基于Snort的网络入侵检测系统实现及其改进研究

论文摘要

随着网络技术的快速发展和网络应用环境的不断普及,网络安全问题日益突出。入侵检测技术作为一种全新的安全手段,越来越显示出其重要性。Snort是目前最常用的一个强大的轻量级网络入侵检测系统,本文对Snort进行了深入的研究,从它的特点、系统构架、工作原理等方面进行了分析。实现了Snort入侵检测系统在Windows下的构建,利用MySQL数据库和日志分析控制台ACID来对报警信息进行图形化管理。文中对Snort的快速匹配检测引擎和模式匹配算法进行了重点研究和探讨,提出一种基于特征值的多模式匹配算法,将该算法应用到Snort的检测引擎模块中,通过实验证明检测引擎的匹配速度有了较大提高。同时给出在Snort中利用状态协议分析技术检测DDOS攻击等多步骤攻击的方案,利用有限状态机原理对协议执行时状态转换过程进行分析,将网络攻击转换为协议状态迁移过程,重点分析了TCP三次握手的状态转换细节,增强了Snort对syn flood攻击的检测能力。最后,对工作进行了总结,并给出了进一步的优化改进建议。

论文目录

摘要

Abstract

第一章绪论

1.1 入侵检测研究背景及研究现状

1.2 Snort 研究意义

1.3 论文主要研究内容

1.4 论文结构安排

第二章入侵检测系统概论

2.1 入侵检测概念

2.2 入侵检测系统的模型及功能

2.2.1 入侵检测系统模型

2.2.2 入侵检测系统功能

2.3 入侵检测系统的分类

2.3.1 基于主机的入侵检测系统

2.3.2 基于网络的入侵检测系统

2.4 入侵检测技术

2.4.1 误用入侵检测技术

2.4.2 异常入侵检测技术

2.5 当前入侵检测系统的不足及发展趋势

第三章 Snort 的结构及工作流程

3.1 Snort 系统概述

3.2 Snort 整体结构及各模块分析

3.2.1 数据包捕获模块

3.2.2 数据包解码模块

3.2.3 预处理模块

3.2.4 检测引擎模块

3.2.5 报警/日志模块

3.3 Snort 工作流程

3.3.1 主函数处理流程

3.3.2 规则库解析流程

3.3.3 数据包处理流程

第四章 Windows 下基于Snort 的入侵检测系统的实现

4.1 系统体系结构

4.2 网络入侵检测层

4.2.1 wipcap 简介

4.2.2 winpcap 捕获数据包流程分析

4.2.3 Snort 的安装与配置

4.3 数据库服务器模块

4.3.1 MySQL 数据库特点

4.3.2 MySQL 数据库的安装与配置

4.3.3 MySQL 数据库管理程序

4.4 日志分析控制台

4.4.1 ACID 所需功能组件

4.4.2 安装与配置过程

4.5 系统测试结果及分析

4.5.1 入侵检测模块测试结果

4.5.2 日志分析控制台运行结果测试

第五章 Snort 多模式匹配引擎分析

5.1 Snort 快速规则匹配引擎

5.1.1 创建快速匹配集合

5.1.2 快速匹配检测流程

5.2 Snort 系统的模式匹配算法

5.2.1 BM 算法

5.2.2 AC 算法

5.2.3 MWM 算法

5.3 一种新的多模式匹配算法

5.3.1 KR 模式匹配算法

5.3.2 基于KR 的多模式匹配算法—MPKR 算法

5.3.3 MPKR 算法在Snort 入侵检测系统中的实现

5.4 多模式匹配算法性能测试

5.4.1 测试环境和测试数据

5.4.2 测试方法

5.4.3 测试结果及分析

第六章状态协议分析技术在Snort 中的应用

6.1 状态协议分析技术

6.2 DDOS 攻击简介

6.3 状态协议分析技术的应用

6.3.1 利用状态协议分析描述攻击过程

6.3.2 TCP 会话状态树建立维护模块

6.3.3 TCP 会话状态转换模块

6.3.4 实验结果及分析

第七章结束语

7.1 本文所做工作总结

7.2 将来工作目标及展望

致谢

参考文献

研究成果

基于Snort的网络入侵检测系统实现及其改进研究

论文摘要

论文目录

相关论文文献

猜你喜欢