一、一种基于Snort规则的NIDS测试程序设计(论文文献综述)
张阳[1](2018)在《工业控制系统入侵检测技术研究》文中提出工业控制系统(ICS)作为国家关键基础设施(如发电厂、污水处理系统)的重要组成部分,保证其安全运行具有重大意义。随着计算机技术的飞速发展和“互联网+”、“工业4.0”等思想的普及,原本处于隔离状态下的工控系统开始更多地接入到复杂的外部网络环境中,攻击事件愈演愈烈。对工控系统信息安全问题的研究变得越来越重要,入侵检测技术是其中一个重要研究方向。根据数据来源的不同,工控系统的入侵检测技术主要分为两种:基于网络流量的入侵检测方法和基于系统过程参数的入侵检测方法。在前者的研究中,存在对Modbus串行通信安全性研究不足的问题;而在后者的研究中,由于工控系统要求高实时性,一些采用了机器学习方法的检测算法存在检测效率不够高的问题。本文在前人研究的基础上,就基于网络流量的入侵检测和基于系统过程参数的入侵检测两个方面展开了进一步研究。本文的主要贡献与两个创新点包括:1.将Modbus串行链路上的典型异常行为总结归纳为六个类别:非法协议消息、侦察攻击、潜在的拒绝服务、拒绝服务攻击、响应注入攻击和命令注入攻击,并进一步列举了细化的共计19种异常行为及其可检测特征。然后针对异常行为提出了用于Snort的检测规则模型,并给出了测试结果。2.提出一种计算合适的最近邻数量k值方法,以避免人为错误以及处理效率低的问题。在基于过程参数聚类的工控入侵检测方法中,其评分技术中的最近邻数量k值是通过经验设定的,而本文通过建立数学模型,将此问题转化为求跳跃点的过程,从而计算出更为合适的k值。改进方法使得对正常数据的评分值和异常数据的评分值有更好的区分,正常数据的评分值集中于评分值较小的区间,而异常数据的评分值处于分值较大的区间。也使得划分的微簇半径尽可能大,从而减少了检测规则的数量,提高了检测的实时性。3.提出一种通过重新调整微簇而减少微簇数量的方法,以达到减少检测规则数量的目的,在保障检测准确性的同时,提高检测效率。原有方法采用固定宽度聚类技术来划分微簇并提取检测规则,在选择宽度参数w(即微簇的宽度)的过程中采用的是经验值,可能导致因为宽度选择过小而得到较多的检测规则,需要更长检测时间的问题,与工控系统有限的硬件资源以及高实时性要求的特性相悖。本文对此过程进行了改进,并通过仿真实验验证了改进方法的优越性。
杜巍[2](2017)在《分布式入侵检测系统关键技术的研究和实现》文中研究表明随着互联网上升到国家战略层面,网络及计算机技术得到了飞速发展,互联网已经全面触及到生活和工作的方方面面,信息安全面临着前所未有的威胁。因为基于互联网的应用和数据大都采用分布式部署在不同网络和地区,它们面临的入侵攻击更分布且更复杂。在这样的背景环境下,对入侵检测以及分布式入侵检测提出了更高的要求。本文主要对入侵检测和分布式入侵检测系统中的关键技术进行分析,并对无法适应目前入侵检测要求的方面进行了改进。最后基于本文的分析研究以及进行的改进工作,设计并实现了一个分布式入侵检测系统。分析研究工作的主要包括:(1)对分布式入侵检测系统以及其各类系统结构进行分析,为后面分布式入侵检测系统的结构设计方案提供了参考基础。(2)对分布式入侵检测中的两个关键内容进行了分析:基于BEEP的通信协议和信息交换格式IDMEF。针对BEEP协议的分析,为本文设计并实现分布式入侵检测系统中的BEEP通信组件提供技术支持。同时基于对IDMEF的分析,提出其不足之处,是本文对其进行了改进和创新工作的基础。(3)本文深入分析了误用入侵检测中常用的多模式匹配算法,并通过实验对比各种算法的性能,为将来提高入侵检测性能提供了理论和实验基础。在改进和创新方面:(1)基于对IDMEF的分析,本文对IDMEF提出了它的不足,并对此进行了改进,设计了新的IDMEF格式版本IDMEFNew。针对目前互联网应用中数据交互的新要求和发展趋势,提出并设计了JSON取代XML的方案。(2)同时为了应对大量数据的传输,并为将来与大数据平台Hadoop进行数据交换上的对接,让系统能借助大数据技术进行入侵检测分析。本文设计并实现了基于Avro的IDMEFNew编码组件。本文基于之前的分析和实验工作,设计并实现了一个分布式入侵检测系统。该系统入侵检测部分采用误用入侵检测的开源软件Snort实现。在系统结构方面借助基于Agent的分布式思想,将入侵检测部件独立,并增加了独立运行的节点管理器。该系统的通信交换协议采用了BEEP协议来实现,并在数据交换格式部分,采用了本文对IDMEF的改进并设计实现的Avro IDMEFNew编码组件。
朱葛[3](2016)在《异构环境下的网络业务加速研究与实现》文中认为随着科学计算、大数据分析、计算机视觉等领域的高速发展,对计算机性能需求也随之高速增长。而近几年来,计算机CPU性能的增长速度放缓,半导体工艺的提升遇到了瓶颈,功耗也越来越高。为了适应这些领域日益增长的对计算机计算能力的需求,使用异构处理器加速计算的研究日趋活跃。GPU的生产厂商也在不断探索和优化GPU机构,使GPU可以更有效的进行通用计算。相关的软件开发框架、工具也在不断完善。本文以异构环境下网络业务加速为研究课题,重点研究了异构环境的内存与任务调度模型、多模式字符串匹配算法的速度优化方法等。设计实现了一套网络入侵检测系统的实验平台,并提出和实现了两种多模式字符串匹配算法在异构环境下的优化算法。主要研究内容分为四部分:1)研究了Open CL框架的技术细节,调研了前沿的异构处理器的架构,研究了目前异构环境的内存模型与任务调度模型,对比了其与传统同构环境的不同。并了解和展望了异构编程的发展方向。选取了三种不同的异构处理器,包括AMD的A10 5800K APU、Freescale IMX6嵌入式芯片、Intel I7-3770k。对比了这三种不同的异构处理器的特点,测试了相关的性能指标。2)以网络入侵检测系统作为网络业务加速研究的具体应用,研究了开源网络入侵检测系统Snort的设计与实现3)了解多模式字符串匹配算法的原理。调研了已有的对多模式字符串匹配算法在异构环境下的优化方法,并在此基础上,提出了两种进一步的改进算法。4)设计并实现了一套网络入侵检测系统的实验平台,实现了经过优化的多模式字符串匹配算法并进行了测试。实验表明,在异构环境下,经过改进后的多模式字符串匹配算法的匹配速度有了明显提升,可以有效降低目前网络入侵检测系统的硬件成本与功耗。
