摘 要

随着计算机网络的飞速发展，网络技术的应用也日益普及。随着网络的开放性、共享性和互联程度的不断扩大，网络的安全问题也逐渐突出。用户传统上采用防火墙作为网络安全的第一道防线，而随着网络知识的普及、攻击软件及资源的易获取性，普通的用户都可以成为黑客。攻击的工具与方法也日趋复杂，单纯的防火墙已经无法保护网络安全，必须采用一种纵深，多样的手段。自九十年代以来，入侵检测一直是一个非常活跃的研究领域。入侵检测系统 (Intrusion Detection System)是一种检测针对计算机和网络系统非法攻击，并采取行之有效的响应措施，从而避免网络遭受攻击的重要部件。入侵检测技术从检测的方式上讲主要可以分为误用入侵检测技术和异常入侵检测技术；根据检测数据的来源，入侵检测系统大致可分为基于网络的入侵检测(NIDS)和基于主机的入侵检测(HIDS)两大类，其中基于网络的入侵检测系统因其定义准确、易于实现，而且检测准确率较高，因而被广泛使用。

入侵检测系统(Instrusion Detection System)就是对网络上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，最大幅度地保障系统安全，是对网络防火墙的合理补充，帮助系统对付网络攻击，提高系统管理员的安全管理能力，提高信息安全结构的完整性。

本文对基于网络的入侵检测技术进行了深入分析，力图提出一些新的检测技术以提高网络入侵的检测速度，结合协议分析和改进后的哈希检测方法实现了一种网络入侵检测系统，提高入侵检测的实时性能。

本文中，基于网络的入侵检测系统是在WINDOWS环境下实现的，它基于标准inpcap库的应用，使用其来捕获数据包并触发检测过程。整个系统包括六大模块；数据收集模块、报文解码模块、攻击检测模块、扫描检测模块、报警模块、规则库等。

本文在对KMP算法、BM算法进行了深入的分析后，引入了哈希算法的快速查询功能并且实现攻击检测的多模式匹配，从而提高网络入侵的检测速度。本文结合协议分析技术，将模式匹配限制在某一个域中，从而减少匹配的内容，提高检测效率。通过试验和测试结果,所采用的查询和匹配方法整体上较大幅度提高了入侵检测系统Snort的检测速度。

关键词：入侵检测；通用入侵检测框架(CIDF)；模式匹配；协议分析

Abstract

Intrusion detection system is the way of reflecting on the doubtful things in the networkOS，cutting off the intrusion sources of information in time，then recording and informing the network administrator by any way,ensuring the safety of system．It is also good supplement of fire wall，helping the system resisting the network attack，it can also extend the system administrator"s ability of safe-administrating．

In this text the intrusion detection system based on network is deeply analyzed.It wanted to give a new detection technique to improve the speed of computer network instrusion detection．At last it combines protocol analyze and Hash algorithm carrying out a kind of network intrusion deteetion system and it improves the real-time capability of intrusion detection system.

In this text the NIDS is realized in WINDOWS．It is based on the application of winpcap.The system uses the winpcap to capture data packats and touch off doection process The system has six pans：data collection module，message decode module，attack detection module，scanning detection module，alarming module,rules module

In this text the single—mode matehing is improved after analyzing the KMP and BM Algorithm.It brings forward speediness query and multi-mode matching based on Hash algorithm.So the speed of network intrusion detection is improved.Overpass the examination and test the used method of query and matching enhanced a higher speed than network bused on the Snort．

Key Words：Intrusion Detection；CIDF；Mode Match；Protocol

1 前言 3

1．1网络安全问题的现状 3

1．2入侵检测的研究现状及发展趋势 5

1．3本文的主要研究目的和研究内容 6

2 入侵检测系统的简介 7

2．1 入侵检测系统的基本概念 7

2．2 PDRR网络安全模型 7

2．3通用入侵检测框架CIDF 9

2．4入侵检测的分类 10

2.4.1按数据来源的分类 10

2.4.2按检测技术的分类 11

2．5入侵检测系统面临的问题及发展趋势 12

3 网络入侵检测常用技术的需求及改进 14

3．1模式匹配 14

3.1.1 KMP算法介绍 14

3.1.2 BM算法介绍 17

3．2协议分析 20

3.2.1协议分析的基本思想 20

3．3模式匹配算法的进一步改进 21

3.3.1哈希算法的基本思想 21

4 网络入侵检测系统原型实现及测试结果分析 26

4．1系统设计 26

4．2规则解析模块 27

4．3数据包捕获模块 30

4．4协议解析模块 30

4．5预处理模块 31

4．6检测分析模块 32

4．7日志报警模块 32

4．8测试结果 33

4．9试验和测试结果 34

结论 35

致谢 36

参考文献 37

1 前言

1．1网络安全问题的现状

随着互联网的迅速发展，计算机网络在日常生活和工作的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大。众多的企业、工厂、政府部门和机构都在组建和发展自己的网络，并连接到Internet上，以共享、利用网络大量的信息和资源。现阶段的网络已经成为社会和经济发展的强大动力。然而，随着网络应用的日益普及和更为复杂，网络安全事件不断出现，电脑病毒网络化趋势愈来愈明显，垃圾邮件日益猖獗，黑客攻击成指数增长，利用互联网传播有害信息的手段也日益翻新……网络带给人们自由开放的同时，也带来不可忽视的安全风险。也产生了各种各样的问题，其中安全问题尤其突出,这关系到个人企业等生产生活是否能正常进行。计算机网络的安全性主要包括网络服务的日常使用性、网络信息的保密性和完整性。而事实上，安全问题是从计算机诞生起就一直存在的，并且在不断地升级当中，即使对现有的计算机和网络系统配备各类安全防护措施，仍然无法避免网络安全问题的出现。网络的安全问题主要表现在以下几个方面。

(1)目前通用的计算机系统结构中程序可以动态地被修改，甚至自我毁灭。在这种结构系统下，拥有自我繁殖能力、并能够修改或删除其他程序的病毒及木马程序是可以取得权限并被计算机本身允许，因此对予此类恶意代码的检测具有较大的难度。