基于Snort平台的网络入侵检测系统研究

【摘要】： 随着互联网技术的飞速发展,计算机网络安全问题成为备受关注的焦点。入侵检测是继防火墙等传统安全防护技术之后的新一代安全保障技术,能够主动发现计算机与网络系统中违反安全策略的行为,是信息与网络安全体系结构中的一个重要组成部分。 本文介绍了入侵检测的主要理论及技术,分析了一个轻量级网络入侵检测系统Snort的体系结构与工作原理,重点研究了入侵检测技术中的模式匹配算法,提出了改进的模式匹配算法并将其应用于Snort。本文的主要工作包括: 1.研究入侵检测的理论,主要介绍了网络安全与入侵检测的基本概念、入侵检测系统分类、入侵检测技术、入侵检测框架模型和标准、入侵检测系统评估,指出了入侵检测系统存在的问题及发展趋势。 2.深入研究了经典的单模式匹配算法BM、BMH、BMHS,在BMH、BMHS算法的基础上提出了一种改进算法:IBMHS算法,经过实验比较,改进的算法能有效地加快匹配速度。 3.研究了Snort规则、Snort检测引擎工作原理及Snort源码在Windows平台下的编译问题,测试了Snort2.8.1的模式匹配算法集,将改进的模式匹配算法IBMHS应用于Snort平台,使系统检测性能得到提升。 4.在Windows平台下设计并实现了一个基于Snort的网络入侵检测原型系统,采用基于IIS的Web控制台,可图形化的显示入侵数据及攻击信息,给出了试验系统的运行结果及分析。