论文摘要
本课题主要是,结合网络攻击技术,在攻防实验中对网络入侵检测系统Snort进行分析与研究,并尝试对Snort应用作一些实验研究工作以适应网络实际环境的需求。Snort采用规则匹配来检测可疑或恶意的网络流量。它支持插件技术,而且它的规则描述语言可以很好地描述网络攻击,这些使得Snort具有很好的可扩展性能。论文的核心内容就是围绕Snort的插件技术和规则描述语言展开的实验研究。论文首先对Snort进行分析,详细地分析了Snort的体系结构、入侵检测总体流程、协议解析、规则解析及规则匹配机制。并设计与实现了一个以Snort为核心的分布式入侵检测系统,将其应用到一个实验局域网中,提出了Snort的实用解决方案并分析了Snort入侵检测性能。论文还对网络攻击和Snort规则编写进行了分析与研究。主要从操作系统漏洞描述、网络攻击响应以及网络实验环境的检测策略这三个角度,阐述了Snort规则编写的一般原则与方法。针对于微软分布式事务处理协调器内存破坏漏洞的攻击原理、BDoor木马攻击的原理以及3389端口入侵的原理,利用流量分析,编写成检测这些攻击的Snort规则,再将新编写的规则加入到规则库中,并通过实验分析,证明了新编写规则的有效性和准确性。针对不容易提取特征的异常FTP网络流量,论文设计与实现了FTP协议分析与命令解释的预处理插件。结合FTP攻击对该预处理插件进行实验测试,该预处理插件可检测到FTP口令暴力破解攻击、IIS FTP远程溢出漏洞的攻击和MDTM命令远程溢出攻击。实验研究的结果说明:详细地了解Snort的入侵检测体系与机制,依据应用环境正确地配置Snort、按攻击类型设计Snort规则及相应的预处理插件以扩展其检测功能是十分重要的。
论文目录
摘要Abstract第一章 引言1.1 入侵检测系统(IDS)概述1.1.1 入侵检测系统的定义1.1.2 入侵检测系统的体系结构1.1.3 入侵检测技术分类1.2 入侵检测系统Snort 的发展及研究现状1.3 课题研究内容第二章 入侵检测系统Snort 分析2.1 Snort 入侵检测体系结构2.2 Snort 总体流程分析2.3 Snort 调用 WinPcap 捕获数据包的流程分析2.3.1 Winpcap 的架构2.3.2 基于 WinPcap 数据包捕获的流程2.4 Snort 协议解析机制的分析2.4.1 TCP/IP 分层模型与协议2.4.2 Snort 协议解析机制的总体流程2.4.3 Snort 对TCP 流重组的实现2.5 Snort 的规则分析2.5.1 Snort 的规则结构2.6 Snort 规则解析和规则匹配2.6.1 规则解析流程2.6.2 Snort 规则语法树2.6.3 规则匹配流程2.7 Snort 规则匹配的实验分析2.7.1 规则匹配分析的实验环境2.7.2 实验中测试的规则选项介绍2.7.3 实验及实验结果分析2.7.4 结论第三章 基于 Snort 的分布式入侵检测系统应用设计3.1 分布式入侵检测系统3.2 基于 Snort 的 DIDS 三层体系结构的设计3.3 基于 Snort 的 DIDS 的实现3.3.1 构建Snort 传感器3.3.2 构建Snort 服务器3.3.3 构建分析员控制台3.4 基于 Snort 的 DIDS 在实验局域网中的应用3.4.1 网络拓扑图3.4.2 制定网络实验环境的检测策略3.4.3 基于上述策略的具体入侵行为对 Snort 调整与配置3.4.4 实验及实验结果分析3.4.5 实验结论第四章 相关网络攻击分析和 Snort 规则编写4.1 基于漏洞的测试代码提取入侵特征4.1.1 Microsoft Windows MSDTC 内存破坏漏洞描述4.1.2 漏洞成因简析4.1.3 基于漏洞测试代码的实验分析4.1.4 基于流量分析提取入侵特征4.1.5 规则测试的实验结果4.2 利用攻击响应提取入侵特征4.2.1 木马攻击简述4.2.2 木马攻击的流量分析4.2.3 规则测试的实验结果及分析4.3 基于网络实验环境检测策略的规则编写4.3.1 基于流量分析创建3389 端口入侵的规则4.3.2 规则测试的实验结果及分析4.4 总结第五章FTP 协议分析预处理插件的设计与实现5.1 FTP 协议连接过程5.2 Snort 预处理插件分析5.3 Snort 的预处理插件管理分析5.4 FTP 协议分析与命令解释预处理插件设计5.4.1 FTP 协议分析预处理插件的设计5.4.2 FTP 协议分析与命令解释预处理插件的实验分析第六章 全文总结与展望6.1 总结6.2 展望参考文献致谢在读期间取得的科研成果作者简介
相关论文文献
标签:规则匹配论文; 预处理插件论文; 分布式论文; 协议分析论文;
