网络入侵检测关键算法
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
意义
网络入侵检测技术作为一种主动的网络安全防护 措施,其研究的内容就是对入侵行为进行检测,并及 时地予以响应。入侵检测能够阻止入侵行为的发生, 降低甚至避免入侵的危害。它是一项重要的行之有 效的网络安全技术,是网络安全防护体系的重要组成 部分。
论文的结构和主要内容
第一部分:理论研究 一、网络完全及入侵 二、入侵检测技术
网络入侵检测关键技术研究
指导教师:王英
班级:0411002 学生:唐世建 学号:2010211818
LOGO
课题研究的背景及意义
背景
当计算机网络技术给人们生活工作带来巨大便利 的同时,人们也不得不承受网络信息安全方面的巨 大压力。因此,研究切实有效的安全防护技术来保 护我们信息安全,俨然已然后一刻不容缓的课题。
RK 算法采用了与KMP 和BF 算法不同的思路, 尽量 减少字符之间的比较次数, 从而达到提高效率的目的。
第二部分:模式匹配算法
二、多模式匹配算法 1、AC算法 该算法基于有限状态自动机( FSA) , 在进行匹配之前先 对模式串集合SP 进行预处理, 形成模式树( 树形FSA) , 然后只需对目标串T 扫描一次就可以找出所有与其匹配的 模式串P 。模式树K 的构成如下:
第二部分:模式匹配算法
3、 RK算法 RK 算法的思想是: 首先定义一个Hash 函数, 用该函数计算出模式串P 的 Hash 函数值, 再计算出目标串T中所有长度为m 的子串 的Hash 函数值, 然后用相应的Hash 函数值进行比较。 当出现Hash 冲突时, 再进行相应字符串的比较, 当构造 Hash 函数的素数选择得合理, Hash 冲突出现的概率就 可以做到很小。
(1)好后缀移动 ① P 已比较部分P [ j + 1 ,m] 与其中间的某一子串P [ j - s + 1,m- s] 相同, P 右移s 位。
右滑距离s(s<j)
第二部分:模式匹配算法
② P 已比较部分P[ j + 1,m] 的后缀P[ s+ 1,m] 与P 的 前缀P[ 1,m- s] 相同, P 右移s 位。
以试图破坏计算机保密性、完整性、可用性或可控性的一 系列活动。
网络入侵和攻击的方式主要有以下几种:
探测攻击: 网络监听: 解码类攻击:
第一部源自文库:理论研究
二、 入侵检测技术 入侵检测(ID, Intrusion Detection)通过收集操作系统、
系统程序、应用程序、网络包等信息,发现系统中违背安全 策略或危及系统安全的行为。具有入侵检测功能的系统称 为入侵检测系统(IDS, Intrusion Detection System)。入侵检测系统的作用主要体现在以下几个方面 : (1)识别入侵者; (2)识别入侵行为; (3)检测和监视已成功的安全突破; (4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的 继续扩大; (5)使系统恢复正常工作,同时收集证据。
包括以下几个方面的内容:
保密性: 完整性: 真实性: 可用性: 可控性:
第一部分:理论研究
2、常用安全技术 (1)密码技术 (2)防火墙 (3)鉴别与认证 (4)访问控制 (5)虚拟专用网(VPN)
注:单纯地使用被动防护技术不足以保护计算机系统的安全。
第一部分:理论研究
3、网络入侵 网络入侵是指使用违背访问目标的安全策略的行为,
右滑距离s(s>=j)
取满足上述两种情况的s 的最小值作为移动距离。因此可 以定义一个距离函数dist1( j ) :
第二部分:模式匹配算法
(2) 坏字符移动 P 中的某个字符与T 中的某个字符不相同时使用坏字符移 动。右滑距离函数dist2( x ) 定义如下:
匹配时取移动距离为: dist= max{ dist1( j ) , dist2}
第二部分:模式匹配算法
