Snort检测引擎的改进与实现

论文题目: Snort检测引擎的改进与实现

论文类型: 硕士论文

论文专业: 计算机应用技术

作者: 胡德华

导师: 刘春雨

关键词: 检测引擎,模式匹配,敬列

文献来源: 东北大学

发表年度: 2005

论文摘要: 入侵检测是一种主动保护自己免受攻击的网络安全技术,是继“防火墙”、“数据加密”等传统安全保护措施后的新一代技术。检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,所以选择设计一个好的模式匹配算法对入侵检测系统的性能至关重要。 Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。它能够检测各种不同的攻击方式,并对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。本文主要分析了Snort系统的架构、工作流程和三维规则链表,并着重分析了该系统的检测引擎及其采用的模式匹配算法。针对原系统模式匹配算法的不足,本人运用了新的多模式匹配算法对Snort检测引擎进行了改进,并应用到Snort的检测引擎模块中。通过实验结果证明所采用的算法是有效的,比原系统检测引擎的匹配速度有较大提高。最后提出了经过改进后的系统的优点和缺点,以及进一步的优化改进建议。

论文目录:

声明

摘要

ABSTRACT

第一章引言

1.1 计算机网络安全现状

1.2 入侵和入侵检测

1.3 入侵检测的研究现状

1.4 课题来源及论文贡献

第二章入侵检测概述

2.1 入侵检测的工作流程

2.1.1 信息收集

2.1.2 信息分析

2.1.3 信息存储

2.1.4 攻击响应

2.2 入侵检测采取的策略

2.3 入侵检测的分类

2.3.1 事后审计追踪分析

2.3.2 实时包分析

2.3.3 实时行为监测

2.4 入侵检测体系结构

2.4.1 基于主机的入侵检测系统(HIDS)

2.4.2 基于网络的入侵检测系统(NIDS)

2.4.3 分布式入侵检测系统(DIDS)

2.5 入侵检测技术

2.6 入侵检测系统的发展趋势

第三章 Snort系统分析

3.1 Snort系统架构

3.2 Snort系统主要模块

3.2.1 数据包嗅探器

3.2.2 预处理器

3.2.3 检测引擎

3.2.4 报警／日志模块

3.3 Snort系统工作流程

3.4 Snort规则

3.4.1 规则格式

3.4.2 Snort规则树

3.5 小结

第四章 Snort检测引擎分析与改进

4.1 Snort检测引擎工作原理

4.1.1 构造模式匹配链表

4.1.2 划分模式子集合

4.1.3 进行模式匹配

4.2 Snort检测引擎的模式匹配算法

4.2.1 Boyer-Moore算法原理

4.2.2 Boyer-Moore模式匹配算法不足

4.2.3 Aho-Corasick多模式匹配算法原理

4.2.4 Aho-Corasick多模式匹配算法不足

4.3 Snort检测引擎模式匹配算法的改进

4.3.1 Long-Karp-Rabin多模式匹配算法原理

4.3.2 Long-Karp-Rabin多模式匹配算法分析

4.3.3 Long-Karp-Rabin多模式匹配算法的改进

4.3.4 实验分析

4.4 小结

第五章 Snort检测引擎改进方案

5.1 Snort主函数流程

5.2 改进的检测引擎设计

5.3 实验结果与分析

第六章结束语

6.1 本文的主要工作

6.2 进一步改进及展望

参考文献

致谢

发布时间: 2005-09-07

参考文献

[1].基于Snort平台的网络入侵检测系统研究[D]. 岳成刚.合肥工业大学2009
[2].基于Snort的网络入侵检测系统实现及其改进研究[D]. 李秀婷.西安电子科技大学2008
[3].基于Snort的网络入侵检测系统研究[D]. 余兆力.浙江工业大学2005
[4].Snort分析与可视化应用[D]. 吕明.华中科技大学2008
[5].基于Snort入侵检测引擎的研究与设计[D]. 陈守雄.西安建筑科技大学2008
[6].分布式Snort的研究与应用设计[D]. 陈添杰.广东工业大学2005
[7].基于Snort的校园网络入侵检测系统的研究与实现[D]. 杜建敏.电子科技大学2011
[8].基于Snort分布式入侵检测系统的研究[D]. 陈海滨.国防科学技术大学2007
[9].基于网络入侵检测系统Snort的分析及改进[D]. 张峰.兰州大学2009
[10].基于Snort的入侵检测系统的研究及实现[D]. 张建辉.西安电子科技大学2018

Snort检测引擎的改进与实现

猜你喜欢