随着网络技术的飞速发展,人们对计算机网络的依赖与日俱增。但是开放的网络环境就像一把双刃剑,在带给人们无限方便的同时,也对数据的安全构成了巨大的威胁。入侵检测和恶意流量拦截一直是网络安全技术研究的重点内容,也是较为有效的防御手段。但是防火墙和入侵检测系统的广泛使用并没有完全解决网络流量的问题。如何提高入侵检测的检测精度,如何将检测和过滤能力有效地结合,仍然是困扰着网络安全人员的棘手问题。网络入侵防御系统是在入侵检测技术的基础上,融合了入侵检测和流量拦截过滤技术而提出的一项新技术。它具备深度检测和主动拦截的双重特性,研究和应用前景十分广阔。 Snort入侵检测系统是目前应用最广,也是最具代表性的入侵检测系统。本文深入分析了snort系统的系统结构和技术细节,发现并指出了限制snort提高检测能力的一个不足之处-检测只针对单个数据包进行,不能通过流量的行为特征进行检测。针对snort系统的此点不足,本文提出了一种基于时序性流量的二维入侵检测技术,并阐述了使用二维检测技术的检测方法。基于时序性的二维特征检测技术,可以将传统的特征检测从单包的一维特征检测扩展到时序性的二维特征检测,使检测引擎对恶意流量的检测能力和检测机会大大增加,检测引擎的检测能力和检测精度得到大幅提升。 在此基础上,本文将基于二维特征的检测技术引入到snort入侵检测系统中,并结合了网络流量过滤拦截的相关技术,重新对snort系统的总体结构进行了设计,实现了一套基于snort和二维检测的入侵防御系统。 最后通过系统测试,本文对新系统和传统snort系统的检测能力做了比较,对新系统的拦截保护能力做了检验。实验结果表明,本文所设计实现的基于snort和二维检测的入侵防御系统与原snort系统相比,检测精度有了明显的提高,并且具备了主动拦截过滤恶意网络流量的能力,与原系统相比具有明显的优越性。