一、模式匹配技术在Snort中的应用和改进(论文文献综述)
孙凯[1](2020)在《基于Snort的工业控制系统入侵检测技术研究与实现》文中研究指明随着互联网等信息技术在工业领域中的广泛应用,使工业控制系统与企业信息安全管理系统相结合,在提升工业控制系统网络化、信息化的同时,也导致网络安全威胁逐步向封闭独立的工业控制系统网络蔓延。工业控制系统作为国家基础设施的核心,广泛应用于石油、化工、电力等行业,在过去的几年中,对工业控制系统的攻击变得越来越频繁、越来越复杂。这些攻击的最常见目标是控制/监视物理过程,操纵可编程控制器或影响软件和网络设备的完整性。工业控制系统入侵检测技术作为一种典型的安全防护技术,能有效检测外部攻击,提高工业控制系统安全性。对于工业控制系统的入侵检测主要集中在基于IP/TCP协议研究,对于基于以太网通信的工业控制系统协议没有针对性的检测方法。本文从安全性角度分析了EtherCAT现场级通信原理,研究表明EtherCAT协议像其他的基于以太网通信的协议一样缺乏必要的安全性参数,例如身份验证,通信加密和授权,并且极容易受到MAC地址欺骗,数据注入和其他高级攻击。为了防止,检测和减少对基于EtherCAT通信的关键系统的攻击,本文在总结现有研究的基础上,提出了基于EtherCAT通信的工业控制系统入侵检测方案,主要工作如下:首先,通过分析Snort框架的工作原理,改进了开源Snort入侵检测系统,增加了对EtherCAT协议包解码模块,以支持未经传输层和网络层处理的数据包。其次,通过对EtherCAT脆弱性分析,设计了针对于EtherCAT协议的入侵检测模板以及对异常流量报警的EtherCAT动态预处理器。最后,提出了一种称为信任配置的新颖方法,并将该方法应用到了动态预处理器中。EtherCAT动态预处理器与其他研究中受支持的ICS预处理器(例如DNP3和Modbus/TCP)有很大不同。除了支持传统的规则扩展之外,它还能够处理第二层数据包,并使用信任配置方法对EtherCAT数据包进行深度数据包检查。该方法首先根据EtherCAT网络信息(ENI)配置文件识别工程师站批准的通信节点,然后根据协议规范深入检查传入的数据包。利用扩展后的Snort和提出的信任配置方法对工业控制系统中流量进行检测,成功的检测到相关攻击或异常并对异常流量进行报警,从而可以对基于EtherCAT实现的系统上提供基本的安全防护。
胡洋[2](2020)在《基于Snort的多模式匹配算法研究及改进》文中研究指明现今,网络需求高速发展带动着网络设备、网络应用等一系列的产业蓬勃发展。为了提高复杂网络的安全性,除了安装防火墙外,目前很多的系统都采用了基于误用检测的入侵检测系统(Intrusion Detection System,IDS)。因此,基于误用检测IDS的研究对于提高系统的安全可靠性有积极意义。Snort和Security Onion都是典型的IDS,由于Snort代码是开源的,且其结构清晰,容易修改,所以本文选取了Snort作为论文研究的主体并对其匹配算法、运行方式等进行研究和改进。本文首先分析了Snort的基本工作原理和数据匹配技术,发现大规模的规则集合构建成状态机的过程会耗费很长时间,因此本文对于Snort规则分类方式进行分析,并提出了一种基于索引分类映射表的组织方式来细化规则集合,且减少规则分类时的决策层级。同时本文实现了一种不同规则按匹配成功率大小依次插入的改进规则链表,以实现最小化关联规则遍历链表时的平均检索时间,实验显示,所提算法在单个分类集合的情况下可节约构建时间7.27%,在多个分类集合的情况下节约构建时间8.27%。其次,由于在实际环境中的流量速率很高,单纯的依靠硬件性能提高来达到要求会造成成本过高,本文针对Snort的匹配算法,设计了一种新型的多模式匹配算法,将精确性匹配转化为准确度较高的一种模糊匹配,实现对于匹配算法建立的非确定性有穷状态自动机(Non-Deterministic Finite Automata,NFA)的状态压缩,进而压缩了状态跳转表所需的存储空间。在10万规则集合的情况下,差分算法可以节约原程序61.09%的内存,算法状态数压缩比例达到62.37%,当规则集合中模式串相似程度很高时缩减比例可达97.69%。并且,由于采用差分的方式,使得构建的字符数量减少,也使得匹配时所需要的检索时间缩短,算法平均提升检测速率9.02%。另外,针对流行的大文本使用场景,本文提出了一种根据规则的长度动态加速匹配的检索方式,实验结果显示新的多模式匹配算法与经典多模式匹配算法进行对比,速率可提升1.55%。此外,随着非一致性内存访问架构(Non-Uniform Memory Access Architecture,NUMA)在现代服务器间的流行,本文针对现在新型服务器架构的实际应用以及Snort在不同架构下运行时的特征,提出一种针对飞腾平台下Snort运行时的优化方案。为了尽量少的访问远端内存,同时避免多线程程序在同一个内存节点上运行时导致的内存控制器竞争,本文提出了一种根据Snort运行时工作流量动态的调节程序线程位置的Snort运行模式,解决了数据包检测速率受两方面影响导致慢的问题,优化后的Snort的数据包检测速率与现有的运行情况相比可提升13%的检测速率。实验证明所提出的方案在飞腾机器的新架构上可以实现更高的检测速率。
吴有琴[3](2020)在《基于IPv6入侵检测系统若干关键技术研究》文中认为随着IPv6网络部署过程的高速发展,IPv6协议中IPSec技术的安全问题逐渐显现,这成为了人们研究的热点。而入侵检测作为一种网络安全防护技术,更是一种解决安全问题的重要手段。因此,基于IPv6下入侵检测系统中关键技术研究对网络信息安全具有重要现实意义。本文采用开源Snort入侵检测系统(IDS)作为主要研究平台。但Snort对未知入侵行为无法检测,其自学习能力不高,且无法有效检测IPv6数据流和经过加密的IPSec数据包,检测速率低,系统稳定性不高。针对以上问题,本文结合了IPv6协议技术的特点对入侵检测系统的相关技术进行了以下研究:网络中有不同的被入侵对象,有针对主机的和针对路由器等具体网络设备的,还有针对整个网络的等等。不同的被入侵对象和入侵行为会有不同的检测方法和技术。本文针对不同的被入侵对象和入侵行为,基于Snort系统的不足,设计了一种多对象入侵检测方法,从而有效发现入侵行为以及网络的异常行为。这种多对象入侵检测方法的核心是在研究分析并比较了字符串匹配算法KMP、字符串搜索算法BM和AC自动机三种经典模式匹配算法的基础上,提出一种新的字符串搜索算法DAC-BMY改进算法,该算法对字符串匹配效率和检测性能有较大的改善。