基于SNORT和二維檢測(cè)的入侵防御系統(tǒng)研究和實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,人們對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴(lài)與日俱增。但是開(kāi)放的網(wǎng)絡(luò)環(huán)境就像一把雙刃劍,在帶給人們無(wú)限方便的同時(shí),也對(duì)數(shù)據(jù)的安全構(gòu)成了巨大的威脅。入侵檢測(cè)和惡意流量攔截一直是網(wǎng)絡(luò)安全技術(shù)研究的重點(diǎn)內(nèi)容,也是較為有效的防御手段。但是防火墻和入侵檢測(cè)系統(tǒng)的廣泛使用并沒(méi)有完全解決網(wǎng)絡(luò)流量的問(wèn)題。如何提高入侵檢測(cè)的檢測(cè)精度,如何將檢測(cè)和過(guò)濾能力有效地結(jié)合,仍然是困擾著網(wǎng)絡(luò)安全人員的棘手問(wèn)題。網(wǎng)絡(luò)入侵防御系統(tǒng)是在入侵檢測(cè)技術(shù)的基礎(chǔ)上,融合了入侵

2、檢測(cè)和流量攔截過(guò)濾技術(shù)而提出的一項(xiàng)新技術(shù)。它具備深度檢測(cè)和主動(dòng)攔截的雙重特性,研究和應(yīng)用前景十分廣闊。 Snort入侵檢測(cè)系統(tǒng)是目前應(yīng)用最廣,也是最具代表性的入侵檢測(cè)系統(tǒng)。本文深入分析了snort系統(tǒng)的系統(tǒng)結(jié)構(gòu)和技術(shù)細(xì)節(jié),發(fā)現(xiàn)并指出了限制snort提高檢測(cè)能力的一個(gè)不足之處-檢測(cè)只針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行,不能通過(guò)流量的行為特征進(jìn)行檢測(cè)。針對(duì)snort系統(tǒng)的此點(diǎn)不足,本文提出了一種基于時(shí)序性流量的二維入侵檢測(cè)技術(shù),并闡述了使用二維檢測(cè)

3、技術(shù)的檢測(cè)方法?；跁r(shí)序性的二維特征檢測(cè)技術(shù),可以將傳統(tǒng)的特征檢測(cè)從單包的一維特征檢測(cè)擴(kuò)展到時(shí)序性的二維特征檢測(cè),使檢測(cè)引擎對(duì)惡意流量的檢測(cè)能力和檢測(cè)機(jī)會(huì)大大增加,檢測(cè)引擎的檢測(cè)能力和檢測(cè)精度得到大幅提升。 在此基礎(chǔ)上,本文將基于二維特征的檢測(cè)技術(shù)引入到snort入侵檢測(cè)系統(tǒng)中,并結(jié)合了網(wǎng)絡(luò)流量過(guò)濾攔截的相關(guān)技術(shù),重新對(duì)snort系統(tǒng)的總體結(jié)構(gòu)進(jìn)行了設(shè)計(jì),實(shí)現(xiàn)了一套基于snort和二維檢測(cè)的入侵防御系統(tǒng)。 最后通過(guò)系統(tǒng)測(cè)