《VC279基于改进的BM算法在IDS中的实现.doc》由会员分享,可在线阅读,更多相关《VC279基于改进的BM算法在IDS中的实现.doc(18页珍藏版)》请在金锄头文库上搜索。
1、VC279基于改进的BM算法在IDS中的实现 2.2 入侵检测系统的组成及部署2.2.1 入侵检测系统的组成IETF(The Internet Engineering Task Force,互联网工程任务组)阐述了一个入侵检测系统的通用模型,将一个入侵检测系统分为四个组件:事件产生器(Event generators)事件分析器(Event analyzers)响应单元(Response units)事件数据库(Event databases)事件产生器也称为探测器或传感器,它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器又可称为检测引擎,它分析得到数据,并产生分析
2、结果。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。在实际的产品中,入侵检测系统通常是由传感器、分析系统、存储系统和控制台等四部分组成,其中存储系统一般用来存储系统运行的数据和入侵攻击过程,而控制台起其集中管理的作用。图2-1给出了通用入侵检测系统结构。数据 &nbs
3、p; 数据 数据 结果 &
4、nbsp; 提取 分析 &
5、nbsp; 处理图2-1 通用入侵检测系统结构2.2.2 入侵检测系统的部署在大型网络中,分析系统工作负载大,存储系统工作量也大,所以在不同的计算机上。网络入侵检测系统的传感器位置非常重要,如果放置位置不正确,入侵检测系统的工作就可能不在最佳状态。(1)放在防火墙外传感器通常放置在防火墙的DMZ中(Demilitarized Zone,非军事区)。DMZ是介于ISP和最外端防火墙之间的区域,这种安排使入侵检测系统可以看见所有来自Internet的攻击。
6、 (2)放在防火墙内把传感器放在防火墙内部,这种做法有几个充分理由。传感器放在防火墙外部,攻击者就能够发现传感器,就可能对传感器进行攻击,从而减小攻击者的行动被审计的机会。防火墙内的系统会比外面的系统脆弱性少一些,如果传感器放在防火墙内就会少一些干扰,从而有可能减少误报警。如果本应该被防火墙封锁的攻击渗透进来,传感器在防火墙内就能发现防火墙的设置失误。将传感器放在防火墙内部的最大理由就是设置良好的防火墙能够阻止大部分简单的攻击,使传感器不用将大部分的注意力分散在这类攻击上。(3)放在防火墙外和内如果不考虑成本,在防火墙外和防火墙内都放置传感器是最佳的选择。这样做有以下优点:无须猜测是否有攻击渗
7、透过防火墙;可以检测来自内部和外部的攻击;可以帮助系统管理员检测到由于设置有问题而无法通过防火墙的内部系统。2.3 网络入侵检测系统Snort2.3.1 Snort系统概述Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。Snort运行在2.3.3 Snort系统部分源码简介这里使用snort-1.6-beta7进行讲解。展开snort的压缩包,有约50个c程序和头文件,另有约30个其它文件(工程、数据或者说明文件)。snort.c(.h)是主程序所在的文件,实现了main函数和一系列辅助函数。decode
8、.c(.h)将数据包层层剥开,确定使用了哪种协议,有什么特征,并标记到全局结构变量pv中。log.c(.h)实现日志和报警功能。snort有多种日志格式,一种按tcpdump二进制的格式存储,另一种按snort编码ASCII格式存储到日志目录下,日志目录的名字根据“外”主机的ip地址命名。报警有不同的级别和方式,可以记录到syslog中,或者记录到用户指定的文件,另外还可以通过linux socket发送报警消息,以及利用SMB向Windows系统发送winpopup消息。mstring.c(.h)实现字符串匹配算法。在snort中,采用的是BM算法。plugbase.c(.h)实现了初始化检
9、测以及登记检测规则的一组函数。snort中的检测规则以链表的形式存储,每条规则通过登记过程添加到链表中。rule.c(.h)实现了规则设置和入侵检测所需要的函数。规则设置主要的作用是把一个规则文件转化为实际运作中的规则链表。检测函数根据规则实施攻击特征的检测。sp_*_check.c(.h)是不同类型的检测规则的具体实现。spo_*.c(.h)实现输出规则。spp_*.c(.h)实现预处理规则。将改进的BM算法应用到snort系统中,只需要对mstring.c进行修改即可,其它部分保持原样。3 BM算法3.1 BM算法3.1.1 BM算法具体介绍朴素的模式匹配算法在一次字符比较失败