同时,多对象入侵检测方法还集成了基于信息熵的协议分析技术,该技术通过降维技术,可以大幅度减少匹配的计算量。本文采用多对象入侵检测方法,对Snort开源系统的预处理插件、协议解析两个模块进行了重新设计与实现,还增加了一个独立针对IPv6加密的IPSec数据包的检测,形成了一个改进后新的基于Snort的多对象入侵检测系统,简称为MIDS。MIDS系统共有四个子系统,分别是基于网络的入侵检测子系统(集成改进于原Snort)、基于主机的入侵检测系统(新增)、响应子系统和监控子系统(继承于原Snort)。分别负责数据包捕获、数据包解析、预处理、检测引擎、输出报警等功能。实验表明MIDS系统运行正常,此外,多对象入侵检测方法对入侵检测系统的匹配效率和性能有显着的改善,减少了匹配的工作量,解决了Snort系统无法有效检测IPv6数据流和经过加密的IPSec数据包的问题,加强了Snort的自学习能力,并提高了系统性能和系统的稳定性。
李恩燕[4](2020)在《基于经典聚类算法和关联算法的入侵检测系统研究》文中认为随着网络通信的快速发展,“互联网+”模式也因此得到了广泛普及。与此同时,以网络入侵为主的黑客技术也在不断朝着更复杂更隐秘的方向发展,导致信息通信网络的安全态势更加严峻,产生的蓄意攻击和破坏造成的影响更加广泛。面对复杂多样的攻击手段,传统的数据库安全机制显得有些乏力。而入侵检测系统(IDS)作为新型的安全防卫系统,它通过发现可能的入侵行为并采取报警等措施来保护数据安全,承担了不可替代的沉重责任,但目前各入侵检测系统由于检测效率低下等问题日益突出,难以将网络保证在安全稳定的状态下运行。故此,为提升入侵检测的性能,更好的解决网络安全问题,进行了基于经典聚类算法和关联算法的入侵检测系统研究。首先,分析了目前国际上入侵检测系统的现状,尤其是在国内安全行业具有重要地位且最受欢迎的入侵检测系统Snort,得出其存在检测时间长和仅能检测已知攻击而造成的检测准确率低等问题;然后,利用基于经典聚类算法和关联算法对Snort系统进行改进,但传统的聚类算法——Kmeans算法本身存在聚类中心k的不确定性导致聚类结果不稳定的问题,同时关联算法——Apriori算法也存在诸如关联程度不够强等问题,故分别提出了通过K近邻算法优化的L-Kmeans算法和额外增加了信任度指标的C-Apriori算法,使得数据挖掘算法能够更好的应用于入侵检测Snort中,得到一种性能更优的改进的Snort;最后,从检测时间和检测准确率两个方面分析L-Kmeans算法和C-Apriori算法应用于入侵检测系统Snort后的优势。实验仿真结果表明,两个算法应用后的Snort相较于传统Snort在检测效率和准确率上均有一定改善,同时还体现出,将数据挖掘算法中的经典聚类算法和关联算法与入侵检测系统相结合,可以使Snort入侵检测技术由传统的仅检测已知入侵转变为主动发现未知的可疑行为,在缩短了检测时间的同时也提高检测准确率。该研究促进了入侵检测技术的发展,进一步提高了网上工作、学习和娱乐等信息传输的安全性。
毛志强[5](2019)在《基于模拟退火算法的正则表达式分组研究》文中研究表明传统深度包检测技术通过精确字符串对病毒进行描述,这种方法效率很低,已经无法适用于流量极大的互联网数据流。正则表达式具有简单、高效、表达能力强的特点,特别适合应用于深度包检测中。在实际使用中可以将多条正则表达式合并生成一个DF A引擎,实现一次匹配多条正则表达式的目的,提高匹配效率。但是当多条正则表达式解析为一个DFA引擎时,存在“状态爆炸”的问题。理论上,在最糟糕的情况下,这种现象会使DFA状态数呈指数增长,导致普通硬件平台无法生成DFA。研究表明,对正则表达式进行合理的分组是解决该问题的一个有效方法,所以将能引起“状态爆炸”的正则表达式分到不同组,将没有引起“状态爆炸”的正则表达式分到相同组可以有效避免该问题。分组的目标是在尽可能短的时间内得到各组DFA总状态数最少、分组数最少、各组状态数标准差最小的结果。然而,现有的分组算法存在分组时间过长、各组状态数标准差偏大、DFA状态数偏大的问题,分组结果并不理想。研究发现,目前大多数正则表达式分组算法需要不断生成DFA引擎以判断是否发生了“状态爆炸”,这个过程导致了算法的分组时间较长。在第2章中,为了提高分组效率,本文改进了已有的正则表达式DFA状态数预估公式并且提出了基于正则表达式预估膨胀率的分组算法(GRE-EER),该算法根据预估公式求得正则表达式间的预估膨胀率并且用其来指导分组,不需生成DFA引擎,可以较大地提高分组效率并且得到初步的分组结果;为了得到准确的分组结果,提出基于正则表达式真实膨胀率的分组算法(G RE-RER)。GRE-RER根据正则表达式间的真实膨胀率来指导分组,可以得到准确的分组结果;为了尽可能减小DFA存储空间,加入局部优化算法。在实际使用中,为了高效率地得到分组结果,将GRE-EER、GRE-RER与局部优化算法相互结合,提出GREEER-RER策略。为了使算法具有全局搜索能力,本文在第3章中将模拟退火算法和GRE-EER-RER相结合,提出基于模拟退火算法的正则表达式分组算法(GRE-SAA)。在该算法中模拟退火算法负责在全局范围内搜索最优解,不断生成新解使用GRE-EER进行分组,其分组结果满足一定条件再对该解使用GRE-RER进行分组。为使GRE-SAA适用于大规模规则集,对其进行了改进,提出了适用于大规模规则集的GRE-SAA算法。实验结果表明,GRE-SAA对小规模、中等规模和大规模规则集均有很好的分组能力,在DFA状态总数、各组状态数标准差以及分组时间等方面均优于其他全局搜索算法。为进一步提高算法的收敛能力和搜索能力,本文将模拟退火算法、遗传算法和GR E-EER-RER相结合,提出基于遗传模拟退火算法的正则表达式分组算法(GRE-GASA)。设计实验将其与GRE-SAA进行对比分析。实验结果表明,对于小规模和中等规模规则集,该算法收敛能力以及分组结果优于GRE-SAA,但是分组效率不及GRE-SAA。故在对分组效率要求不高的情况下,建议使用GRE-GASA,否则建议使用GRE-SAA。最后为使GRE-GASA适用于大规模规则集,对其进行改进并且设计实验与其他算法进行对比分析。实验结果表明对于大规模规则集,GRE-GASA与GRE-SAA的分组结果差不多,均优于Becchi算法。
