基于Snort网络入侵检测系统中模式匹配研究及应用

摘要

随着信息技术的迅猛发展，互联网和信息共享成为信息社会的主要趋势，越来越多的信息系统依赖于当前的互联网，信息安全成为一个不可回避的话题逐渐摆在我们的面前。入侵检测技术是继防火墙、数据加密等传统安全保护措施之后新一代的安全保障措施，也是我们研究的重点。
　　 本文选题于贵州乡镇企业局网络入侵检测系统项目。论文先对网络应用环境中存在的安全威胁进行了分析，提出了网络安全所要考虑的基本问题，然后对入侵检测系统的基本结构进行了分析，进行了提高入侵检测性能的关键技术分析，在此基础上给出了针对Snort探测引擎的分析和改进，对基于Snort的分布式入侵检测系统进行了分析，并且详细介绍了两种模式匹配算法：单模式匹配算法和多模式匹配算法。他们都各有自己的优缺点，主要在搜索步长存在一定的缺欠，导致检测速度减慢。NFMSA算法既应用了AC算法的有限状态机原理构成模式树，又利用BM算法的启发函数，保证比较大的跳跃移动。同时，对算法移动方式进行调整，大大提高了移动步长。移动步长均优于AC算法和BM算法以及AC-BM算法，无论在单模式匹配还是多模式匹配中都有较好的表现。最后，在分析制定了入侵检测系统的策略的基础上，安装、配置整个系统，并进行了运行测试。结果表明，在不影响监测结果的基础上加快了检测的速度，能够满足系统基本的检测需要。
　　 本文所做主要工作如下：
　　 ①对入侵检测技术和入侵检测系统的结构等关键技术进行分析与研究，通过对比当前主流的入侵检测技术，选择Snort来实现入侵检测系统；
　　 ②分析了KMP、BM、AC和AC-BM算法的优缺点，并进行相互比较。
　　 ③对模式匹配算法进行改进，给出一种新的快速字符匹配算法NFMSA(NewFast Matching String Algorithm)。
　　 ④分析了入侵检测系统的一般功能，并结合业务需求对贵州省乡镇企业局网络入侵检测系统进行了需求分析和设计，实现了基于Snort的贵州省乡镇企业局网络入侵检测系统。
　　 ⑤对系统进行了测试，并分析了系统的实际运行效果，指出系统存在的不足，对系统进一步改进进行了展望。

目录

文摘

英文文摘

声明

1绪论

1.1问题的提出

1.2目的及意义

1.3国内外研究现状

1.4研究内容

2入侵检测技术概述

2.1入侵检测技术的概念及发展

2.1.1入侵检测技术的概念

2.1.2入侵检测技术分类

2.1.3入侵检测技术的发展

2.2入侵检测技术的基本原理

2.2.1入侵检检测技术的工作流程

2.2.2入侵检测方法和技术

2.3 Snort入侵检测技术

2.3.1 Snort概述

2.3.2 Snort的模块结构

2.3.3 Snort入侵检测流程

2.4本章小结

3模式匹配算法

3.1模式匹配算法概念及发展

3.1.1模式匹配的定义

3.1.2模式匹配的分类

3.2模式匹配算法及其性能分析

3.2.1单模式匹配算法

3.2.2多模式匹配算法

3.3改进模式匹配算法

3.4 NFMSA算法设计

3.5对比分析

3.6本章小结

4入侵检测系统设计与实现

4.1系统需求分析

4.2系统检测类型分析

4.2.1恶意行为

4.2.2可疑行为

4.2.3异常行为

4.2.4不适当的行为

4.3系统监控范围分析

4.3.1外部网络连接监控

4.3.2内部网络连接监控

4.4系统框架设计

4.4.1建立传感器

4.4.2建立服务器

4.4.3建立分析员控制台

4.5系统功能设计

4.5.1监控模块的功能设计

4.5.2管理模块的功能设计

4.6系统的实现

4.6.1安装Apache

4.6.2安装Snort

4.6.3建立Snort数据库——mysql

4.6.4安装配置acid

4.6.5 Snort规则的编写

4.7系统运行效果

4.8本章小结

5入侵检测系统性能测试

5.1系统性能及效果测试

5.2本章小结

6结论与展望

6.1结论

6.2展望

致 谢

参考文献