赵艳华[4](2016)在《基于snort的检测方法研究与分析》文中进行了进一步梳理随着互联网(Internet)的高速发展,网络上的黑客攻击也愈发地猖狂,这使得网络的安全形势越来越严峻,据相关数据显示,全球几乎每隔几十秒就会发生一起黑客事件,全球范围内因黑客攻击造成了重大的经济损失。因此,全世界都特别地重视网络信息安全。目前,确保网络安全的技术主要是:防火墙技术、安全路由器技术以及入侵检测系统(IDS)。而现在信息安全体系结构中不可或缺的部分就是网络入侵检测系统。snort是一个典型的网络入侵检测系统。由于目前许多商用入侵检测系统,都是研究snort的若干设计原理和实现特点,并将这些研究作为开发的基石,所以对snort的研究具有很强的学术和商业价值。本文以snort系统为研究对象,阐述入侵检测系统的基本架构。snort的有效性对于提高入侵检测的检测率、降低入侵检测的误报率、提高入侵检测的实时性有着重要影响。根据snort规则的特征构造攻击数据包,并利用snort对其有效性进行验证是本文研究的重点。本文首先阐述了当前国内外IDS测评的研究现状,然后总结了选择基于snort规则作为构造攻击数据包的数据来源的优点,重点阐述了基于snort规则生成攻击数据包的设计思路与实现方法,并给出了详细的设计方案。最后,设计并实现了用scapy工具构建基于snort规则的数据包,完成了对生成数据的测试和IDS有效性的检测。
曹冰[5](2013)在《基于Tile64多核网络入侵检测系统的研究与设计》文中指出网络全光化进程的加速以及网络技术的演进,扩展了传统数据业务以外的多业务模式。这些业务对网络数据访问的需求量以每年成倍的速度在增涨,随之而来的网络安全工作成为了前所未有的挑战。高速网络环境下进行网络入侵检测工作,在网络安全领域也就越来越受到关注。由于以往提出的线速处理和易管理需求已经使得传统的网络设备不堪重荷,因此新型网络设备更需要具备高性能的处理能力,以满足多业务对数据承载能力的高需求。目前,基于多内核和并行处理结构的多核处理器,在采用了多个低频的简单处理组件后已经能够在处理性能和功耗上得以提升和改善,从而在中高端网络应用中逐渐成为一种发展趋势。通用网络入侵检测系统在高速网络环境下,性能瓶颈主要在于网络数据包的完整捕获和入侵检测数据正确分析。本文首先呈现了在多核Tile64平台上网络数据接收核并行处理的体系架构,分析在高吞吐量10Gbps的网络应用中获取高捕获率的关键点。结合这种网络数据处理模型,将通用网络数据捕获库Libpcap实现并行化,以支持多核上的网络应用。为了应对网络数据复杂多变的数据处理负载均衡问题,并行化捕获库提供分发策略配置接口,根据不同的网络状态设计对应的分发策略。最后使用多线程的编程方法,在多核处理器Tile64平台上,采用管道分解和协议流分发技术实现了并行化Snort网络入侵检测系统。该系统具有很强的可扩展性,整体性能能够随着分配核数的增加而线性提升。
宋军[6](2012)在《基于MCF52234的网络入侵检测模式匹配系统设计与实现》文中进行了进一步梳理网络入侵检测系统(NIDS)作为提高网络系统安全性的重要技术之一,能够捕获、分析网络流量,发现可疑的入侵行为并实时响应。模式匹配算法通过在数据包中查找攻击特征来识别攻击,是基于特征的NIDS的核心技术。直接采用在硬件平台上实现先进的软件算法是现代入侵检测技术发展的一条主要途径。本设计采用Freescale公司的MCF52234为平台,利用其ColdFire V2内核上集成的10/100M快速以太网控制器和Flash存储器等模块完成入侵检测中模式匹配系统的设计。传统的以软件方式入侵检测系统的实现,具有耗费资源、对操作系统的依赖程度大、容易被入侵、不易升级等诸多的缺点,而且其不菲的硬件价格和较长的开发周期也提高了系统设计的成本。本文中提出一种基于MCF52234的入侵检测模式匹配系统设计与实现。结合改进的哈希算法,完成了模式匹配的要求,实现了对入侵数据检测的功能。同时,微控制器具有功耗低、体积小、价格低、稳定可靠等特点,实现了系统的通用性系统设计,降低了系统的研发成本和使用成本。本文在基于Freescale公司的MCF52234硬件平台的基础上,设计并实现了入侵检测模式匹配系统。首先,设计开发MCF52234开发板,并完成以太网和UART等接口驱动程序的编写,使硬件平台满足系统设计要求;其次,利用MCF52234的Flash存储器存储snort规则库中的攻击字符串,建立系统规则库,提高了系统对数据的存取速度,而且存储的数据也不易丢失,也方便了规则库的在线更新;最后在MCF52234开发板上实现XOR Hash算法和数据的模式匹配,完成了系统对攻击字符串的检测。本系统处理以太帧数据长度为1520字节,可以检测13个字节以内攻击字符串。随着Flash存储器的扩展,攻击字符串的长度可以增加到16位或更多。系统采用哈希表方式进行匹配,13个字节的匹配速度为20.8μs,具有较快的匹配速度。系统具有低功耗、可靠性高、体积小,可移植性强等特点,具有广泛的应用前景。
陈江斌[7](2012)在《Snort入侵检测系统的研究和改进》文中研究说明针对日趋严重的网络安全问题,出现了越来越多的网络安全防护手段。入侵检测系统就是众多核心防护手段当中的一种。网络入侵检测系统(NIDS)是一种主动防范的安全技术,能够对网络传输进行实时监视,并能在发现可疑传输时采取相应的反应措施。随着网络环境的不断提速,网络攻击手段的不断增多,入侵检测系统需要处理的网络数据量急剧膨胀,当超过其处理能力时,入侵检测系统就会有丢包的现象出现。本文就是针对如何提高入侵检测系统的检测效率开展工作。本文以Snort入侵检测系统作为研究对象,通过对Snort系统的分析,得知模式匹配操作是影响入侵检测系统性能的关键,大约占据了Snort入侵检测系统运行时间的50%左右。可见,通过改进模式匹配操作确实能够有效地提高系统的整体性能。因此本文主要就Snort入侵检测系统中的AC多模式匹配算法进行研究,通过对算法的改进来提高算法性能,进而提高系统性能。本文先就串行AC算法改进进行研究,针对AC算法内存消耗大的缺陷,提出两种改进方案对算法进行改进。由于串行AC算法本身已较完善,串行改进虽能提高效率,但是效果并不明显。考虑到模式匹配操作非常适合于单指令多数据的并行处理形式,结合GPU体系结构及其高并行计算能力,选择将串行AC算法并行化,实现基于GPU的并行AC算法。通过利用GPU的高并行处理能力,可以实现同时对多个网络数据包的匹配操作,从而大幅度的提高检测效率。本文后续工作主要就是对Snort系统进行改进,使之能够适应并行AC算法。通过设计实验进行测试,发现并行AC算法相对于原AC算法来说,性能确实有较大提升:字符匹配能力从155MB/s提升至2.3GB/s,计算时间所占比例由60%缩小到了10%。结合Snort系统,改进后的系统较原系统对网络数据包的处理速度提升了近一倍。可见,并行化改进确实提高了系统的性能。