胡凡[6](2019)在《基于SDN的防御DDoS混合攻击系统的设计与实现》文中指出随着互联网的快速发展,分布式拒绝服务攻击也呈现愈演愈烈的态势。发展到现在,高级攻击者已经不倾向使用单一的攻击手段作战了,而是根据目标系统的具体环境灵动组合,发动多种攻击手段,既具备了海量的流量,又利用了协议、系统的缺陷,尽其所能地展开攻势。从以往的DDoS单一攻击逐渐趋向于DDoS混合攻击。但当今的DDoS防御主要还是依赖于在固定位置部署的昂贵且专有的硬件设备,对于被攻击目标来说,需要面对不同协议、不同资源的分布式的攻击,分析、响应和处理的成本就会大大增加。由于分布式的传统网络架构不能实时掌握全局的网络拓扑和网络流量变化,使得DDoS混合攻击难以防御。随着近年来SDN的不断发展,它为重新思考防御DDoS混合攻击策略提供了新的机会和新的视角。SDN具有逻辑上的集中控制器,该控制器可获得全局性的网络状态,可以轻松分析流量模式。此外,它可以动态给SDN交换机下发流表从而更新转发策略,因而无需更换昂贵的硬件设备,从而节约了成本。出于这些原因,SDN为在数据中心环境中抵御DDoS混合攻击带来了新的机遇。本文寻求在新的网络架构软件定义网络(SDN)的基础之上构建DDoS双层防御系统来解决以上这些限制。本文的工作内容主要包括以下几个方面:本文分析了SDN架构的特点,对DDoS攻击的概念和原理以及DDoS的一些常见攻击方式与检测方式进行了研究,在此基础上,设计了一种基于SDN框架的双层DDoS混合攻击入侵防御模型,该模型第一层利用流采样技术对DDoS洪泛攻击进行检测、分析、处理。第二层利用检测网络对DDoS慢速攻击进行入侵检测。然后,本文对该模型第一层基于网络流量AR模型,改进了残差比异常检测算法,实现了自适应阈值;同时对该模型第二层的检测网络核心算法单模式匹配算法进行了研究及改进。最后,在所设计的入侵防御模型的基础之上,本文设计和实现了基于SDN框架的DDoS混合攻击双层防御系统,并搭建了SDN实验平台对系统功能进行了功能测试。测试了系统第一层自适应残差比异常检测算法的有效性;同时在第二层系统中对改进算法和原单模式匹配算法进行了比较,验证了系统功能和改进算法的性能优化。通过以上工作,本文完成了基于SDN架构DDoS混合攻击防御系统的功能,并对单模式匹配性能进行了提升。
蔡晶晶[7](2019)在《基于智能网关的网络防御技术研究》文中研究表明计算机通信技术的快速发展,促进了科技的快速进步,如今互联网与物联网已经进入了人们的生产和生活中,同时也出现了大量的网络入侵行为,这些行为通过网络对家庭网络环境做出攻击,盗取家庭信息导致人们的经济财产甚至生命安全得不到保障,这使得网路防御技术的提高有着重要意义。本文在智能网关中应用了基于Snort引擎的网络入侵检测系统对家庭网络进行实时性保护。并对Snort引擎无法检测出网络中新出现的网络入侵行为的缺点做出了优化,结合了机器学习和数据挖掘技术,采用了逻辑回归算法以及Apriori算法,在系统中增加了预测模块和规则动态生成模块,使Snort引擎具备了能够根据网络中异常数据包自动生成规则的能力,同时为了降低系统的丢包率,增强系统的实时性检测性能,我们对Snort引擎的三步规则动态匹配算法也做出了一定的优化措施,减少了系统的匹配次数。在两个方向的优化下提高系统能检测性能。通过对智能网关中Snort系统的研究及优化,提高了网络防御系统的检测效率,使网络入侵检测系统能够更好的实时性保护网络环境安全,给用户一个良好的家庭网络环境。
陈锦蓉[8](2018)在《面向Web防护的Snort预处理器与规则匹配优化研究》文中研究指明随着信息技术的不断发展、互联网应用的增多、网络中流量的大幅度增加,网络信息安全面临着更大的挑战。Web防护技术也从防火墙、杀毒软件发展到入侵检测,再到多种技术的结合检测。入侵检测技术能对目标网络节点中通过的事件或数据进行检测,过滤网络中的不安全因素,保障网络信息的安全。入侵检测技术作为一种主动的安全防御技术,能在防火墙等的防御方法上进行防御补充。然而,在现在的网络中,入侵检测需要处理的数据量更大,数据也更复杂多变。因此,如何在入侵检测系统有效的处理数据,适应攻击手段的变化,是当前需要解决的问题。针对当前网络的特点,本文分析了网络数据包的特点和K-means算法的基础理论,提出了一种对K-means算法的改进方法,并利用Snort的插件机制,将Snort预处理器与改进后的k-means算法结合,使Snort预处理插件能对静态数据进行聚类,对实时数据进行分类。分析入侵检测在现在网络中存在的不足之处,提出了一种对将改进后的FP-Tree算法运用至Snort规则匹配插件中的优化方法。本文的主要工作包括:(1)通过对k-means算法和FP-Tree算法的改进对Snort入侵检测系统的预处理器和规则匹配模块进行优化。利用改进后的k-means算法对静态数据进行聚类,分为正常数据类和异常数据类,通过对距离的判断将实时数据分为正常数据或是异常数据,再利用Snort对其进行进一步的处理。利用改进后FP-Tree算法对从网络数据进行规则挖掘,随后生成可被Snort识别的规则,再添加至Snort规则库中,使其能适应攻击手段变化。(2)利用KDD CUP99数据集对提出的两种优化方法进行有效性实验,对本文工作进行总结和分析。
徐成成[9](2018)在《深度报文检测中的正则表达式匹配技术研究》文中进行了进一步梳理当前,越来越多的网络应用需要依赖深度报文检测技术对报文进行识别,如协议识别、入侵检测、基于应用的带宽管理等。深度报文检测用预定义的特征集对报文的负载进行匹配,以判断负载部分是否符合规则集中的某条特征。正则表达式以其强大而灵活的表达能力而广泛应用于深度报文检测中的特征描述。正则表达式的匹配通常需要借助自动机来实现,而当前网络应用中特征集的规模不断增加,这给自动机的编译、配置及性能带来极大的挑战。另一方面,骨干链路网络速率的提升也对报文检测的性能提出了更高的要求。针对这些挑战,本文从正则表达式匹配的硬件体系结构、分组算法、自动机设计三个方面展开研究。论文首先对正则表达式匹配技术进行总结,从应用背景、技术原理、软件解决方案和硬件解决方案四个方面展开。结合一款实用的混合自动机,设计了一个新型的以存储为中心的FPGA+Multi-core的混合体系结构。对正则表达式分组算法进行建模分析,设计了一种高效的分组算法及相应的优化算法。从自动机状态爆炸的根源入手,设计了一个新型自动机Offset-FA,以解决状态爆炸问题,并且在存储开销和匹配效率上取得较好的平衡。本文的主要创新点包括:1)本文对深度报文检测中的正则表达式匹配技术进行了系统的综述。首先介绍了深度报文检测的应用背景及常见的深度报文检测方法。随后,介绍了正则表达式匹配的技术背景,指出状态爆炸是正则表达式匹配面临的主要挑战。