入侵檢測中數(shù)據(jù)采集技術的研究.pdf

1、網(wǎng)絡技術的快速發(fā)展和網(wǎng)絡應用環(huán)境的不斷普及,加大了人們對網(wǎng)絡的依賴性,同時也帶來了日益突出的信息安全問題.過去采用的傳統(tǒng)的加密和防火墻技術己經(jīng)不能完全滿足安全需求,入侵檢測技術作為一種主動預防的安全手段,越來越顯示出重要性.Snort系統(tǒng)是一個開放源代碼的網(wǎng)絡入侵檢測系統(tǒng),提供給遍布世界范圍內的眾多愛好者研究和維護該系統(tǒng)的機會,也為入侵檢測系統(tǒng)的發(fā)展奠定了基礎.因此對Snort系統(tǒng)進行研究是非常有意義的.本文首先介紹了入侵檢測系統(tǒng)的基礎

2、知識,簡述了入侵檢測的發(fā)展背景和歷史,對入侵檢測系統(tǒng)的研究現(xiàn)狀和發(fā)展趨勢做出了綜合性的描述.入侵檢測技術是本文研究的重點,以Snort系統(tǒng)為研究對象,剖析了其組成結構和工作模式,探討了Snort系統(tǒng)中的協(xié)議解析模塊、規(guī)則檢測模塊和檢測引擎模塊.針對Snort系統(tǒng)的檢測引擎中的模式匹配算法,類比了Boyer-Moore算法和AC-BM算法的優(yōu)缺點,并對目前利用規(guī)則優(yōu)化的方法來提高匹配效率的技術做了簡單描述.在配置Snort系統(tǒng)時,根據(jù)我的

3、網(wǎng)絡情況和系統(tǒng)性能對配置選項做出了詳細的說明,對使用Snort系統(tǒng)中所連接的Mysql數(shù)據(jù)庫的生成和數(shù)據(jù)的導入也給出了描述.通過對Snort系統(tǒng)作的簡單的測試,分析了Snort系統(tǒng)還存在的問題.數(shù)據(jù)采集技術決定了一個入侵檢測系統(tǒng)是否能夠有效的、準確的檢測攻擊行為.在這部分內容中,對目前最易實施的網(wǎng)絡攻擊手段——拒絕服務攻擊,進行了分析,指明了引起這種攻擊的一個原因——碎片數(shù)據(jù)包,并針對碎片采集的重組算法給出了分析和改進.結合Snort系