基于Snort的分布式入侵檢測系統(tǒng)應(yīng)用實(shí)驗(yàn)研究.pdf

1、本課題主要是,結(jié)合網(wǎng)絡(luò)攻擊技術(shù),在攻防實(shí)驗(yàn)中對網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort進(jìn)行分析與研究,并嘗試對Snort應(yīng)用作一些實(shí)驗(yàn)研究工作以適應(yīng)網(wǎng)絡(luò)實(shí)際環(huán)境的需求。Snort采用規(guī)則匹配來檢測可疑或惡意的網(wǎng)絡(luò)流量。它支持插件技術(shù),而且它的規(guī)則描述語言可以很好地描述網(wǎng)絡(luò)攻擊,這些使得Snort具有很好的可擴(kuò)展性能。論文的核心內(nèi)容就是圍繞Snort的插件技術(shù)和規(guī)則描述語言展開的實(shí)驗(yàn)研究。論文首先對Snort進(jìn)行分析,詳細(xì)地分析了Snort的體系結(jié)構(gòu)、

2、入侵檢測總體流程、協(xié)議解析、規(guī)則解析及規(guī)則匹配機(jī)制。并設(shè)計(jì)與實(shí)現(xiàn)了一個(gè)以Snort為核心的分布式入侵檢測系統(tǒng),將其應(yīng)用到一個(gè)實(shí)驗(yàn)局域網(wǎng)中,提出了Snort的實(shí)用解決方案并分析了Snort入侵檢測性能。論文還對網(wǎng)絡(luò)攻擊和Snort規(guī)則編寫進(jìn)行了分析與研究。主要從操作系統(tǒng)漏洞描述、網(wǎng)絡(luò)攻擊響應(yīng)以及網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境的檢測策略這三個(gè)角度,闡述了Snort規(guī)則編寫的一般原則與方法。針對于微軟分布式事務(wù)處理協(xié)調(diào)器內(nèi)存破壞漏洞的攻擊原理、BDoor木馬攻

3、擊的原理以及3389端口入侵的原理,利用流量分析,編寫成檢測這些攻擊的Snort規(guī)則,再將新編寫的規(guī)則加入到規(guī)則庫中,并通過實(shí)驗(yàn)分析,證明了新編寫規(guī)則的有效性和準(zhǔn)確性。針對不容易提取特征的異常FTP網(wǎng)絡(luò)流量,論文設(shè)計(jì)與實(shí)現(xiàn)了FTP協(xié)議分析與命令解釋的預(yù)處理插件。結(jié)合FTP攻擊對該預(yù)處理插件進(jìn)行實(shí)驗(yàn)測試,該預(yù)處理插件可檢測到FTP口令暴力破解攻擊、IISFTP遠(yuǎn)程溢出漏洞的攻擊和MDTM命令遠(yuǎn)程溢出攻擊。實(shí)驗(yàn)研究的結(jié)果說明:詳細(xì)地了解Sn