从规则特征和状态的语义关系两个方面讨论了状态爆炸的成因。将当前的正则表达式匹配的解决方案粗略分为自动机优化的软件方法和并行加速的硬件方法,同时分别对两类方法进行深入的细分。自动机的优化主要分为自动机的压缩和可扩展自动机两类,可扩展自动机按解决状态爆炸的方法又可以分为规则分组、半确定自动机、附加标记及指令的自动机。并行加速主要基于以下平台:FPGA、GPU、通用多核CPU、TCAM。文章分别给出各类软件解决方案和各类硬件解决方案的详细对比。最后,基于以上对比分析,对构建高效的深度报文检测系统给出具体的指导建议。2)Hybrid-FA[1]是一款实用性较强的自动机,在工业界的产品中也有所体现。但是混合自动机面临着头部自动机过大、尾部自动机处理效率低的问题。头部自动机过大导致其无法配置在小容量的高速片上存储器中,尾部自动机处理效率低会严重影响整体的匹配性能。本文提出了一种以存储为中心的FPGA+Multi-core的混合体系结构。该结构的匹配引擎由两部分构成,即FPGA上的硬件匹配引擎和多核处理器上的软件匹配引擎。硬件引擎和软件引擎以流水的方式协同工作,报文负载先交给硬件引擎处理,当尾部自动机状态被激活时再将剩余的负载交给软件引擎处理。流水的方式可以独立出尾部自动机的处理,避免其对整体性能的影响。另一方面硬件引擎采用FPGA片上RAM加片外DDR3 SDRAM的两级存储形式,将高频访问的头部自动机状态配置在片上RAM上,以实现硬件引擎部分的高速匹配。仿真实验表明,hybrid-FA可以在FPGA+Multi-core的混合匹配架构上实现高速匹配。3)规则分组是有效避免状态爆炸的一种方法,当前通用的分组算法无法同时兼顾分组时间开销和分组结果。经过分析,规则分组问题可以归纳为图的最大k割问题。本文探索了模拟退火算法、遗传算法在规则分组问题中的适用性。同时,提出一种简洁高效的贪婪算法OSG算法以及相应的优化算法HI算法。实验结果表明,OSG算法在取得与当前最优分组结果可比的分组效果的前提下,大幅降低分组时间开销。4)为从根源上解决状态爆炸问题,本文从规则的特点入手,指出带闭包或重复限定的大字符集是导致状态爆炸的主要原因,提出一种新型的自动机Offset-FA来解决状态爆炸问题。根据这类特征出现的位置将原始的规则切割成多个片段,然后将这些片段编译成一个确定性有限状态自动机,另外用一个片段关系表和一个复位表来记录片段之间的关系,以维持与原规则集的语义等价性。去除这类特征后,自动机的状态爆炸得到了有效的解决。另外我们对Offset-FA的编译算法及匹配算法进行了一系列优化,以尽量减少这些片段被匹配上的频率及片段匹配上时需要的校验工作。实验结果表明,Offset-FA在自动机空间开销和匹配效率上取得了较好的平衡,在有效地解决状态爆炸问题的同时能够取得优于当前研究的匹配效率。
黄孝楠[10](2018)在《针对Snort的拒绝服务攻击的实现与检测》文中指出在网络高速发展的现在,科技进步提升了人们的生活水平,让人们可以感受到丰富多彩的世界,但是也给一些带有恶意的人带来机会。网络安全问题随之而生,越来越多的攻击手段与攻击方式出现,严重的影响了我们使用的网络的安全。由此,入侵检测系统诞生了,面对种种攻击,检测系统与防火墙等组成了一道防御线,用来抵抗并且处理检测到的攻击。Snort网络入侵检测系统(Network Intrusion Detection System,IDS)因为良好的灵活性和开放源码的特性,深受人们和企业喜爱。而且在无数的人的共同努力、帮助下,Snort网络入侵检测系统在飞速发展着,面对已知的部分的攻击手段都能相对轻松地应对,成为当下最受欢迎的入侵检测系统。本文中主要对Snort网络入侵检测系统进行详细的介绍,对Snort主要架构进行全面的分析,然后通过具体的例子说明算法复杂度攻击和拒绝服务攻击对Snort网络入侵检测系统产生的严重影响。算法复杂度攻击针对Snort系统的核心多模式匹配算法,构建各种特殊的攻击数据包,使多模式匹配算法达到最差的处理时间,从而实现对IDS的干扰和攻击。拒绝服务攻击,使用频率高、干扰能力强的数据包,来对一个网络进行冲击,使IDS消耗掉所有可使用的资源,以致无法完成对正常数据包的处理而影响IDS的处理能力,从而达到攻击IDS的目的。为了防御这些攻击方式,本文在IDS中应用了一种新型的多模式匹配算法,VLDC(variable length don’t care)多模式匹配算法。与Snort中采用的AC多模式匹配算法相比,VLDC算法在处理VLDC攻击模式时具有相对高效的处理时间。本文将VLDC多模式匹配算法与经典AC多模式匹配算法进行了实验对比,然后将VLDC算法应用到Snort中,比较VLDC与Snort中使用的AC的实际效果。证明VLDC算法具有更高效的表现。在本文中,实验针对Snort在VLDC匹配时所存在的不足进行验证与分析,在Snort中,Snort通过AC算法完成了VLDC匹配的过程,因此文中将使用Snort-VLDC来表示Snort中完成VLDC匹配的算法。最后对比的在完成VLDC匹配时VLDC与Snort-VLDC的效率。首先对Snort入侵检测系统进行攻击,在实验中发现由Randy Smith在2006年提出的算法复杂度攻击无法对当前的Snort系统造成影响,但是将算法复杂度攻击与拒绝服务攻击相结合可以导致Snort无法对所有的数据包进行检测。接下来验证了Snort在这种混合攻击下会发生数据包漏检的情况,并且提出了一种检测方式,在攻击发生的第一时间便会提示管理员攻击存在。接下来将VLDC算法应用到Snort入侵检测系统中,对Snort使用这种混合攻击,对实验结果进行检测与分析,根据实验结果可以发现,应用了VLDC的Snort入侵检测系统可以对流经的所有数据包进行检测,成功抵御这种攻击。
二、模式匹配技术在Snort中的应用和改进(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、模式匹配技术在Snort中的应用和改进(论文提纲范文)
(1)基于Snort的工业控制系统入侵检测技术研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 相关工作研究 |
| 1.3 论文主要工作和创新点 |
| 1.4 论文的组织结构 |
| 第二章 相关技术研究综述 |
| 2.1 工业控制系统介绍 |
| 2.1.1 工业控制系统体系结构 |
| 2.1.2 工业控制系统的脆弱性分析 |
| 2.1.3 工业控制系统安全研究 |
| 2.2 入侵检测系统介绍 |
