過渡網(wǎng)絡(luò)環(huán)境下Snort的改進(jìn)研究.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)己經(jīng)成為現(xiàn)代社會生活中非常重要的組成部分，網(wǎng)絡(luò)安全也面臨著越來越嚴(yán)峻的考驗(yàn)。入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全研究領(lǐng)域的近年來的熱點(diǎn)課題之一，它對系統(tǒng)(網(wǎng)絡(luò))的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，識別各種入侵企圖、正在發(fā)生的入侵或已經(jīng)發(fā)生的入侵行為，彌補(bǔ)了防火墻的不足，是防火墻之后的又一道安全防線。
　　新一代互聯(lián)網(wǎng)協(xié)議IPv6，不僅很好地解決了IPv4地址匱乏問題，而且在傳輸性能、服務(wù)質(zhì)量、和安全方面都有一定的提高。Inter

2、net過渡和升級到IPv6是必然趨勢，普遍認(rèn)為IPv6因?yàn)镮PSec的引入而比IPv4更加安全。但是IPv6并沒有徹底解決網(wǎng)絡(luò)安全問題：(1)主流操作系統(tǒng)在 IPv6協(xié)議實(shí)現(xiàn)上存在著安全漏洞；(2)非IP層的攻擊能被很容易地移植到IPv6；(3)雙棧和隧道等過渡方式帶來了新的安全問題；(4)IPv6引入的新協(xié)議和機(jī)制存在著特有的安全問題。
　　現(xiàn)有的入侵檢測系統(tǒng)大多局限于IPv4，不能支持IPv6以及IPv4/IPv6共存的過渡網(wǎng)

3、絡(luò)環(huán)境，針對IPv6的入侵檢測系統(tǒng)研究正處于起步階段。
　　本論文對著名開放源代碼網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort的運(yùn)行原理和系統(tǒng)結(jié)構(gòu)進(jìn)行了深入的分析，通過對數(shù)據(jù)解析模塊、預(yù)處理器和規(guī)則庫組織等幾個方面的改進(jìn)，使Snort支持IPv6，能夠運(yùn)行于IPv4/IPv6過渡網(wǎng)絡(luò)環(huán)境中。并通過將規(guī)則按選項(xiàng)進(jìn)行再分類對規(guī)則庫組織進(jìn)行了改進(jìn),減少了每個數(shù)據(jù)包需要進(jìn)行匹配的規(guī)則數(shù)量；通過改進(jìn)規(guī)則選項(xiàng)的排列順序，使正常數(shù)據(jù)能夠盡快的匹配失敗，從而提高檢