王岱松[8](2012)在《基于多核的IDS测试工具基本框架的设计与实现》文中提出随着互联网的发展,网络攻击和入侵日益严重,IDS成为网络防护重要手段之一。市场上出现了众多的入侵检测系统产品,不同厂商IDS设备的报警日志格式各异。因此,本文提出了一种具有高效在线检测、自动添加攻击规则数据、报警日志自动分析等功能的IDS测试工具的基本框架。本文阐述了国际上一些着名的实验室和研究机构的测试方法和理论,并对目前出现的IDS测试工具进行分析和研究。借鉴国家标准GBT20275-2006和NSS测试方法,给出了一种基于Tilera多核处理器系统和Sourcefire VRT开发和维护的snort IDS规则新描述方法的IDS测试工具的基本框架,该框架包括了上位机控制分析程序和多核IDS测试设备程序。上位机控制分析程序由上下位机命令交互模块和IDS报警日志分析模块组成;多核IDS测试设备程序由控制命令处理模块、规则信息处理模块、测试数据包生成模块和模拟攻击模块组成。本文设计的基于多核的IDS测试工具基本框架,实现了对IDS漏报规则的检测,完成对不同厂商IDS漏报率性能测试。
胡明科[9](2011)在《未知木马检测技术研究》文中研究表明本文定义的未知木马是一种侵入主机而用户并没有发现的木马,目前对已知的木马有很好的方法去防御,而对未知木马的检测仍然是网络安全面临的主要任务,未知木马程序通过修改杀毒软件制定的特征码或者修改网络通信规则,很容易达到绕过杀毒软件或者防火墙的目的,从而对用户的个人信息造成极大的威胁。本文在分析、总结国内外现有木马检测技术基础上,对未知木马的行为特征进行了研究,采用经改进的分类算法,正确区分未知木马和正常程序,取得了较好的检测效果。本文主要工作如下:(1)提出了一种新的检测未知木马的算法。该算法结合了粗糙集和朴素贝叶斯分类理论,综合考虑已知木马的行为属性,利用粗糙集属性约减方法提取能有效区别木马和正常程序的行为属性,并结合改进的加权贝叶斯分类算法对未知木马和正常程序进行分类。实验表明,与单独使用朴素贝叶斯的算法相比,该算法可以有效提高检测未知木马的准确率,降低检测的误报率和漏报率。(2)为更好地完成未知木马和正常程序的分类,本文提出了一种基于改进的模式搜索法的SVM参数寻优方法,该方法针对模式搜索法初始点确定带有随意性的问题,采用粗网格搜索得到多个基本点,并对多个基本点划分区间,同时采用二次插值技术,确定初始点。实验表明,和单纯使用模式搜索方法相比,该方法可以稳定的得到较高的正确率。(3)最后,根据检测结果,制定了相应的Snort规则,构建了基于Snort的未知木马监测系统,该系统能正确检测到未知木马的后续攻击,从而达到防御的目的。
许宪成[10](2010)在《基于网络处理器的入侵检测系统设计与性能优化研究》文中进行了进一步梳理目前入侵检测仍然是极富挑战性的工作。由于复杂性和分析困难,网络入侵检测系统一般运行在PC或通用工作站上。不幸的是,因为在高带宽的网络流量下有限的分析能力,传统通用系统已被证实不适于作为高速网络入侵检测系统的运行平台。人们试图通过在网络接口上过滤不感兴趣的数据包,来提高网络入侵检测系统的性能。好在网络体系结构及其构成要素已经有了质的飞跃,这使得具体实施网络处理的位置也随之变化。现在可以把一个复杂的网络处理“化整为零”分布于整个数据包通行路径。作为网络通信节点的现代主机系统或服务器体系结构充分利用了多核CPU的处理优势,而且网络处理器(NP)和FPGA也被有机地集成到网络接口卡上,形成新的称之为智能网络接口卡(iNIC)的计算资源。这就为将入侵检测功能从主机卸载到智能网卡提供了机会。目前网络处理器板卡(NPNIC)的智能程度及性价比越来越好,附带这种增强计算能力的智能NP板卡的主机系统完全可以将以往通常由边缘路由器担负的大量处理任务卸载到主机本身。这种多核与虚拟化等新技术的出现迫使人们必须重新思考如何完成传统的网络处理任务。本文从入侵检测在网络中的部署位置角度分析现有集中式系统的不足,结合主机智能板卡上网络处理器多核多线程并行处理特点,提出利用可提供额外处理能力的NP智能网卡接口实现分布式入侵检测系统(iNIC NIDS), iNIC NIDS集分布式系统和NP二者优势于一身、具有可靠性高、可扩展性好及吞吐量高的优点,特别适用于复杂高速网络的分布式入侵检测。我们给出了其部署方案,并以智能板卡的可编程网络处理器为平台,实现了方案的状态检测原型系统SCUT NP-NIDS。论文的主要工作包括:1、提出了一种基于节点主机NP智能板卡的分布式入侵检测系统设计方案。方案集分布式系统与网络处理器优势于一身。具有对数据流更细粒度的检测、只对各自收到的数据流实施本地私有安全策略、可以定制安全策略,可扩展性好及抗毁性好、方便攻击的证据收集与固定等优点。我们给出了总体方案,提出了分离系统策略控制接口与数据接口的设计理念,对安全策略实施和主机的网络处理器网络接口、用户界面及系统各模块间通信进行了的详细描述与分析,并通过原型系统实现验证了方案可行性。2、实现了优化的状态网络入侵检测系统原型。状态入侵检测系统性能主要取决于会话表的处理速度和规则匹配算法的效率。我们从设计到实现对TCP会话重组模块进行了多项优化和改进:采用二叉排序树Hash表方式组织会话表快速而高效,精心设计的会话表项结构在维护会话状态的同时避免了多余的访存操作;将会话表分割后分配至不同的存储通道,提高了访问速度;改进的关键字的查找算法使得查找效率提升一倍;创造性地提出具有Cache功能的会话节点回收与分配算法,使得分配回收效率提高了16倍;创新性地提出了多队列超时算法,算法仅与会话节点数线性相关,效率高且易于实现,避免了低效的会话树遍历操作。原型系统会话重组模块的构建实现了数据包间的关联处理,满足了当今在线深度内容检测的要求。实际测试表明,精心设计的数据结构和算法及系列优化措施大幅提升了系统性能。3、提出两种接口设计方法并以此完善了原型系统的用户界面与用户-内核接口。