1��、隨著互聯(lián)網(wǎng)的飛速發(fā)展以及網(wǎng)絡(luò)應(yīng)用的日新月異����,網(wǎng)絡(luò)安全問題也變得日益復(fù)雜和突出�����。入侵檢測(cè)系統(tǒng)作為一種能夠主動(dòng)、實(shí)時(shí)地保障網(wǎng)絡(luò)信息安全的動(dòng)態(tài)安全設(shè)施����,是繼“防火墻"、“身份認(rèn)證”�����、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)����,它不僅能檢測(cè)來自外部的入侵行為,還能同時(shí)檢測(cè)來自內(nèi)部的入侵活動(dòng)��。Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)��,它具有很好的擴(kuò)展性和可移植性�,其強(qiáng)大的功能和靈活性可以滿足多種應(yīng)用環(huán)境的需求�����。 本文在介紹
2���、入侵檢測(cè)系統(tǒng)的基礎(chǔ)上����,著重研究了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort。通過對(duì)Snort系統(tǒng)體系結(jié)構(gòu)各模塊功能��、工作流程和規(guī)則結(jié)構(gòu)的深入分析����,指出了制約Snort性能的瓶頸所在,提出了改進(jìn)Snort性能的四種方法:第一��,采用內(nèi)存映射��、零拷貝和半輪詢技術(shù)來改進(jìn)Snort的包捕獲性能��。第二��,采用協(xié)議流分析技術(shù)�,丟棄來自于受保護(hù)服務(wù)器的數(shù)據(jù)流,以提高攻擊檢測(cè)的效率�����。第三�,采用規(guī)則優(yōu)化技術(shù)創(chuàng)建高效的規(guī)則集以提高規(guī)則匹配的速度���。第四,改進(jìn)模式匹配算法�,減少模
3、式匹配所花費(fèi)的時(shí)間���。論文給出了一個(gè)改進(jìn)后的綜合模型���,然后通過理論推導(dǎo),證明了協(xié)議流分析技術(shù)對(duì)減少Snort的整體處理時(shí)間效果明顯��;通過實(shí)驗(yàn)�����,證明了采用規(guī)則優(yōu)化技術(shù)后�,檢測(cè)引擎的匹配速度比原系統(tǒng)有較大的提高;通過實(shí)驗(yàn)���,比較了經(jīng)典模式匹配算法--BM算法�、.AC算法和WM算法的時(shí)空性能��,得出了WM算法有較好的時(shí)空性能����。 針對(duì)當(dāng)前校園網(wǎng)中存在的ARP欺騙、DHCP FI,OOD攻擊以及私設(shè)DHCP服務(wù)器�����、私設(shè)PROXY等非規(guī)范行為����。在