模式匹配: 是指在给定长度为n 的目标串T =T1 T2 ...T n 中查找长度为m 的模式串P = P1 P2 ...P m的首次出现 或多次出现的过程。这里Ti ( 1 < i < n) ,Pj ( 1 <j < m) ∈ Σ( 字符集) , 若P 在T 中出现1 次或多次, 则称匹 配成功, 否则称匹配失败。
第二部分:模式匹配算法
2、BM算法 BM 算法基本思想是: 开始时将目标串T 与模式串P 左对 齐, 自右至左逐个字符进行比较( 即首先比较Pm与T m ) ; 当某趟比较时Ti 与模式串的对应字符不匹配,则把模式串 右滑d( x ) 一段距离, 执行由P m 与T i +d( x ) 起始的 自右至左的匹配检查。BM 算法采用以下两条规则计算模 式串右移的距离:
第二部分:模式匹配算法 一、单模式匹配算法 1、KMP算法 2、BM算法 3、RK算法 二、多模式匹配算法 1、AC算法 2、AC-BM算法
论文的结构和主要内容
第三部分:总结与展望 第四部分:致谢
第一部分:理论研究
一、网络安全与入侵 1、网络安全 网络安全即指网络环境安全,网络信息安全。信息安全
单模式匹配算法: 在目标串中1 次只能对1 个模式串进行匹配 的算法。
多模式匹配算法: 在目标串中可同时对多个模式串进行匹配的 算法。
第二部分:模式匹配算法
一、单模式匹配算法 1、KMP算法
KMP 算法的基本思想是: 若某趟匹配过程中T i 和Pj 不匹 配, 而前j - 1 个字符已经匹配。此时只需右移模式串P , 目标串T 不动, 即指针i 不回溯, 让Pk 与T i 继续比较。移 动后重新开始比较的位置k 仅与模式串P 有关, 而与目标串 T 无关, 因此k 可以通过下面的next 函数事先确定。 定义next [ j ] 函数为:
第一部分:理论研究
入侵检测技术可以分为两大类:异常入侵检测技术和误用 入侵检测技术,下面分别作简单介绍: 1、异常入侵检测技术 异常检测是通过对系统异常行为的检测来发现入侵。 常用的异常检测技术有: 1.1 统计分析 1.2 神经网络 2、误用入侵检测技术 常见的误用入侵检测技术有以下几种: 2.1 模式匹配 2.2 专家系统 2.3 状态迁移法
第二部分:模式匹配算法
网络入侵检测技术作为一种主动的网络安全防护 措施,其研究的内容就是对入侵行为进行检测,并及 时地予以响应。入侵检测能够阻止入侵行为的发生, 降低甚至避免入侵的危害。它是一项重要的行之有 效的网络安全技术,是网络安全防护体系的重要组成 部分。
论文的结构和主要内容
第一部分:理论研究 一、网络完全及入侵 二、入侵检测技术
网络入侵检测关键技术研究
指导教师:王英
班级:0411002 学生:唐世建 学号:2010211818
LOGO
课题研究的背景及意义
背景
当计算机网络技术给人们生活工作带来巨大便利 的同时,人们也不得不承受网络信息安全方面的巨 大压力。因此,研究切实有效的安全防护技术来保 护我们信息安全,俨然已然后一刻不容缓的课题。
RK 算法采用了与KMP 和BF 算法不同的思路, 尽量 减少字符之间的比较次数, 从而达到提高效率的目的。
第二部分:模式匹配算法
二、多模式匹配算法 1、AC算法 该算法基于有限状态自动机( FSA) , 在进行匹配之前先 对模式串集合SP 进行预处理, 形成模式树( 树形FSA) , 然后只需对目标串T 扫描一次就可以找出所有与其匹配的 模式串P 。模式树K 的构成如下:
第二部分:模式匹配算法
3、 RK算法 RK 算法的思想是: 首先定义一个Hash 函数, 用该函数计算出模式串P 的 Hash 函数值, 再计算出目标串T中所有长度为m 的子串 的Hash 函数值, 然后用相应的Hash 函数值进行比较。 当出现Hash 冲突时, 再进行相应字符串的比较, 当构造 Hash 函数的素数选择得合理, Hash 冲突出现的概率就 可以做到很小。
(1)好后缀移动 ① P 已比较部分P [ j + 1 ,m] 与其中间的某一子串P [ j - s + 1,m- s] 相同, P 右移s 位。
右滑距离s(s<j)
第二部分:模式匹配算法