一方面利用IOCTL机制,实现了NP智能板卡的用户-内核接口所需的虚拟设备及其操作函数,解决了棘手的异构处理器不同地址空间的地址转换与访问问题。方便了规则库升级,提高了系统的灵活配置适应能力。另一方面,巧妙借用开源路由软件Zebra实现了原型系统的CLI命令行接口实现了所提方案的控制接口,既可对系统进行本地调试和维护,又方便网络管理员对原型系统远程实施管理策略。4、提出并实现了原型系统主机的智能网络处理器网络接口。提出以此接口可作为所提方案的主机与板卡间数据接口实现入侵检测应用的卸载,实现了主机的网络处理器板卡驱动所需的各操作函数。现有主机顶层应用无需任何改变即可通过该接口与底层硬件网络处理单元进行交互,使得复杂检测任务的处理可在主机CPU和板卡NP间合理配置,也极大地方便系统增加新颖网络应用服务。5、提出入侵检测应用卸载概念并引入评价模型、搭建了原型系统的实验平台。我们提出了入侵检测应用卸载到网络处理器智能板卡的概念,并尝试借助LAWS模型对各种条件下应用卸载的性能提升提供理论依据并进行实验验证。所构建的实验平台包括测试基准和测试用例及网络分析仪套件。我们全面考察了不同协议背景不同访问方式下智能NP网络接口相较普通网络接口的性能表现;从多种角度评估了会话重组状态检测模块的有效性;对入侵检测应用在通信路径上不同位置不同处理层次网络接口的实现情况进行了详实的性能分析与对比。实验结果表明,将入侵检测应用放置在距离网络链路更近的网络处理器,可使系统在减少约30倍时延同时,通过提前阻止非法流提升合法流约30倍的带宽。一系列的测试验证了分布式环境下基于网络处理器智能板卡的入侵检测系统(iNIC NIDS)的有效性和可行性。
二、一种基于Snort规则的NIDS测试程序设计(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、一种基于Snort规则的NIDS测试程序设计(论文提纲范文)
(1)工业控制系统入侵检测技术研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统信息安全研究现状 |
| 1.2.2 面向工业控制系统的入侵检测技术的研究现状 |
| 1.3 论文的主要贡献与创新 |
| 1.4 论文的结构安排 |
| 第二章 工业控制系统入侵检测基础问题分析 |
| 2.1 工业控制系统 |
| 2.1.1 系统结构及组成 |
| 2.1.2 通信协议 |
| 2.1.3 脆弱性及入侵分析 |
| 2.1.4 与传统IT系统的区别 |
| 2.2 基于不同数据来源的入侵检测技术分类 |
| 2.2.1 基于网络的IDS |
| 2.2.2 基于应用的IDS |
| 2.3 基于不同建模方法的入侵检测技术分类 |
| 2.3.1 基于签名的IDS |
| 2.3.2 基于异常的IDS |
| 2.4 工业控制系统与传统IT系统入侵检测技术的区别 |
| 2.5 本章小结 |
| 第三章 基于Modbus串行链路的入侵检测 |
| 3.1 Modbus协议特性及脆弱性分析 |
| 3.1.1 Modbus串行链路协议特性 |
| 3.1.2 Modbus协议脆弱性分析 |
| 3.2 基于Modbus通讯协议的入侵检测方法 |
| 3.3 Modbus串行链路通讯协议典型异常行为分类 |
| 3.4 基于Snort的异常行为检测方法 |
| 3.4.1 检测方法 |
| 3.4.2 检测规则模型 |
| 3.5 测试与分析 |
| 3.5.1 测试环境 |
| 3.5.2 测试结果 |
| 3.6 本章小结 |
| 第四章 基于工控系统应用数据的入侵检测 |
| 4.1 聚类分析 |
| 4.1.1 聚类分析定义 |
| 4.1.2 现有的经典聚类算法 |
| 4.2 基于系统应用数据的入侵检测方法 |
| 4.3 基于过程参数聚类的工控系统入侵检测方法理论研究 |
| 4.4 对基于过程参数聚类的工控系统入侵检测方法的改进 |
| 4.4.1 一种计算最佳最近邻数量k的方法 |
| 4.4.2 重新调整微簇 |
| 4.5 测试与分析 |
| 4.5.1 实验结果评估标准 |
| 4.5.2 数据集 |
| 4.5.3 实验方法 |
| 4.5.4 仿真实验结果及分析 |
| 4.6 本章小结 |
| 第五章 总结与展望 |
| 5.1 总结 |
| 5.2 展望 |
| 致谢 |
| 参考文献 |
(2)分布式入侵检测系统关键技术的研究和实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测中的研究现状 |
| 1.2.2 分布式入侵检测系统的研究现状 |
| 1.3 主要工作和研究内容 |
| 1.4 结构安排 |
| 第二章 分布式入侵检测关键技术的分析 |
| 2.1 入侵检测概述 |
| 2.2 入侵检测方法 |
| 2.2.1 误用入侵检测与异常入侵检测 |
| 2.2.2 误用入侵检测开源软件Snort简介 |
| 2.3 分布式入侵检测 |
| 2.3.1 系统结构 |
| 2.3.2 几种系统结构分析 |
| 2.4 分布式入侵检测系统之间的通信交换协议BEEP |
| 2.4.1 概述 |
| 2.4.2 基于BEEP的通信交换协议 |
| 2.4.3 BEEP协议的结构 |
| 2.4.4 BEEP协议的通信模式 |
| 2.4.5 BEEP协议与TCP之间的关系 |
| 2.4.6 BEEP协议在分布式入侵检测系统中的应用 |
| 2.5 本章小结 |
| 第三章 入侵检测中的模式匹配算法与分析 |
| 3.1 入侵检测中的模式匹配算法 |
| 3.2 单模式匹配算法概述 |
| 3.2.1 KMP算法概述 |
| 3.2.2 Boyer-Moore(BM)算法 |
| 3.3 多模式匹配算法 |
| 3.3.1 Wu-Manber算法 |
| 3.3.2 SFKSearch算法 |
| 3.3.3 Aho-Corasick算法 |
| 3.3.4 Hyperscan正则匹配引擎 |
| 3.4 实验比较多模式匹配算法WM,SFKSearch,AC和Hyperscan |
| 3.5 本章小结 |
| 第四章 分布式入侵检测信息交换格式IDMEF及其改进 |
| 4.1 分布式入侵检测的数据交换格式IDMEF |
| 4.1.1 IDMEF介绍 |
| 4.1.2 IDMEF中的数据定义 |
