入侵檢測(cè)中數(shù)據(jù)采集技術(shù)的研究.pdf

1、網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷普及,加大了人們對(duì)網(wǎng)絡(luò)的依賴性,同時(shí)也帶來(lái)了日益突出的信息安全問(wèn)題.過(guò)去采用的傳統(tǒng)的加密和防火墻技術(shù)己經(jīng)不能完全滿足安全需求,入侵檢測(cè)技術(shù)作為一種主動(dòng)預(yù)防的安全手段,越來(lái)越顯示出重要性.Snort系統(tǒng)是一個(gè)開放源代碼的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),提供給遍布世界范圍內(nèi)的眾多愛好者研究和維護(hù)該系統(tǒng)的機(jī)會(huì),也為入侵檢測(cè)系統(tǒng)的發(fā)展奠定了基礎(chǔ).因此對(duì)Snort系統(tǒng)進(jìn)行研究是非常有意義的.本文首先介紹了入侵檢測(cè)系統(tǒng)的基礎(chǔ)

2、知識(shí),簡(jiǎn)述了入侵檢測(cè)的發(fā)展背景和歷史,對(duì)入侵檢測(cè)系統(tǒng)的研究現(xiàn)狀和發(fā)展趨勢(shì)做出了綜合性的描述.入侵檢測(cè)技術(shù)是本文研究的重點(diǎn),以Snort系統(tǒng)為研究對(duì)象,剖析了其組成結(jié)構(gòu)和工作模式,探討了Snort系統(tǒng)中的協(xié)議解析模塊、規(guī)則檢測(cè)模塊和檢測(cè)引擎模塊.針對(duì)Snort系統(tǒng)的檢測(cè)引擎中的模式匹配算法,類比了Boyer-Moore算法和AC-BM算法的優(yōu)缺點(diǎn),并對(duì)目前利用規(guī)則優(yōu)化的方法來(lái)提高匹配效率的技術(shù)做了簡(jiǎn)單描述.在配置Snort系統(tǒng)時(shí),根據(jù)我的

3、網(wǎng)絡(luò)情況和系統(tǒng)性能對(duì)配置選項(xiàng)做出了詳細(xì)的說(shuō)明,對(duì)使用Snort系統(tǒng)中所連接的Mysql數(shù)據(jù)庫(kù)的生成和數(shù)據(jù)的導(dǎo)入也給出了描述.通過(guò)對(duì)Snort系統(tǒng)作的簡(jiǎn)單的測(cè)試,分析了Snort系統(tǒng)還存在的問(wèn)題.數(shù)據(jù)采集技術(shù)決定了一個(gè)入侵檢測(cè)系統(tǒng)是否能夠有效的、準(zhǔn)確的檢測(cè)攻擊行為.在這部分內(nèi)容中,對(duì)目前最易實(shí)施的網(wǎng)絡(luò)攻擊手段——拒絕服務(wù)攻擊,進(jìn)行了分析,指明了引起這種攻擊的一個(gè)原因——碎片數(shù)據(jù)包,并針對(duì)碎片采集的重組算法給出了分析和改進(jìn).結(jié)合Snort系