| 2.2.1 入侵检测基本概念 |
| 2.2.2 入侵检测系统分类 |
| 2.3 Snort入侵检测框架 |
| 2.3.1 Snort简介 |
| 2.3.2 Snort系统架构 |
| 2.3.3 Snort源码分析 |
| 2.4 本章小结 |
| 第三章 EtherCAT分析及Snort改进方案 |
| 3.1 EtherCAT概述和脆弱性分析 |
| 3.1.1 EtherCAT简介 |
| 3.1.2 EtherCAT通信 |
| 3.1.3 EtherCAT主从站配置文件 |
| 3.1.4 EtherCAT脆弱性分析 |
| 3.2 Snort包解码引擎改进 |
| 3.3 基于EtherCAT信任配置通信的动态预处理程序开发 |
| 3.4 日志输出插件开发 |
| 3.5 本章小结 |
| 第四章 Snort入侵检测系统设计与实验 |
| 4.1 入侵检测系统环境配置 |
| 4.1.1 环境搭建 |
| 4.1.2 Snort安装 |
| 4.2 系统实验 |
| 4.2.1 实验设计 |
| 4.2.2 实验结果 |
| 4.2.3 结果分析 |
| 4.3 本章小结 |
| 第五章 论文总结与展望 |
| 5.1 总结 |
| 5.2 展望 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(2)基于Snort的多模式匹配算法研究及改进(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 符号对照表 |
| 缩略语对照表 |
| 第一章 绪论 |
| 1.1 论文研究背景 |
| 1.2 国内外研究现状 |
| 1.3 研究内容和主要成果 |
| 1.4 论文组织结构 |
| 第二章 Snort入侵检测系统概述 |
| 2.1 入侵检测系统的基本结构 |
| 2.2 数据处理流程 |
| 2.2.2 Snort的数据组织结构。 |
| 2.3 Snort的规则 |
| 2.4 小结 |
| 第三章 Snort规则结构优化以及实现 |
| 3.1 规则在内存中的组织形式 |
| 3.2 规则在快速引擎中的组织方式 |
| 3.3 Snort的决策树分类优化 |
| 3.3.1 高效数据包分类算法的提出 |
| 3.3.2 改进的规则集合的组织方式 |
| 3.3.3 RFC分类算法示例 |
| 3.3.4 改进的规则映射方式的性能分析 |
| 3.4 Snort规则链表的改进 |
| 3.4.1 现有规则链表的性能分析 |
| 3.4.2 不同类型规则的特征分析 |
| 3.4.3 规则组织形式的改进 |
| 3.4.4 检索长度示例分析 |
| 3.5 改进算法性能分析 |
| 3.5.1 对于减少的检索长度的定量研究 |
| 3.5.2 不同规则组织下规则的匹配成功率 |
| 3.5.3 规则组织结构实验结果 |
| 3.6 小结 |
| 第四章 基于差分的模糊AC匹配算法 |
| 4.1 AC算法介绍 |
| 4.2 改进算法的介绍 |
| 4.3 差分AC算法的具体实现。 |
| 4.4 差分AC算法在Snort上的应用。 |
| 4.5 实验结果与分析 |
| 4.5.1 算法内存结果的对比 |
| 4.5.2 更换前缀的关联模式串情况下的实验结果 |
| 4.5.3 差分AC算法不同模式串长度下内存压缩对比 |
| 4.6 针对内容的快速搜索方式 |
| 4.7 快速搜索实验结果 |
| 4.8 不同的文本密度下快速检测速率 |
| 4.9 小结 |
| 第五章 飞腾平台下的Snort优化 |
| 5.1 飞腾平台 |
| 5.2 NUMA架构介绍 |
| 5.3 NUMA的优化方式 |
| 5.3.1 基于NUMActl的资源配置方式 |
| 5.4 FT2000+下Snort优化思路 |
| 5.5 动态滤波的检测方式改进 |
| 5.6 小结 |
| 第六章 结论 |
| 参考文献 |
| 致谢 |
| 作者简介 |
(3)基于IPv6入侵检测系统若干关键技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 研究现状 |
| 1.2.1 IPv6研究现状 |
| 1.2.2 入侵检测系统研究现状 |
| 1.3 研究内容及技术路线 |
| 1.3.1 研究内容 |
| 1.3.2 技术路线 |
| 1.4 本文的创新点 |
| 第2章 相关理论和技术概述 |
| 2.1 信息熵理论简介 |
| 2.2 IPv6技术 |
| 2.2.1 IPv6协议特点 |
| 2.2.2 IPv6报头结构 |
| 2.2.3 IPv6安全体制 |
| 2.2.4 IPv6入侵行为 |
| 2.3 入侵检测技术 |
| 2.3.1 入侵检测方法 |
| 2.3.2 入侵检测分类 |
| 2.3.3 通用入侵检测系统模型 |
| 2.4 Snort简介 |
| 2.5 本章小结 |
| 第3章 入侵检测关键技术研究 |
| 3.1 模式匹配技术 |
| 3.1.1 模式匹配技术原理 |
| 3.1.2 模式匹配技术的缺陷 |
| 3.1.3 模式匹配算法 |
| 3.1.4 模式匹配算法的改进 |
| 3.2 协议分析技术 |
| 3.2.1 IPv6协议分析技术 |
| 3.2.2 基于信息熵的协议分析技术 |
| 3.3 本章小结 |
| 第4章 多对象入侵检测系统(MIDS)设计与实现 |
| 4.1 MIDS系统设计 |
| 4.1.1 MIDS系统设计目标 |
| 4.1.2 MIDS系统框架 |
| 4.2 MIDS系统详细设计 |
| 4.2.1 基于网络入侵检测子系统(NIDS) |
| 4.2.2 基于主机入侵检测子系统(HIDS) |
| 4.2.3 监控平台(MIDS)和响应子系统(RIDS) |
| 4.3 模式匹配、协议分析技术应用 |
| 4.3.1 DAC-BMY模式匹配技术应用 |
| 4.3.2 基于信息熵的协议分析技术应用 |
| 4.4 实验和测试 |
| 4.4.1 网络部署 |
| 4.4.2 环境搭建 |
| 4.4.3 IPv6数据流检测实验 |
| 4.4.4 IPSec数据包检测实验 |
| 4.4.5 算法性能的对比实验 |
| 4.4.6 MIDS系统可行性实验 |
| 4.5 本章小结 |
| 第5章 总结与展望 |
| 5.1 工作总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