| 4.2 IDMEF的不足 |
| 4.3 Avro.IDMEFNew对IDMEF中的改进 |
| 4.3.1 对IDMEF的数据结构进行修改 |
| 4.3.2 用JSON取代XML DTD和XML |
| 4.3.3 基于数据交换协议Apache.Avro的实现 |
| 4.3.4 定义和解析适用于Avro的IDMEFNew Schema |
| 4.3.5 基于Avro的IDMEFNew编码和解码功能的实现 |
| 4.3.6 IDMEFNew标准化库的实现 |
| 4.4 本章小结 |
| 第五章 分布式入侵检测系统的设计与实现 |
| 5.1 分布式入侵检测系统的设计方案 |
| 5.1.1 功能需求 |
| 5.1.2 系统结构 |
| 5.1.3 模块及功能详述 |
| 5.1.4 开发平台及组件 |
| 5.2 BEEP通信组件的设计和实现 |
| 5.2.1 Vortex BEEP库介绍 |
| 5.2.2 BEEP通信组件的设计和实现 |
| 5.3 检测节点的实现 |
| 5.3.1 检测节点的结构与功能 |
| 5.3.2 基于Snort构建入侵检测部件 |
| 5.3.3 节点管理器与Snort之间的IPC模块的实现 |
| 5.3.4 节点管理器核心功能的实现 |
| 5.4 管理中心的实现 |
| 5.4.1 管理中心的结构与功能 |
| 5.4.2 数据库的设计 |
| 5.4.3 管理中心核心业务的实现 |
| 5.5 控制台的实现 |
| 5.6 系统测试运行及示例演示 |
| 5.6.1 系统测试运行环境 |
| 5.6.2 Snort的部署 |
| 5.6.3 示例演示 |
| 5.7 该系统未来与运维系统的整合 |
| 5.7.1 运维系统的介绍 |
| 5.7.2 未来与运维系统中的整合 |
| 5.8 本章小结 |
| 第六章 结论 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(3)异构环境下的网络业务加速研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究现状与趋势 |
| 1.3 主要工作 |
| 1.4 内容安排 |
| 第二章 OPENCL框架与异构处理器 |
| 2.1 OpenCL框架与技术细节 |
| 2.1.1 OpenCL平台模型 |
| 2.1.2 OpenCL内存模型 |
| 2.1.3 调度单元 |
| 2.1.4 合并访存 |
| 2.1.5 零拷贝机制 |
| 2.2 异构处理器 |
| 2.2.1 各平台简介 |
| 2.2.2 硬件参数 |
| 2.2.3 OpenCL设备参数 |
| 2.3 本章小结 |
| 第三章 网络业务中的网络入侵检测系统简介与性能瓶颈分析 |
| 3.1 Snort |
| 3.1.1 Snort的工作流程 |
| 3.1.2 耗时热点 |
| 3.1.3 Snort存在的问题 |
| 3.2 提高Snort抓包性能 |
| 3.2.1 Libpcap |
| 3.2.2 PF_RING |
| 3.2.3 Pktgen(Linux自带) |
| 3.2.4 Click |
| 3.2.5 DPDK |
| 3.2.6 NETMAP |
| 3.2.7 各种发/抓包工具的对比 |
| 3.3 三大平台的GPU性能测试及分析 |
| 3.3.1 AMD SDK benchmark测试 |
| 3.3.2 综合测试 |
| 3.3.3 SHOC测试 |
| 3.3.4 Ivy Bridge平台分析 |
| 3.4 本章小结 |
| 第四章 网络业务中的关键算法在异构环境中的优化 |
| 4.1 AC算法 |
| 4.2 AC算法在CPU上的并行化 |
| 4.3 AC算法在异构环境中的并行化 |
| 4.3.1 PFAC算法 |
| 4.3.2 Kargus入侵检测系统 |
| 4.4 异构处理器内存管理优化 |
| 4.4.1 优化方案 |
| 4.4.2 优化效果 |
| 4.5 SPFAC算法 |
| 4.5.1 SPFAC算法设计 |
| 4.5.2 SPFAC实现 |
| 4.6 AC算法在异构环境中的优化一 |
| 4.6.1 优化方法 |
| 4.6.2 优化效果 |
| 4.7 AC算法在异构环境中的优化二 |
| 4.7.1 优化方法 |
| 4.7.2 优化效果 |
| 4.8 本章小结 |
| 第五章 网络业务加速实验平台的架构设计与性能测试 |
| 5.1 线程 |
| 5.1.1 抓包线程(主线程) |
| 5.1.2 CPU包处理线程 |
| 5.1.3 GPU包处理线程 |
| 5.2 原子锁队列 |
| 5.3 OpenCL的Event Callback机制 |
| 5.4 以GPU为中心的(CPU+GPU)并行模型 |
| 5.4.1 性能测试及分析 |
| 5.4.2 检测模块性能测试及分析 |
| 5.4.3 综合测试 |
| 5.5 对比测试 |
| 5.6 实际应用中的优化 |
| 5.7 本章小结 |
| 第六章 全文总结与展望 |
| 6.1 全文总结 |
| 6.2 后续工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(4)基于snort的检测方法研究与分析(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 选题背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外的评测现状 |
| 1.2.2 国内研究现状 |
| 1.3 论文主要内容和结构安排 |
| 第2章 入侵检测系统 |
| 2.1 入侵检测系统的相关介绍 |
| 2.1.1 入侵检测系统的定义 |
| 2.1.2 入侵检测系统的研究现状 |
| 2.1.3 入侵检测系统的工作原理 |
| 2.1.4 入侵检测技术分类 |
| 2.2 IDS测评概述 |
| 2.2.1 IDS测评的标准 |
| 2.2.2 IDS测评的性能指标 |
| 2.2.3 IDS测评的步骤 |
| 2.2.4 IDS测评的数据生成方法 |
| 2.3 本章小结 |
| 第3章 攻击数据包生成的机制 |
| 3.1 snort概述 |
| 3.2 snort规则分析 |
