網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與仿真.pdf

1、計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展極大地推動(dòng)了社會(huì)的進(jìn)步，但是由于網(wǎng)絡(luò)協(xié)議設(shè)計(jì)中存在安全缺陷等原因，導(dǎo)致分布在網(wǎng)絡(luò)上的計(jì)算機(jī)系統(tǒng)頻繁遭到各種非法入侵，有價(jià)值的機(jī)密數(shù)據(jù)資源遭到破壞或泄露，計(jì)算機(jī)病毒嚴(yán)重泛濫，嚴(yán)重影響了計(jì)算機(jī)系統(tǒng)的正常運(yùn)行，給電子商務(wù)和正常的經(jīng)濟(jì)活動(dòng)帶來(lái)了巨大損失，全球每年因網(wǎng)絡(luò)安全問(wèn)題造成的經(jīng)濟(jì)損失高達(dá)數(shù)億美元。入侵活動(dòng)干擾了社會(huì)活動(dòng)的正常運(yùn)行，甚至危及到國(guó)家安全。因此，保護(hù)網(wǎng)絡(luò)安全，研究入侵檢測(cè)技術(shù)具有重要的意義。入侵檢測(cè)可以分為誤

2、用檢測(cè)和異常檢測(cè)，誤用檢測(cè)對(duì)于已知攻擊具有較高的檢測(cè)率，而異常檢測(cè)能夠檢測(cè)到未知的攻擊。Snort是目前被廣泛使用的誤用檢測(cè)系統(tǒng)，它采用的單模式匹配算法為經(jīng)典的BM算法。BM算法是目前公認(rèn)效率較高、使用最多的單模式匹配算法，算法實(shí)現(xiàn)簡(jiǎn)單。但是網(wǎng)絡(luò)帶寬的增加使得實(shí)際應(yīng)用中的BM算法匹配性能并不理想，匹配速度有待進(jìn)一步提高。此外，大量實(shí)例證明，SVM和人工蜂群算法具有優(yōu)于其他算法的分類能力和優(yōu)化性能。但是人工蜂群算法(Artificial

3、Bee Colony, ABC)也存在其他智能算法解的多樣性差、容易陷入局部最優(yōu)等缺陷。另外，基于SVM的檢測(cè)方法在選擇特征時(shí)同步優(yōu)化 SVM參數(shù)，對(duì)于檢測(cè)系統(tǒng)性能的提升至關(guān)重要。
　　本研究主要內(nèi)容包括：⑴針對(duì)入侵檢測(cè)系統(tǒng)Snort中BM模式匹配算法存在的問(wèn)題，為了提高模式匹配算法的效率，從兩方面對(duì)Snort中的BM算法進(jìn)行改進(jìn)。首先，為了增大模式串移動(dòng)的距離，改進(jìn)算法利用了與模式串最右端對(duì)齊的下一個(gè)及第二個(gè)文本字符，以及這兩個(gè)

4、字符再向右偏移模式串長(zhǎng)度所對(duì)應(yīng)字符在模式串中的出現(xiàn)情況，最大移動(dòng)距離達(dá)到了2m+2（m為模式串長(zhǎng)度）。其次，為了增大失配時(shí)大的移動(dòng)距離出現(xiàn)的概率，利用了最右端字符與其下一個(gè)字符的組合概率特性。最后，對(duì)算法進(jìn)行了性能測(cè)試。結(jié)果表明改進(jìn)算法減少了窗口移動(dòng)次數(shù)和字符比較次數(shù)，提高了匹配效率。⑵針對(duì)當(dāng)前網(wǎng)絡(luò)入侵檢測(cè)中特征選擇和 SVM模型參數(shù)優(yōu)化存在的問(wèn)題，引入了人工蜂群算法。針對(duì)人工蜂群算法存在易早熟、解的多樣性差、易陷入局部最優(yōu)、后期收斂速