(4)基于经典聚类算法和关联算法的入侵检测系统研究(论文提纲范文)
| 摘要 |
| abstract |
| 注释表 |
| 第1章 引言 |
| 1.1 研究背景及意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 国内外研究现状 |
| 1.3 本文主要工作 |
| 1.4 本文组织结构 |
| 第2章 相关理论研究 |
| 2.1 入侵检测系统 |
| 2.1.1 入侵检测系统概述 |
| 2.1.2 入侵检测系统的部署模式 |
| 2.1.3 入侵检测系统的检测方式 |
| 2.1.4 入侵检测系统的性能指标 |
| 2.2 数据挖掘 |
| 2.2.1 数据挖掘思想 |
| 2.2.2 数据挖掘过程 |
| 2.2.3 数据挖掘分析方法 |
| 2.2.4 数据挖掘算法介绍 |
| 2.3 Snort系统 |
| 2.3.1 Snort系统概述 |
| 2.3.2 Snort系统模式介绍 |
| 2.3.3 Snort系统规则介绍 |
| 2.4 本章小结 |
| 第3章 经典聚类和关联算法改进研究 |
| 3.1 经典聚类算法——Kmeans算法 |
| 3.1.1 Kmeans算法分析 |
| 3.1.2 Kmeans改进算法 |
| 3.1.3 算法仿真结果分析 |
| 3.2 经典关联算法——Apriori算法 |
| 3.2.1 Apriori算法分析 |
| 3.2.2 Apriori改进算法 |
| 3.2.3 算法仿真结果分析 |
| 3.3 本章小结 |
| 第4章 基于L-Kmeans和 C-Apriori算法的改进Snort |
| 4.1 一种改进的Snort |
| 4.2 L-Kmeans算法在Snort中的应用 |
| 4.3 C-Apriori算法在Snort中的应用 |
| 4.4 实验环境搭建 |
| 4.5 实验仿真结果与分析 |
| 4.5.1 检测时间对比测试 |
| 4.5.2 检测准确率对比测试 |
| 4.5.3 结果分析 |
| 4.6 本章小结 |
| 第5章 总结与展望 |
| 5.1 工作总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间从事的科研工作及取得的成果 |
(5)基于模拟退火算法的正则表达式分组研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 课题研究的背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 降低引擎存储空间的研究 |
| 1.2.2 模拟退火算法的研究和发展 |
| 1.3 本文研究工作及主要内容概述 |
| 第2章 正则表达式分组问题综述 |
| 2.1 正则表达式 |
| 2.1.1 正则表达式的定义 |
| 2.1.2 正则表达式的解析 |
| 2.1.3 正则表达式的分组 |
| 2.2 一种正则表达式DFA状态数预估方法 |
| 2.2.1 膨胀数矩阵与膨胀率矩阵 |
| 2.2.2 膨胀数矩阵与膨胀率矩阵的性质 |
| 2.2.3 预估方法 |
| 2.2.4 状态数膨胀率 |
| 2.2.5 预估方法准确性分析 |
| 2.3 两种基于正则表达式膨胀率的分组算法 |
| 2.3.1 评价分组算法优劣的指标 |
| 2.3.2 GRE-EER的基本描述 |
| 2.3.3 GRE-RER的基本描述 |
| 2.3.4 分组结果局部优化算法 |
| 2.3.5 GRE-EER-RER策略 |
| 2.3.6 GRE-EER-RER策略的评价 |
| 2.4 本章小结 |
| 第3章 基于模拟退火算法的正则表达式分组优化 |
| 3.1 基本模拟退火算法 |
| 3.1.1 加温过程 |
| 3.1.2 等温过程 |
| 3.1.3 冷却过程 |
| 3.1.4 基本模拟退火算法实现过程 |
| 3.2 GRE-SAA算法 |
| 3.2.1 解的编码以及算法的适应度函数 |
| 3.2.2 退火的高温阶段与低温阶段 |
| 3.2.3 Metropolis操作 |
| 3.2.4 SAA与 GRE-EER-RER的结合 |
| 3.2.5 GRE-SAA的基本过程 |
| 3.3 GRE-SAA的实验结果 |
| 3.3.1 算法参数设置 |
| 3.3.2 Snort规则集实验仿真结果以及对比分析 |
| 3.3.3 L7-filter规则集实验仿真结果以及对比分析 |
| 3.4 GRE-SAA对大规模规则集进行分组 |
| 3.4.1 适用于大规模规则集的GRE-SAA算法基本过程 |
| 3.4.2 GRE-SAA对大规模规则集的分组结果 |
| 3.5 本章小结 |
| 第4章 基于模拟退火算法的融合分组算法 |
| 4.1 基本遗传算法简介 |
| 4.2 自适应遗传算法简介 |
| 4.3 GRE-GASA分组算法 |
| 4.3.1 GRE-GASA的四种操作 |
| 4.3.2 GRE-GASA的基本流程 |
| 4.3.3 实验参数设置以及实验结果分析 |
| 4.4 GRE-GASA对大规模规则集进行分组 |
| 4.4.1 适用于大规模规则集的GRE-GASA算法基本过程 |
| 4.4.2 GRE-GASA对大规模规则集的分组结果 |
| 4.5 本章小结 |
| 第5章 总结与展望 |
| 5.1 全文总结 |
| 5.2 未来展望 |
| 参考文献 |
| 致谢 |
| 攻读硕士学位期间的研究成果 |
(6)基于SDN的防御DDoS混合攻击系统的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 论文的主要研究内容 |
| 1.4 论文组织结构 |
| 第二章 相关理论与技术基础 |
| 2.1 DDoS攻击 |
| 2.1.1 DDoS攻击的定义 |
| 2.1.2 DDoS攻击的特点 |
| 2.1.3 DDoS攻击的分类与方法 |
| 2.2 Snort入侵检测系统 |
| 2.3 软件定义网络 |
| 2.3.1 SDN架构 |
| 2.3.2 OpenFlow标准 |
| 2.3.3 SDN控制器 |
| 2.3.4 Open vSwitch |
| 2.4 本章小结 |
| 第三章 双层防御系统中的核心算法研究 |
| 3.1 自适应阈值残差比异常检测算法 |
| 3.1.1 互联网流量模型-AR模型 |
| 3.1.2 残差比异常检测算法 |
| 3.1.3 自适应阈值残差比检测算法 |
