硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
电子科技大学硕士学位论文
第二章:入侵检测概述。本章介绍了入侵检测的基本定义、入侵检测系统通用模型、入侵检测系统的分类以及入侵检测相关技术。
第三章:基于网络的入侵检测系统检测原理。本章首先讨论了基于网络的入侵检测系统设计原理和系统结构;并讨论了入侵检测系统部署位置对入侵检测性能的影响,以及在不同的网络环境中检测器的连接问题。
第四章:TCP,口协议及其安全性分析。本章首先介绍了TCP/IP协议的基本结构,并分析了由于TCP/IP自身协议的脆弱性对网络安全性能的影晌。
第五章:网络入侵检测系统的设计与实现。本章在前面几章的基础上提出基于TCP/IP协议分析的网络入侵检测系统的总体设计框架。着重讨论了入侵检测系统中各种功能模块的设计原理和实现。
网络数据包捕获模块:引入内存映射技术和DMA数据传输技术来减少数据传输过程中系统开销,极大地提高了数据包捕获速率,提高了入侵检测系统的性能。并分析了实现过程中用到的数据结构以及主要功能函数。
网络协议解析模块:着重分析了m协议解析模块和TCP协议解析模块的设计与实现。在该小节中,分析了由于网络链路限制引起网络分片对入侵检测性能的影响,以及对于TCP协议面对连接的属性,引入口重组以及TCP流重组提高检测的准确度。并引入TCP状态维护技术,检测针对非状态入侵检测系统的攻击。并采用平衡二叉树存储结构来加快重组速度。在实现部分,详细说明了解析模块中使用的数据结构以及主要功能函数。
存储模块:讨论了相关的存储技术以及使用的表结构说明,以及存储关键实现部分代码段。
规则解析和入侵事件检测模块:讨论了采用多模式匹配算法的必要性,介绍了Wu.Manber多模式匹配算法,并结合入侵检测系统的特点对Wu-Manber算法作出了相应的改动,使其适应入侵检测系统中的规则匹配。在此基础上,讨论了与多模式匹配算法相关的规则构建技术和存储数据结构。并讨论了通过XML消息机制同响应模块之间的协作问题。
响应模块:讨论了入侵检测系统响应原理、响应类型以及相应的实现。
管理模块:讨论了如何对入侵检测系统各探测器特征库和日志管理的功能。
第六章:结论与展望。6