10、后,只是简单的把模式匹配串向右移动了一个字符位置,这样做的缺点是完全丢弃了在前面已经作过的字符匹配过程中得到的信息,BM匹配算法正是充分利用了上次匹配比较中己得到的部分结果,使模式匹配算法在时间复杂性和空间复杂性上得到了一定程度的优化。假设有一长度为n的文本字符串T,长度为m的模式字符串P,两者都是由字符构成的有序集合,文本T(如中英文等自然语言文本)定义在一个有限的字母表上,字母表大小为 。匹配的目的是确定P在T内的位置,或者T中不包含P。设T和P中的字母由0开始从左至右顺序编号。如果对于一个指定偏移或移动s,每个字符PiP1Pm匹配相应字符Ti+sT1Tn。若P发生在T中的偏移s处,可以将
11、等式写为:Ti+sTm+s=PiPmBM算法的基本思想是先对模式匹配串P进行预处理,计算两个偏移函数:Badchar(针对某个字符)和GoodSuffix(针对某个子串),然后将文本和模式对齐,从右往左进行匹配,当文本字符与模式字符不匹配时,根据函数Badchar和GoodSuffix计算出的偏移值,取两者中的大者。将文本指针往右移,匹配成功则予以输出。BM算法分为两阶段:预处理阶段和查找阶段。若考虑Badchar函数的约束,则当文本在字符c与模式不匹配时,下次应移动的距离为Badcharc十1-(m-j),其中j为c在本次匹配中的位置。这样就可以实现下次匹配时文本中的c与模式中的c位置对齐,
12、从而加快匹配的速度。匹配过程是:(1)将文本中的字符Ti+j和它在P0m-2中从右至左首次出现的位置对齐。如下图3-1所示:基于改进的BM算法在IDS中的实现摘 要入侵检测技术是一种主动保护自己免受攻击的网络安全技术,是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。本文首先对入侵检测现状、入侵检测系统组成进行了分析和总结,重点研究了网络入侵检测的核心技术入侵检测算法。模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,是当前入侵检测设备中普遍应用的
13、算法。模式匹配的效率决定了入侵检测系统的性能。通过对开放源代码的snort中模式匹配技术的改进,提出了一种更快的模式匹配算法,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。关键词:BM算法;入侵检测系统;模式匹配;单模式匹配算法 社会资本在大学生求职过程中的作用研究以媒体行业为例摘要:通过调查最近两年在媒体行业成功就业的毕业生发现,大学生求职过程中的社会资本运作主要有三种方式,即通过中间人的“桥梁”作用、以送礼等媒介搭建关系及直接运作社会资本;求职过程中关系社会资本动态可变;社会资本运作的功能主要是促进信息流动获取有效信息,通过关键人对招聘单位施加影响。传统
14、文化厚重的人伦本位思想及人事聘用制度的日趋规范,悄然影响着大学生求职过程中的社会资本运作。关键词:社会资本;运作;功能 Research on the Functions of Social Capital in the Employment of the College GraduateTaking Media Industry as an exampleAbstract: The survey of the graduates that in recent two years haven found employment in the media industry find some th
15、ings. In the process of college students seeking jobs, social capital has three major operation, that is, through the intermediary of the bridge role, gifts or other media to build community relations and direct operations Capital; In the course of seeking job relations between the social capital are dynamic variable; The main functions of social capital operation is Receiving Valuable info
