基于Snort的入侵检测系统的研究与改进

摘要

随着网络技术的快速发展,网络入侵事件也逐渐的增多。入侵检测是网络安全防御体系中继防火墙之后又一项重要的安全技术,可以在系统入侵的全过程对系统进行实时检测与监控。
　　 网络规模的不断扩大和入侵手段的不断更新,对入侵检测技术提出了更高的要求。目前入侵检测技术面临的主要问题是不断增大的网络流量对入侵检测的实时性和数据处理性能提出的挑战。因此,如何提高入侵检测系统的检测效率,降低检测的误报率和漏报率,是入侵检测技术研究的关键。
　　 检测引擎作为入侵检测系统的核心模块,基本上采用基于模式匹配的检测方法,所以选择设计一个好的模式匹配算法对入侵检测系统的性能至关重要。在Snort的实现中,规则需要经常更新,数量也在不断的增加,规则的有序组织对于规则匹配也会起到加速作用,规则结构的好坏直接影响检测速度。本文在分析Snort入侵检测系统的基础上,对其存在的不足进行了改进。对Snort规则结构进行了优化,采用了三级联动策略以增加其结构的灵活性；改进了Snort使用的BM模式匹配算法,提出了BMI算法,利用两个特殊字符进行失配跳转,使得规则匹配所用时间明显减少,从而提高了Snort的性能。对改进后的系统和原系统进行了测试,实验结果表明,改进后的系统性能较原系统有着明显的提高。

目录

文摘

英文文摘

第1章 绪论

1.1 研究背景

1.2 研究意义

1.3 本文研究内容

1.4 本文结构

第2章 入侵检测系统概述

2.1 入侵检测系统的产生及发展

2.1.1 国内外研究概况

2.1.2 入侵检测技术的发展

2.1.3 发展趋势及主要研究方向

2.2 入侵检测系统概念

2.3 入侵检测系统的CIDF模型

2.3.1 CIDF的体系结构

2.3.2 CIDF的通信机制

2.4 入侵检测技术分类

2.4.1 根据检测对象分类

2.4.2 根据检测方法分类

2.5 入侵检测系统的评价标准和存在的问题

2.5.1 入侵检测系统的评价标准

2.5.2 入侵检测系统存在的问题

2.6 本章小结

第3章 入侵检测系统Snort

3.1 入侵检测系统Snort概述

3.2 Snort的工作模式

3.3 Snort的总体流程

3.4 Snort的结构分析

3.4.1 数据包嗅探器

3.4.2 预处理器

3.4.3 检测引擎模块

3.4.4 警报/日志系统

3.5 Snort检测模块工作流程

3.6 Snort的插件机制

3.6.1 预处理插件

3.6.2 检测处理插件

3.6.3 检测输出插件

3.7 Snort系统性能瓶颈分析

3.7.1 Gprof工具简介

3.7.2 Snort系统性能瓶颈分析及结论

3.8 本章小结

第4章 模式匹配算法的改进

4.1 模式匹配算法概述

4.2 模式匹配算法分类

4.2.1 单模式匹配算法

4.2.2 多模式匹配算法

4.3 相关算法分析

4.3.1 BM算法

4.3.2 BMH算法

4.3.3 BMHS算法

4.3.4 三种算法比较

4.4 BM改进算法

4.4.1 BMI算法基本思想

4.4.2 8MI算法执行过程

4.5 BMI算法时间复杂度分析

4.6 算法测试与评价

4.6.1 算法测试

4.6.2 算法评价

4.7 本章小结

第5章 Snort规则结构优化

5.1 Snort规则概述

5.1.1 规则头部

5.1.2 规则选项

5.2 Snort规则语法特点

5.3 Snort规则链表结构分析

5.4 规则结构改进

5.4.1 采用动态规则机制的原因

5.4.2 规则的调整方法

5.4.3 规则的三级联动

5.5 实验测试

5.5.1 实验环境和数据来源

5.5.2 实验结果

5.6 本章小结

第6章 结论与展望

6.1 本文总结

6.2 进一步工作

参考文献

致谢

攻读硕士期间发表的论文