论文部分内容阅读
网络技术的快速发展和网络应用环境的不断普及,加大了人们对网络的依赖性,同时也带来了日益突出的信息安全问题。过去采用的传统的加密和防火墙技术已经不能完全满足安全需求,入侵检测技术作为一种主动预防的安全手段,越来越显示出重要性。 Snort系统是一个开放源代码的网络入侵检测系统,提供给遍布世界范围内的众多爱好者研究和维护该系统的机会,也为入侵检测系统的发展奠定了基础。因此对Snort系统进行研究是非常有意义的。 本文首先介绍了入侵检测系统的基础知识,简述了入侵检测的发展背景和历史,对入侵检测系统的研究现状和发展趋势做出了综合性的描述。 入侵检测技术是本文研究的重点,以Snort系统为研究对象,剖析了其组成结构和工作模式,探讨了Snort系统中的协议解析模块、规则检测模块和检测引擎模块。针对Snort系统的检测引擎中的模式匹配算法,类比了Boye-Moore算法和AC-BM算法的优缺点,并对目前利用规则优化的方法来提高匹配效率的技术做了简单描述。 在配置Snort系统时,根据我的网络情况和系统性能对配置选项做出了详细的说明,对使用Snort系统中所连接的Mysql数据库的生成和数据的导入也给出了描述。通过对Snort系统作的简单的测试,分析了Snort系统还存在的问题。 数据采集技术决定了一个入侵检测系统是否能够有效的、准确的检测攻击行为。在这部分内容中,对目前最易实施的网络攻击手段——拒绝服务攻击,进行了分析,指明了引起这种攻击的一个原因——碎片数据包,并针对碎片采集的重组算法给出了分析和改进。结合Snort系统中的碎片处理插件Frag2和流重组插件TcpStream说明了碎片处理过程和流重组过程。 在本文小结中首先对目前已有的部分入侵检测系统做出了对比。然后对Snort系统研究的结果给出了改进方向,并提出了入侵检测系统今后所面临的挑战。