| 3.2 改进的单模式Sunday匹配算法 |
| 3.2.1 BM算法 |
| 3.2.2 Sunday算法 |
| 3.2.3 Sunday算法的改进 |
| 3.3 本章小结 |
| 第四章 基于SDN的防御DDoS混合攻击模型设计 |
| 4.1 系统总体设计 |
| 4.1.1 系统设计思路 |
| 4.1.2 系统结构设计 |
| 4.2 系统各模块设计 |
| 4.2.1 系统第一层模块设计 |
| 4.2.2 系统第二层模块设计 |
| 4.3 本章小结 |
| 第五章 基于SDN的防御DDoS混合攻击系统实现与测试 |
| 5.1 系统实现 |
| 5.1.1 第一层洪泛攻击防御实现 |
| 5.1.2 第二层慢速攻击防御实现 |
| 5.2 系统测试 |
| 5.2.1 第一层洪泛攻击防御测试 |
| 5.2.2 第二层慢速攻击防御测试 |
| 5.3 本章小结 |
| 第六章 总结和展望 |
| 6.1 工作总结 |
| 6.2 未来展望 |
| 参考文献 |
| 攻读硕士学位期间取得的研究成果 |
| 致谢 |
| 附录 |
(7)基于智能网关的网络防御技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 课题研究的目的及意义 |
| 1.2 网络防御技术的发展与研究现状 |
| 1.3 网络防御技术存在的问题与发展趋势 |
| 1.4 网络防御技术的研究内容与创新点 |
| 1.5 论文组织结构 |
| 2 入侵检测技术与机器学习和数据挖掘理论 |
| 2.1 入侵检测系统概述 |
| 2.2 入侵检测系统的分类 |
| 2.2.1 基于主机的入侵检测系统 |
| 2.2.2 基于网络的入侵检测系统 |
| 2.3 Snort入侵检测系统分析 |
| 2.3.1 入侵检测系统的优点 |
| 2.3.2 Snort入侵检测系统的不足 |
| 2.4 机器学习概述 |
| 2.4.1 逻辑回归算法 |
| 2.4.2 归纳学习算法 |
| 2.4.3 解释学习算法 |
| 2.4.4 基于神经网络的学习 |
| 2.5 数据挖掘技术概述 |
| 2.5.1 数据挖掘的概念 |
| 2.5.2 数据挖掘的过程 |
| 2.5.3 数据挖掘的类型 |
| 2.6 本章小结 |
| 3 基于数据挖掘的入侵检测系统的设计 |
| 3.1 Snort系统框架分析 |
| 3.2 需求分析 |
| 3.2.1 系统的功能需求 |
| 3.2.2 系统的性能需求 |
| 3.3 系统总体设计 |
| 3.3.1 设计思想 |
| 3.3.2 体系结构 |
| 3.3.3 模块功能简述 |
| 3.3.4 工作流程图 |
| 3.4 核心模块设计 |
| 3.4.1 基于逻辑回归算法的预测模块设计 |
| 3.4.2 规则动态生成模块设计 |
| 3.5 本章小结 |
| 4 基于数据挖掘的智能网关入侵检测系统的实现 |
| 4.1 基于逻辑回归算法的预测模块实现 |
| 4.1.1 基本思想 |
| 4.1.2 算法实现 |
| 4.2 三步动态规则匹配算法优化实现 |
| 4.2.1 基本思想 |
| 4.2.2 改进型三步动态规则匹配算法 |
| 4.3 规则动态生成模块的实现 |
| 4.3.1 基本思想 |
| 4.3.2 Apriori算法 |
| 4.3.3 算法实现 |
| 5 系统测试 |
| 5.1 规则动态生成模块功能测试 |
| 5.1.1 测试工具与测试方法 |
| 5.2 规则动态生成模块功能的测试 |
| 5.3 入侵检测系统检测效率测试 |
| 5.3.1 算法改进后系统功能测试 |
| 5.3.2 增加预测模型和规则动态生成模型后系统性能测试 |
| 6 结论 |
| 6.1 总结 |
| 6.2 未来展望 |
| 参考文献 |
| 致谢 |
| 附录1 攻读硕士学位期间参与的项目和发表的论文 |
(8)面向Web防护的Snort预处理器与规则匹配优化研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题研究背景 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测 |
| 1.2.2 Snort入侵检测方法 |
| 1.3 本文主要研究内容 |
| 1.4 论文组织结构 |
| 第二章 Web攻击与Snort可用的入侵检测 |
| 2.1 Web端面临的入侵攻击 |
| 2.2 入侵检测的分类 |
| 2.3 Snort系统描述 |
| 2.3.1 Snort工作流程 |
| 2.3.2 Snort的插件机制 |
| 2.4 Snort可用的入侵检测方法 |
| 2.4.1 聚类分析 |
| 2.4.2 发现关联规则 |
| 2.5 本章小结 |
| 第三章 K-means算法的改进与Snort预处理器的聚类 |
| 3.1 K-means算法的改进 |
| 3.1.1 传统K-means算法的描述 |
| 3.1.2 对K-means算法改进的思路 |
| 3.1.3 改进K-means算法的描述 |
| 3.2 Snort预处理 |
| 3.3 K-means算法的改进在预处理器中的应用 |
| 3.4 本章小结 |
| 第四章 基于改进FP-Tree算法的Snort规则匹配 |
| 4.1 Snort关联规则 |
| 4.2 FP-Tree算法的改进 |
| 4.2.1 传统FP-Tree算法的描述 |
| 4.2.2 对FT-Tree算法改进的思路 |
| 4.2.3 改进FP-Tree算法的描述 |
| 4.3 适应Snort的新关联规则的建立 |
| 4.4 本章小结 |
| 第五章 实验及结果分析 |
| 5.1 Ubuntu系统下的Snort系统搭建 |
| 5.2 新预处理器的有效性验证 |
| 5.2.1 实验数据及描述 |
| 5.2.2 实验结果与分析 |
| 5.3 新规则匹配模块的有效性验证 |
| 5.3.1 实验数据及描述 |
| 5.3.2 实验结果与分析 |
| 5.4 本章小结 |
| 第六章 结论 |
| 6.1 绪论 |
| 6.2 展望 |
| 参考文献 |
| 致谢 |
| 附录A 攻读学位期间所发表的学术论文 |
(9)深度报文检测中的正则表达式匹配技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 研究现状 |
| 1.3 本文的研究内容与贡献 |
| 1.4 论文结构 |
