基于Snort的分布式入侵檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，保證網(wǎng)絡(luò)的安全也顯得越來越重要。入侵檢測(cè)系統(tǒng)通過收集和分析系統(tǒng)日志或者網(wǎng)絡(luò)數(shù)據(jù)來檢查系統(tǒng)或網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測(cè)系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)的實(shí)時(shí)保護(hù)，是安全防御體系中必不可少的一個(gè)組成部份。
　　 本文首先介紹了入侵檢測(cè)的一些相關(guān)概念和入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)，并對(duì)分布式入侵檢測(cè)系統(tǒng)的一些不同的體系結(jié)構(gòu)進(jìn)行了分析，然后對(duì)開源入侵檢測(cè)項(xiàng)目Snort-2.8.0.1進(jìn)行源代碼分析，

2、重點(diǎn)分析Snort的初始化過程，Snort的插件機(jī)制，檢測(cè)報(bào)警過程，告警日志過程，Snort規(guī)則引擎及快速匹配引擎部分的源代碼。
　　 在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于Snort的分布式入侵檢測(cè)系統(tǒng)。即在Snort-2.8.0.1的基礎(chǔ)上，添加了規(guī)則生成模塊，多播傳遞模塊和動(dòng)態(tài)添加規(guī)則模塊。規(guī)則生成模塊對(duì)事先從攻擊主機(jī)收集到的攻擊包，運(yùn)用apriori算法進(jìn)行分析，找出這些攻擊包的相同特征，并轉(zhuǎn)換成相應(yīng)的Snort規(guī)則。多播模塊

3、將生成的規(guī)則以多播的方式傳遞給其他的Snort進(jìn)程，當(dāng)這些主機(jī)上的多播接收端接收到規(guī)則信息后，就將該規(guī)則放到消息隊(duì)列中。動(dòng)態(tài)添加規(guī)則模塊從消息隊(duì)列中讀取到該規(guī)則，進(jìn)行解析及規(guī)則沖突檢查后，如果不存在沖突就動(dòng)態(tài)添加到Snort的規(guī)則引擎中，使它們也能檢測(cè)這種攻擊。
　　 最后，本文對(duì)該分布式入侵檢測(cè)系統(tǒng)進(jìn)行了測(cè)試與驗(yàn)證，針對(duì)3種攻擊工具分別生成相應(yīng)的規(guī)則，并通過多播的方式傳遞給其他的Snort。通過實(shí)驗(yàn)證明了在該系統(tǒng)中各個(gè)Snor