| 3.2.1 snort规则头 |
| 3.2.2 snort规则选项 |
| 3.3 scapy安装与相关功能的介绍 |
| 3.3.1 scapy安装 |
| 3.3.2 scapy相关功能的介绍 |
| 3.4 选择snort规则作为构造数据包的数据来源的优点 |
| 3.5 TCP/IP协议 |
| 3.5.1 网络协议参考模型 |
| 3.5.2 底层核心协议 |
| 3.5.3 应用层核心协议 |
| 3.6 wireshark的使用 |
| 3.6.1 wireshark简史 |
| 3.6.2 wireshark抓包过程 |
| 3.7 本章小结 |
| 第4章 IDS测试数据生成过程 |
| 4.1 开发环境 |
| 4.2 构建常用发包函数 |
| 4.3 搭建实验环境 |
| 4.4 数据包设计过程 |
| 4.5 设计的具体流程 |
| 4.5.1 针对snort规则库的规则构造数据包 |
| 4.5.2 根据自定义规则构造数据包 |
| 4.6 实验结果 |
| 4.7 本章小结 |
| 第5章 结论与展望 |
| 参考文献 |
| 攻读硕士学位期间发表的论文及其它成果 |
| 致谢 |
(5)基于Tile64多核网络入侵检测系统的研究与设计(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题研究背景 |
| 1.2 研究目的和意义 |
| 1.3 论文研究内容和创新点 |
| 1.4 论文的组织结构 |
| 第二章 多核架构上网络入侵检测系统相关综述 |
| 2.1 网络入侵检测系统概述 |
| 2.1.1 网络安全 |
| 2.1.2 网络入侵攻击 |
| 2.1.3 网络入侵检测系统 |
| 2.2 Tile64 多核概述 |
| 2.2.1 Tile64 硬件体系架构 |
| 2.2.2 Tile64 软件体系架构 |
| 2.2.3 Tile64 多核通信技术 |
| 2.3 多核并行编程面临的难题 |
| 2.3.1 串行化问题 |
| 2.3.2 负载平衡问题 |
| 2.3.3 多核编程模型问题 |
| 2.4 多核并行编程技术 |
| 2.4.1 多线程设计模式 |
| 2.4.2 程序并行化设计模式 |
| 2.4.3 程序并行化执行模型 |
| 2.5 多核平台实现网络入侵检测系统的关键问题 |
| 2.5.1 网络数据的零拷贝 |
| 2.5.2 网络数据的分类分发 |
| 2.5.3 网络数据处理的负载均衡 |
| 2.6 本章小结 |
| 第三章 多核架构上网络数据接收驱动分析设计 |
| 3.1 多核上网络数据接收设计框架的分析 |
| 3.1.1 通用多核网络数据接收模型 |
| 3.1.2 Tile64 多核的网络数据接收模型 |
| 3.2 网络数据接收驱动模块分析 |
| 3.2.1 网络数据包的生命周期 |
| 3.2.2 网络接收数据包头大小的选择 |
| 3.2.3 网络数据接收驱动设计 |
| 3.3 网络数据分发机制设计 |
| 3.3.1 数据分发的依据 |
| 3.3.2 数据分发的设计实现 |
| 3.3.3 数据分发的负载均衡 |
| 3.4 网络数据接收驱动并行化设计 |
| 3.4.1 网络数据接收任务分解 |
| 3.4.2 网络数据接收任务核映射 |
| 3.4.3 通信机制的选择 |
| 3.4.4 并行编程设计模式 |
| 3.5 本章小结 |
| 第四章 多核架构上网络应用并行处理的设计 |
| 4.1 数据接收并行化流程设计 |
| 4.2 数据并行接收实现 |
| 4.2.1 自上而下设计 |
| 4.2.2 分发策略设计 |
| 4.2.3 并行接收处理设计 |
| 4.3 数据流并行接收库的实现 |
| 4.3.1 Libpcap 库的简介 |
| 4.3.2 Libpcap 库并行化设计和实现 |
| 4.3.3 Libpcap 并行库使用方法 |
| 4.4 本章小结 |
| 第五章 基于 Tile64 多核的 Snort 并行化设计与实现 |
| 5.1 Snort 系统框架分析 |
| 5.1.1 Snort 系统执行的基本流程 |
| 5.1.2 Snort 系统的插件技术 |
| 5.1.3 Snort 系统的事件机制 |
| 5.1.4 Snort 系统数据处理流程 |
| 5.2 并行入侵检测系统 Snort 架构设计 |
| 5.2.1 基于数据包级别的并行入侵检测系统 |
| 5.2.2 基于数据流分发的并行入侵检测系统 |
| 5.2.3 基于管道分解和协议流分发的并行入侵检测系统 |
| 5.3 并行入侵检测系统 Snort 的实现 |
| 5.3.1 Snort 数据依赖的修改 |
| 5.3.2 Snort 分发策略的设计 |
| 5.4 本章小结 |
| 第六章 系统测试与分析 |
| 6.1 测试标准 |
| 6.1.1 测试数据和性能指标 |
| 6.1.2 测试环境 |
| 6.2 测试方案 |
| 6.2.1 当前网络入侵检测系统的测试 |
| 6.2.2 并行数据接收库 Libpcap 的性能测试 |
| 6.2.3 基于协议流分发策略的功能测试 |
| 6.2.4 并行网络入侵检测系统的性能测试 |
| 6.3 本章小结 |
| 第七章 总结与展望 |
| 致谢 |
| 参考文献 |
(6)基于MCF52234的网络入侵检测模式匹配系统设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 目录 |
| 第1章 绪论 |
| 1.1 课题的研究背景 |
| 1.2 课题的研究现状 |
| 1.2.1 入侵检测系统国内外发展现状 |
| 1.2.2 模式匹配算法的研究现状 |
| 1.3 课题的研究意义 |
| 1.4 论文的组织结构 |
| 第2章 相关知识介绍 |
| 2.1 入侵检测简介 |
| 2.2 入侵检测系统 |
| 2.2.1 入侵检测系统模型及组件 |
| 2.2.2 入侵检测的工作步骤 |
| 2.2.3 入侵检测系统分类 |
| 2.2.4 入侵检测技术未来发展 |
| 2.3. Snort规则 |
| 2.3.1. Snort系统简介 |
| 2.3.2. Snort规则 |
| 2.4 硬件平台 |
| 2.4.1 MCF52234微控制器概述 |
| 2.4.2 基于MCF52234的嵌入式以太网模块 |