| 第二章 深度报文检测中的正则表达式匹配的相关工作 |
| 2.1 深度报文检测的应用及技术背景 |
| 2.1.1 深度报文检测的应用背景 |
| 2.1.2 深度报文检测的方法 |
| 2.2 正则表达式匹配的技术原理 |
| 2.3 目标及挑战 |
| 2.4 软件解决方案 |
| 2.4.1 状态爆炸成因分析 |
| 2.4.2 自动机压缩 |
| 2.4.3 可扩展自动机 |
| 2.5 硬件解决方案 |
| 2.5.1 FPGA |
| 2.5.2 GPU |
| 2.5.3 通用多核处理器 |
| 2.5.4 TCAM |
| 2.6 构建高效DPI系统的建议 |
| 2.6.1 构建高效自动机 |
| 2.6.2 充分利用并行的硬件平台 |
| 2.7 本章小结 |
| 第三章 基于Hybrid-FA的新型混合匹配体系结构 |
| 3.1 Hybrid-FA介绍 |
| 3.1.1 Hybrid-FA的编译算法 |
| 3.1.2 Hybrid-FA的匹配算法 |
| 3.2 Hybrid-FA面临的挑战 |
| 3.3 FPGA+ Multi-core的混合匹配体系结构 |
| 3.3.1 混合匹配体系结构 |
| 3.3.2 硬件引擎设计及优化 |
| 3.3.3 软件引擎设计 |
| 3.4 流水线性能分析 |
| 3.5 实验结果与分析 |
| 3.5.1 DFA状态的访问分布 |
| 3.5.2 硬件引擎部分的性能估算 |
| 3.5.3 混合匹配架构整体匹配性能 |
| 3.6 本章小结 |
| 第四章 正则表达式的高效分组算法 |
| 4.1 引言 |
| 4.2 规则分组问题的归纳 |
| 4.3 图的最大k割算法讨论 |
| 4.3.1 模拟退火算法 |
| 4.3.2 遗传算法 |
| 4.4 一步贪婪的启发式算法 |
| 4.5 高效的初始化优化算法 |
| 4.6 实验结果与分析 |
| 4.7 本章小结 |
| 第五章 带闭包或重复限定的大字符集特征的统一处理方法 |
| 5.1 引言 |
| 5.2 相关工作 |
| 5.3 Offset-FA:一种解决状态爆炸的高效可扩展自动机 |
| 5.3.1 Offset-FA的主要思想 |
| 5.3.2 Offset-FA的形式化描述 |
| 5.4 Offset-FA的生成算法 |
| 5.5 Offset-FA的匹配算法 |
| 5.6 Offset-FA优化 |
| 5.6.1 Offset-FA的编译优化 |
| 5.6.2 Offset-FA的匹配过程优化 |
| 5.6.3 Offset-FA的实现细节 |
| 5.7 实验结果与分析 |
| 5.7.1 实验设置 |
| 5.7.2 与当前解决方案的对比 |
| 5.8 本章小结 |
| 第六章 结论与展望 |
| 6.1 论文工作总结 |
| 6.2 课题研究展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(10)针对Snort的拒绝服务攻击的实现与检测(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 绪论 |
| 1.1 入侵检测系统的出现与发展情况 |
| 1.2 Snort入侵检测系统 |
| 1.3 研究现状 |
| 1.4 论文结构与主要研究内容 |
| 第2章 Snort入侵检测系统 |
| 2.1 入侵检测系统的分类 |
| 2.2 Snort入侵检测系统的介绍 |
| 2.2.1 Snort入侵检测系统的体系结构 |
| 2.2.2 Snort的主要流程 |
| 2.2.3 Snort的规则构建 |
| 2.2.4 ubuntu下Snort入侵检测系统的安装与配置 |
| 2.3 本章小结 |
| 第3章 算法复杂度攻击与拒绝服务攻击 |
| 3.1 算法复杂度攻击 |
| 3.1.1 基于缓存未命中的算法复杂度攻击 |
| 3.1.2 基于回溯的算法复杂度攻击的提出与影响 |
| 3.2 拒绝服务攻击 |
| 3.3 本章小结 |
| 第4章 算法复杂度攻击与拒绝服务攻击的实现与检测 |
| 4.1 算法复杂度攻击的测试与结论 |
| 4.2 拒绝服务攻击的检测 |
| 4.3 本章小结 |
| 第5章 拒绝服务攻击下的VLDC模式匹配算法的设计与实现 |
| 5.1 Snort入侵检测系统的多模式匹配 |
| 5.2 Snort的多模式匹配算法的介绍与性能分析 |
| 5.2.1 Aho-Corasick算法介绍 |
| 5.2.2 SFKSearch算法介绍 |
| 5.3 VLDC算法的介绍与性能分析 |
| 5.3.1 VLDC算法的介绍 |
| 5.3.2 VLDC算法核心内容 |
| 5.4 VLDC算法与经典AC算法的比较 |
| 5.4.1 Snort中主要的数据结构 |
| 5.4.2 VLDC算法与经典AC算法验证性实验 |
| 5.5 VLDC算法在Snort中面对混合攻击的实验结果 |
| 5.6 本章小结 |
| 第6章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 参考文献 |
| 作者简介及在学期间取得的科研成果 |
| 致谢 |
四、模式匹配技术在Snort中的应用和改进(论文参考文献)
- [1]基于Snort的工业控制系统入侵检测技术研究与实现[D]. 孙凯. 西安电子科技大学, 2020(05)
- [2]基于Snort的多模式匹配算法研究及改进[D]. 胡洋. 西安电子科技大学, 2020(05)
- [3]基于IPv6入侵检测系统若干关键技术研究[D]. 吴有琴. 南京师范大学, 2020(03)
- [4]基于经典聚类算法和关联算法的入侵检测系统研究[D]. 李恩燕. 重庆邮电大学, 2020(02)
- [5]基于模拟退火算法的正则表达式分组研究[D]. 毛志强. 深圳大学, 2019(09)
- [6]基于SDN的防御DDoS混合攻击系统的设计与实现[D]. 胡凡. 华南理工大学, 2019(01)
- [7]基于智能网关的网络防御技术研究[D]. 蔡晶晶. 武汉邮电科学研究院, 2019(12)
- [8]面向Web防护的Snort预处理器与规则匹配优化研究[D]. 陈锦蓉. 长沙理工大学, 2018(07)
- [9]深度报文检测中的正则表达式匹配技术研究[D]. 徐成成. 国防科技大学, 2018(02)
- [10]针对Snort的拒绝服务攻击的实现与检测[D]. 黄孝楠. 吉林大学, 2018(01)