② P 已比较部分P[ j + 1,m] 的后缀P[ s+ 1,m] 与P 的 前缀P[ 1,m- s] 相同, P 右移s 位。
以试图破坏计算机保密性、完整性、可用性或可控性的一 系列活动。
网络入侵和攻击的方式主要有以下几种:
探测攻击: 网络监听: 解码类攻击:
第一部源自文库:理论研究
二、 入侵检测技术 入侵检测(ID, Intrusion Detection)通过收集操作系统、
系统程序、应用程序、网络包等信息,发现系统中违背安全 策略或危及系统安全的行为。具有入侵检测功能的系统称 为入侵检测系统(IDS, Intrusion Detection System)。入侵检测系统的作用主要体现在以下几个方面 : (1)识别入侵者; (2)识别入侵行为; (3)检测和监视已成功的安全突破; (4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的 继续扩大; (5)使系统恢复正常工作,同时收集证据。
包括以下几个方面的内容:
保密性: 完整性: 真实性: 可用性: 可控性:
第一部分:理论研究
2、常用安全技术 (1)密码技术 (2)防火墙 (3)鉴别与认证 (4)访问控制 (5)虚拟专用网(VPN)
注:单纯地使用被动防护技术不足以保护计算机系统的安全。
第一部分:理论研究
3、网络入侵 网络入侵是指使用违背访问目标的安全策略的行为,
右滑距离s(s>=j)
取满足上述两种情况的s 的最小值作为移动距离。因此可 以定义一个距离函数dist1( j ) :
第二部分:模式匹配算法
(2) 坏字符移动 P 中的某个字符与T 中的某个字符不相同时使用坏字符移 动。右滑距离函数dist2( x ) 定义如下:
匹配时取移动距离为: dist= max{ dist1( j ) , dist2}
第二部分:模式匹配算法
模式匹配: 是指在给定长度为n 的目标串T =T1 T2 ...T n 中查找长度为m 的模式串P = P1 P2 ...P m的首次出现 或多次出现的过程。这里Ti ( 1 < i < n) ,Pj ( 1 <j < m) ∈ Σ( 字符集) , 若P 在T 中出现1 次或多次, 则称匹 配成功, 否则称匹配失败。
第二部分:模式匹配算法
2、BM算法 BM 算法基本思想是: 开始时将目标串T 与模式串P 左对 齐, 自右至左逐个字符进行比较( 即首先比较Pm与T m ) ; 当某趟比较时Ti 与模式串的对应字符不匹配,则把模式串 右滑d( x ) 一段距离, 执行由P m 与T i +d( x ) 起始的 自右至左的匹配检查。BM 算法采用以下两条规则计算模 式串右移的距离:
第二部分:模式匹配算法 一、单模式匹配算法 1、KMP算法 2、BM算法 3、RK算法 二、多模式匹配算法 1、AC算法 2、AC-BM算法
论文的结构和主要内容
第三部分:总结与展望 第四部分:致谢
第一部分:理论研究
一、网络安全与入侵 1、网络安全 网络安全即指网络环境安全,网络信息安全。信息安全
单模式匹配算法: 在目标串中1 次只能对1 个模式串进行匹配 的算法。
多模式匹配算法: 在目标串中可同时对多个模式串进行匹配的 算法。
第二部分:模式匹配算法
一、单模式匹配算法 1、KMP算法
KMP 算法的基本思想是: 若某趟匹配过程中T i 和Pj 不匹 配, 而前j - 1 个字符已经匹配。此时只需右移模式串P , 目标串T 不动, 即指针i 不回溯, 让Pk 与T i 继续比较。移 动后重新开始比较的位置k 仅与模式串P 有关, 而与目标串 T 无关, 因此k 可以通过下面的next 函数事先确定。 定义next [ j ] 函数为:
第一部分:理论研究
入侵检测技术可以分为两大类:异常入侵检测技术和误用 入侵检测技术,下面分别作简单介绍: 1、异常入侵检测技术 异常检测是通过对系统异常行为的检测来发现入侵。 常用的异常检测技术有: 1.1 统计分析 1.2 神经网络 2、误用入侵检测技术 常见的误用入侵检测技术有以下几种: 2.1 模式匹配 2.2 专家系统 2.3 状态迁移法
第二部分:模式匹配算法