| 2.4.4 Flash存储器 |
| 2.4.5 四通道DMA控制器 |
| 2.4.6 基本模块介绍 |
| 2.4.7 CodeWarrior介绍 |
| 2.5 本章小结 |
| 第3章 入侵检测模式匹配系统总体设计 |
| 3.1 系统功能简介 |
| 3.2 系统要求 |
| 3.3 系统层次模型 |
| 3.4 系统总体结构设计 |
| 3.5 本章小结 |
| 第4章 入侵检测模式匹配系统的实现 |
| 4.1 数据预处理 |
| 4.2 入侵检测系统硬件实现 |
| 4.2.1 RS-232C通信电路 |
| 4.2.2 BDM调试电路 |
| 4.2.3 以太网通信电路 |
| 4.2.4 LED显示模块 |
| 4.2.5 开发板实物图 |
| 4.3 系统软件实现 |
| 4.3.1 系统软件初始化 |
| 4.3.2 Flash写入模块 |
| 4.3.3 UART通信的实现 |
| 4.3.4 以太网通信模块 |
| 4.3.5 入侵检测模式匹配的实现 |
| 4.4 本章小结 |
| 第5章 系统调试与结果分析 |
| 5.1 系统功能测试 |
| 5.1.1 系统运行环境 |
| 5.1.2 系统运行结果 |
| 5.2 遇到的问题及解决方法 |
| 5.3 系统结果分析 |
| 5.4 本章小结 |
| 第6章 总结与展望 |
| 6.1 工作总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
(7)Snort入侵检测系统的研究和改进(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 背景介绍 |
| 1.2 现状分析 |
| 1.3 研究意义 |
| 1.4 论文工作 |
| 1.4.1 瓶颈分析 |
| 1.4.2 模式匹配算法 |
| 1.4.3 基于 CUDA 的并行算法 |
| 1.4.4 结果分析 |
| 1.5 文章结构 |
| 第二章 SNORT 系统分析 |
| 2.1 SNORT 系统介绍 |
| 2.2 SNORT 系统结构 |
| 2.3 SNORT 系统代码结构 |
| 2.4 规则解析和匹配 |
| 2.4.1 规则链的建立 |
| 2.4.2 规则语法 |
| 2.4.3 三维链表 |
| 2.4.4 匹配操作 |
| 2.5 性能分析 |
| 2.5.1 Gprof 工具介绍 |
| 2.5.2 辅助工具设计 |
| 2.5.3 系统性能分析结果 |
| 2.6 本章小结 |
| 第三章 模式匹配算法的改进 |
| 3.1 基本 AC 算法 |
| 3.2 串行 AC 算法改进 |
| 3.2.1 改进算法 AC1 |
| 3.2.2 改进算法 AC2 |
| 3.3 其他改进方法分析 |
| 3.4 本章小结 |
| 第四章 并行模式匹配算法 |
| 4.1 CUDA 介绍 |
| 4.2 CUDA 的优势 |
| 4.3 CUDA 与模式匹配技术 |
| 4.4 改进系统结构框架 |
| 4.4.1 传送网络数据包到 GPU |
| 4.4.2 GPU 上的模式匹配操作 |
| 4.4.3 传送匹配结果到 CPU |
| 4.5 并行 AC 算法实现 |
| 4.5.1 数据分解 |
| 4.5.2 存储器选择 |
| 4.5.3 实现方式 |
| 4.5.4 重要数据结构 |
| 4.6 流水线 |
| 4.7 本章小结 |
| 第五章 实验与结果分析 |
| 5.1 测试环境 |
| 5.2 实验与分析 |
| 5.2.1 纯 AC 算法测试与分析 |
| 5.2.2 系统测试 |
| 5.3 归纳分析 |
| 第六章 总结与展望 |
| 6.1 总结 |
| 6.2 展望 |
| 致谢 |
| 参考文献 |
(8)基于多核的IDS测试工具基本框架的设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 课题背景及意义 |
| 1.2 课题来源 |
| 1.3 国内外研究现状 |
| 1.4 论文工作 |
| 1.5 论文结构 |
| 第二章 相关理论综述 |
| 2.1 入侵检测系统及其检测方法 |
| 2.1.1 入侵检测系统工作原理及分类 |
| 2.1.2 入侵检测系统测试标准 |
| 2.1.3 目前已经出现的测试工具介绍及分析 |
| 2.2 基于多核IDS测试工具设计与实现的理论基础 |
| 2.2.1 Tilera多核开发系统介绍 |
| 2.2.2 TCP/IP协议簇理论 |
| 第三章 基于多核的IDS测试工具主体框架设计 |
| 3.1 基于多核的IDS测试工具测试环境介绍 |
| 3.2 基于多核的IDS测试工具整体框架设计 |
| 第四章 多核IDS测试设备程序设计与实现 |
| 4.1 多核IDS测试设备程序主体框架 |
| 4.1.1 Tilera多核系统函数库简述与使用 |
| 4.1.2 多核IDS测试设备程序主体框架实现 |
| 4.2 控制命令处理模块 |
| 4.2.1 控制命令处理模块设计 |
| 4.2.2 控制命令处理模块实现 |
| 4.3 规则信息处理模块 |
| 4.3.1 多核IDS测试工具攻击规则信息设计 |
| 4.3.2 攻击规则信息数据结构实现 |
| 4.3.3 解析子模块的设计 |
| 4.3.4 解析子模块实现 |
| 4.4 测试数据包生成模块 |
| 4.4.1 负载内容处理模块设计 |
| 4.4.2 负载内容处理模块实现 |
| 4.4.3 数据包构造模块设计 |
| 4.4.4 数据包构造模块实现 |
| 4.5 模拟攻击模块 |
| 4.5.1 模拟攻击模块设计 |
| 4.5.2 模拟攻击模块实现 |
| 第五章 上位机控制分析程序设计与实现 |
| 5.1 上位机与下位机命令交互模块 |
| 5.1.1 通信协议设计 |
| 5.1.2 通信协议的实现 |
| 5.1.3 操作命令码与命令结构体设计 |
| 5.1.4 操作命令码与命令结构体实现 |
| 5.2 IDS报警日志信息分析模块 |
| 5.2.1 IDS报警日志信息模块数据获取及部署 |
| 5.2.2 IDS报警日志信息分析模块设计与实现 |
| 第六章 测试分析 |
| 6.1 测试环境 |
| 6.1.1 硬件环境 |
| 6.1.2 IDS测试环境 |
