论文摘要
随着互联网的高速发展,在网络通信的应用和开发中,信息安全问题显得非常重要和紧迫。入侵检测系统是一种能有效发现和防御网络入侵的网络安全防护手段,已成为了防火墙之后的又一道安全防线。对入侵检测系统进行深入的理论分析和系统应用研究有着非常重要的实际工程意义。本文首先从当前网络安全现状入手,对网络通信中的安全体系作了全面概述,介绍了目前常见安全技术手段,总结了不同网络入侵手段和各种防御系统的防御方法的优缺点。对网络入侵检测的相关技术进行了分析、比较和研究。在此基础上,以著名的开源入侵检测系统SNORT为对象,对其系统结构、入侵规则的进行了详细的剖析,重点阐述了其最新版本中采用的快速包分类机制和多模式匹配算法带来的性能提升,并分析了SNORT常用插件的功能。结合互联网的发展,在深入研究了下一代Internet通信协议IPv6的基础上,探讨并详细设计了支持IPv6的SNORT入侵检测系统的关键技术,为实现自主的SNORT二次开发做了准备。此外,在研究目前已有的入侵检测评估手段的基础上,结合实际工程应用对最新版本的SNORT系统进行了全面测试与性能评估,为实际工程应用的理论研究提供了充分的依据。本次研究工作的重点和意义主要在以下几个方面:①系统性的分析和总结了网络通信中的安全体系及安全技术应用等。②对开源入侵检测系统SNORT的整体结构组成等进行了详细分析,对核心模块作了源代码级的剖析。分析出系统在包分类机制和多模式匹配等方面的改进算法及实现代码。③对下一代互联网通信协议IPv6进行了详细研究的基础上,探讨和设计了在IPv6环境下SNORT系统的关键技术:规则构造和解析、IPv6包结构解析、IPv6分段重组、对过渡技术的支持、兼容IPv4等。同时,针对IPv4向IPv6过渡的技术的应用,提出了针对SNORT系统的改进措施。④结合实际工程应用,对SNORT最新版本作了全面的测试和性能分析。实验测试表明,作为一个开源的IDS软件,SNORT对数据包的解码、协议分析和匹配算法等已经非常准确,其性能已经达到了实际工程的需求指标。对事件的处理和分析能力还显得不足,尤其缺乏对分布式环境的支持。在全面总结该次研究工作的基础上,我们提出可在入侵检测系统的响应机制、分析和预测能力、以及建立联合防御体系等方面展开进一步的研究工作。