基于Snort的入侵防御系統(tǒng)實(shí)現(xiàn).pdf

1、隨著信息技術(shù)的進(jìn)步和互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)環(huán)境日益復(fù)雜，新的攻擊手段不斷出現(xiàn)，目前的防火墻產(chǎn)品和入侵檢測(cè)系統(tǒng)已無(wú)法確保網(wǎng)絡(luò)安全。由入侵檢測(cè)系統(tǒng)和防火墻共同構(gòu)成的入侵防御系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn)。防火墻系統(tǒng)可以根據(jù)設(shè)定的規(guī)則，給予非法訪問(wèn)主動(dòng)的阻斷。入侵檢測(cè)系統(tǒng)則能動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)流量，查找非法入侵行為，并且及時(shí)地產(chǎn)生報(bào)警。這兩者的協(xié)同工作成為了網(wǎng)絡(luò)安全架構(gòu)的核心和基礎(chǔ)。入侵防御系統(tǒng)具有入侵檢測(cè)技術(shù)和防火墻各自的優(yōu)點(diǎn)，不僅能對(duì)網(wǎng)絡(luò)數(shù)據(jù)包

2、完成更加深入的攻擊檢測(cè)，而且能夠及時(shí)地阻斷攻擊。因而越來(lái)越多的公司也正由入侵檢測(cè)系統(tǒng)轉(zhuǎn)向入侵防御系統(tǒng)，有些公司已將入侵防御系統(tǒng)集成在目前的安全產(chǎn)品當(dāng)中。
　　本研究以Snort為基礎(chǔ)，采用非開源代碼的形式，設(shè)計(jì)自己專用的引擎模塊，實(shí)現(xiàn)一個(gè)基于Snort的入侵防御系統(tǒng)。論文首先闡述了入侵防御系統(tǒng)的現(xiàn)狀，從優(yōu)缺點(diǎn)、分類、工作原理和系統(tǒng)的應(yīng)用與部署入手對(duì)入侵防御系統(tǒng)進(jìn)行全面的分析。重點(diǎn)對(duì)Snort規(guī)則進(jìn)行了詳細(xì)介紹。本文所采用的AC算法

3、和模式匹配BM算法很好地提高了報(bào)文的檢測(cè)效率。
　　本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Snort規(guī)則的入侵防御系統(tǒng)模型。為了提高檢測(cè)及處理安全攻擊的能力，該系統(tǒng)采用統(tǒng)一檢測(cè)引擎處理進(jìn)行報(bào)文處理。在此基礎(chǔ)上，設(shè)計(jì)了入侵防御系統(tǒng)的架構(gòu)，并對(duì) H公司所設(shè)計(jì)的入侵防御系統(tǒng)常用命令行進(jìn)行詳細(xì)地解析。之后，對(duì)系統(tǒng)各個(gè)模塊的關(guān)鍵性技術(shù)進(jìn)行了說(shuō)明分析，并給出了主要的設(shè)計(jì)流程與程序。另外，為便于軟件統(tǒng)一處理和后續(xù)業(yè)務(wù)擴(kuò)展，Snort規(guī)則解析采用TLV格式。<