| 6.2 基于多核IDS测试工具功能测试 |
| 6.2.1 多核IDS测试设备程序测试 |
| 6.2.2 IDS报警信息分析模块功能测试 |
| 6.3 对snort入侵检测系统测试分析 |
| 第七章 结束语 |
| 7.1 主要研究成果 |
| 7.2 下一步工作 |
| 致谢 |
| 参考文献 |
(9)未知木马检测技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 检测已知木马 |
| 1.2.2 检测未知木马 |
| 1.3 主要内容和组织结构 |
| 第2章 基于SNORT 木马异常检测平台的构建 |
| 2.1 入侵检测定义 |
| 2.1.1 根据数据源分类 |
| 2.1.2 根据检测方法分类 |
| 2.2 SNORT 介绍 |
| 2.3 基于SNORT 的木马异常检测平台构建 |
| 第3章 基于粗糙集和贝叶斯分类相融合的木马检测 |
| 3.1 引言 |
| 3.2 粗糙集和贝叶斯分类相融合的木马检测方法描述 |
| 3.2.1 算法的基本理论介绍 |
| 3.2.2 基于粗糙集和贝叶斯的木马混合检测 |
| 3.3 理论验证 |
| 3.3.1 属性约减处理 |
| 3.3.2 加权朴素贝叶斯算法分类处理 |
| 3.4 实验 |
| 3.4.1 基于朴素贝叶斯分类器的检测验证试验 |
| 3.4.2 实验结果及分析 |
| 第4章 基于改进的模式搜索法的 SVM 参数寻优 |
| 4.1 引言 |
| 4.2 模式搜索算法介绍 |
| 4.3 改进的模式搜索算法 |
| 4.4 实验及结果分析 |
| 结论 |
| 参考文献 |
| 致谢 |
| 攻读硕士期间发表(含录用)的学术论文 |
(10)基于网络处理器的入侵检测系统设计与性能优化研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究路线 |
| 1.3 研究内容 |
| 1.4 主要工作 |
| 1.5 论文组织 |
| 第二章 相关工作 |
| 2.1 入侵检测概述 |
| 2.1.1 入侵检测体系结构演进 |
| 2.1.2 基于NP智能板卡的分布式入侵检测系统 |
| 2.2 协议处理与优化 |
| 2.2.1 性能评价标准 |
| 2.2.2 性能评价模型 |
| 2.3 网络处理器 |
| 2.3.1 IXP硬件结构 |
| 2.3.2 IXP软件体系结构 |
| 2.3.3 微引擎及微码开发 |
| 2.3.4 编码规范及设计与优化要点 |
| 2.4 本章小结 |
| 第三章 原型系统的设计与优化 |
| 3.1 背景知识 |
| 3.1.1 基于NP的IDS相关工作 |
| 3.1.2 Snort入侵检测系统 |
| 3.2 SCUT NP-NIDS |
| 3.2.1 系统架构 |
| 3.2.2 规则解析过程 |
| 3.2.3 规则解析的用户-内核接口 |
| 3.3 管理界面CLI设计与实现 |
| 3.3.1 开源软件Zebra |
| 3.3.2 CLI简介 |
| 3.3.3 Zebra CLI的设计原理 |
| 3.3.4 CLI的实现 |
| 3.4 TCP会话重组 |
| 3.4.1 模块结构 |
| 3.4.2 会话节点的查找的优化 |
| 3.4.3 哈希冲突解决 |
| 3.4.4 哈希函数构造 |
| 3.4.5 会话超时处理及其改进 |
| 3.4.6 会话节点分配与回收 |
| 3.4.7 共享数据结构的互斥访问 |
| 3.4.8 其他相关工作 |
| 3.5 本章小结 |
| 第四章 系统主机的网络处理器接口 |
| 4.1 设计选项 |
| 4.2 Linux网络设备驱动 |
| 4.2.1 相关工作 |
| 4.2.2 Linux网络驱动程序的体系结构 |
| 4.2.3 网络设备初始化 |
| 4.2.4 网络数据包的发送 |
| 4.2.5 网络数据包的接收 |
| 4.3 基于IXP网络处理器的网络接口 |
| 4.4 基于主机的NP网络接口 |
| 4.5 实验方法与实验结果 |
| 4.5.1 所用NP板卡 |
| 4.5.2 所用测试基准 |
| 4.6 实验结果 |
| 4.6.1 IXP网络接口的实验结果 |
| 4.6.2 主机网络接口实验结果 |
| 4.7 本章小结 |
| 第五章 系统性能与入侵检测应用卸载的实验验证 |
| 5.1 网络应用与网络处理器 |
| 5.2 状态IDS验证 |
| 5.2.1 会话端口扫描验证 |
| 5.2.2 会话重组验证 |
| 5.2.3 系统性能及相关比较 |
| 5.2.4 规则数变化的性能差异 |
| 5.2.5 协议变化的性能差异 |
| 5.3 不同处理器层次的IDS选项 |
| 5.4 IDS实现选项的实验设置与结果 |
| 5.4.1 混合流测试 |
| 5.4.2 干净流测试 |
| 5.4.3 结果分析与讨论 |
| 5.5 本章小结 |
| 总结与展望 |
| 参考文献 |
| 攻读博士学位期间取得的研究成果 |
| 致谢 |
| 附件 |
四、一种基于Snort规则的NIDS测试程序设计(论文参考文献)
- [1]工业控制系统入侵检测技术研究[D]. 张阳. 电子科技大学, 2018(09)
- [2]分布式入侵检测系统关键技术的研究和实现[D]. 杜巍. 电子科技大学, 2017(02)
- [3]异构环境下的网络业务加速研究与实现[D]. 朱葛. 电子科技大学, 2016(02)
- [4]基于snort的检测方法研究与分析[D]. 赵艳华. 华北电力大学(北京), 2016(02)
- [5]基于Tile64多核网络入侵检测系统的研究与设计[D]. 曹冰. 西安电子科技大学, 2013(S2)
- [6]基于MCF52234的网络入侵检测模式匹配系统设计与实现[D]. 宋军. 东北大学, 2012(05)
- [7]Snort入侵检测系统的研究和改进[D]. 陈江斌. 电子科技大学, 2012(01)
- [8]基于多核的IDS测试工具基本框架的设计与实现[D]. 王岱松. 西安电子科技大学, 2012(03)
- [9]未知木马检测技术研究[D]. 胡明科. 沈阳航空航天大学, 2011(08)
- [10]基于网络处理器的入侵检测系统设计与性能优化研究[D]. 许宪成. 华南理工大学, 2010(07)