基于Snort分布式入侵检测系统的研究

【摘要】： 随着计算机和网络技术的飞速发展,网络安全问题日益突出。入侵检测技术作为继防火墙、加密等传统安全防护措施后的新一代技术,以其实时检测和快速响应的特性,逐渐成为保障网络系统安全的关键部件。然而,在大流量网络环境、大规模应用中,分布式入侵检测系统和如何提高入侵检测系统性能仍是一项艰巨而重要的研究课题。 检测引擎是网络入侵检测系统核心模块,而模式匹配是网络入侵检测系统的主要检测方法,模式匹配算法的好坏对系统的性能影响至关重要。在大规模应用中,合理的部署也是提高整个系统性能的有效方法。 本文以典型的网络入侵检测系统Snort为研究对象,对分布式入侵检测系统开展研究,主要工作有: 1、在研究入侵检测系统原理的基础上,系统地分析Snort体系架构和代码结构,重点对多模式快速匹配模式集、快速检测引擎、字符匹配算法的实现进行了深入研究。 2、通过实验验证了影响MWM算法的主要因素是最短模式长度,针对已建立的模式集的特点,提出基于拆分模式集分别使用BM算法和MWM算法进行匹配的新方法,以发挥两者的优势,从整体上提高匹配效率。通过仿真实验表明改进的方法对最短模式长度为1的模式集的匹配性能有显著提高。 3、基于改进的Snort检测引擎,研究了分布式入侵检测系统,并以Snort为基础提出了三层分布式入侵检测系统框架。 上述工作对某工程项目具有重要的工程借鉴作用。