：入侵攻擊過程在時間上具有連續(xù)性。依據(jù)此特點，為高速鏈路中的入侵檢測設計了一種新的數(shù)據(jù)包采樣算法。 2.在入侵檢測系統(tǒng)Snort的基礎上設計實驗平臺，把Snort數(shù)據(jù)包捕獲速率從百兆提升至千兆，使其能應用于真實高速鏈路中的實驗。 3.搭建真實高速鏈路環(huán)境，利用新設計的實驗平臺對采樣算法進行實驗。實驗結果證明，新的數(shù)據(jù)包采樣算法在高速鏈路下可