基于Snort的混合入侵檢測系統(tǒng)的研究與實現.pdf

1、近年來,Internet的快速發(fā)展大大推進了社會生活和經濟文化等的發(fā)展進程,人類在享受計算機網絡給我們帶來的方便和快捷的同時,也越來越感覺到網絡安全問題給我們提出的嚴峻挑戰(zhàn),網絡犯罪日益嚴重。在這種情況下,反病毒軟件,防火墻技術和入侵檢測產品等相繼出現,共同維護著現代網絡的安全運行,在網絡安全技術的不斷發(fā)展的今天,如何使網絡安全防御體系從被動變?yōu)橹鲃右呀洺蔀閷＜覍W者們研究的新內容,而入侵檢測技術是這一研究內容的主要研究對象,因此,入侵檢

2、測技術已經成為網絡安全體系結構中不可或缺的一部分。
　　 Snort入侵檢測系統(tǒng)是一種著名的開源入侵檢測系統(tǒng),能夠有效保護系統(tǒng)信息安全,深受網絡安全領域的重視,很多專家學者從事其研究和開發(fā)使用。隨著網絡資源逐漸增加、網絡流量不斷提高以及網絡攻擊類型變化多端,致使Snort不能滿足網絡發(fā)展的要求,從而漏掉一些復雜的網絡攻擊行為,給系統(tǒng)造成嚴重的安全隱患。因此,如何提高Snort的檢測效率,增強其檢測性能己成為入侵檢測領域研究的重要

3、內容。
　　 本文在分析研究Snort系統(tǒng)的優(yōu)缺點的基礎上,利用其開源性和支持插件的優(yōu)勢,針對其對新的入侵行為無法檢測,漏報率較高以及檢測速度較低等問題,在Snort系統(tǒng)的基礎上結合目前入侵檢測中的數據挖掘技術,提出一種基于Snort系統(tǒng)的混合入侵檢測系統(tǒng)模型。該系統(tǒng)模型是在Snort系統(tǒng)原有的基本功能模塊的基礎上增加了正常行為模式構建模塊、異常檢測模塊、分類器模塊、規(guī)則動態(tài)生成模塊等擴展功能模塊。在Snort系統(tǒng)中增加動態(tài)規(guī)則

4、生成模塊,使得改進后的混合入侵檢測系統(tǒng)具有動態(tài)規(guī)則擴充機制,能夠檢測到新的入侵攻擊行為,彌補Snort典型的誤用型入侵檢測系統(tǒng)的缺點；在Snort系統(tǒng)中增加了正常行為模式挖掘模塊、異常檢測模塊,使改進后的混合入侵檢測系統(tǒng)同時具有誤用檢測和異常檢測的功能。從而提高檢測系統(tǒng)檢測效率。
　　 最后,根據系統(tǒng)設計模型,實現了一個基于Snort的混合入侵檢測系統(tǒng)。采用林肯實驗室的樣本數據,利用Profile測試工具對改進后的系統(tǒng)進行了測試