入侵檢測中數(shù)據(jù)采集技術(shù)的研究.pdf

1、網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷普及,加大了人們對網(wǎng)絡(luò)的依賴性,同時也帶來了日益突出的信息安全問題.過去采用的傳統(tǒng)的加密和防火墻技術(shù)己經(jīng)不能完全滿足安全需求,入侵檢測技術(shù)作為一種主動預(yù)防的安全手段,越來越顯示出重要性.Snort系統(tǒng)是一個開放源代碼的網(wǎng)絡(luò)入侵檢測系統(tǒng),提供給遍布世界范圍內(nèi)的眾多愛好者研究和維護(hù)該系統(tǒng)的機(jī)會,也為入侵檢測系統(tǒng)的發(fā)展奠定了基礎(chǔ).因此對Snort系統(tǒng)進(jìn)行研究是非常有意義的.本文首先介紹了入侵檢測系統(tǒng)的基礎(chǔ)

2、知識,簡述了入侵檢測的發(fā)展背景和歷史,對入侵檢測系統(tǒng)的研究現(xiàn)狀和發(fā)展趨勢做出了綜合性的描述.入侵檢測技術(shù)是本文研究的重點(diǎn),以Snort系統(tǒng)為研究對象,剖析了其組成結(jié)構(gòu)和工作模式,探討了Snort系統(tǒng)中的協(xié)議解析模塊、規(guī)則檢測模塊和檢測引擎模塊.針對Snort系統(tǒng)的檢測引擎中的模式匹配算法,類比了Boyer-Moore算法和AC-BM算法的優(yōu)缺點(diǎn),并對目前利用規(guī)則優(yōu)化的方法來提高匹配效率的技術(shù)做了簡單描述.在配置Snort系統(tǒng)時,根據(jù)我的

3、網(wǎng)絡(luò)情況和系統(tǒng)性能對配置選項做出了詳細(xì)的說明,對使用Snort系統(tǒng)中所連接的Mysql數(shù)據(jù)庫的生成和數(shù)據(jù)的導(dǎo)入也給出了描述.通過對Snort系統(tǒng)作的簡單的測試,分析了Snort系統(tǒng)還存在的問題.數(shù)據(jù)采集技術(shù)決定了一個入侵檢測系統(tǒng)是否能夠有效的、準(zhǔn)確的檢測攻擊行為.在這部分內(nèi)容中,對目前最易實施的網(wǎng)絡(luò)攻擊手段——拒絕服務(wù)攻擊,進(jìn)行了分析,指明了引起這種攻擊的一個原因——碎片數(shù)據(jù)包,并針對碎片采集的重組算法給出了分析和改進(jìn).結(jié)合Snort系