| 摘 要:随着网络技术的飞速发展,计算机网络在社会、经济、文化及人们的日常生活中扮演着越来越重要的角色。人们在使用计算机网络的同时,也深深的感受到网络安全的重要性。入侵检测正是网络安全的一个重要的守卫士。对入侵检测根据其所采用的方法可以分为:误用检测,异常检测和基于规范的检测。 Snort是一个开放源码的网络入侵检测系统(NIDS),它采用误用检测的方法,具有很强的告警能力,然而Snort在规则匹配方面仍存在缺陷,特别是在高速网络连接下,Snort的规则匹配算法匹配效率较低。因此本文对误用检测中的规则匹配算法进行了研究与改进,结合动态规则匹配技术,改进规则匹配算法,使得Snort的检测效率得到提高。 本文对改进前后的算法做了对比实验。首先,采用Snort入侵检测模型和改进前的算法,构建一个入侵检测系统,进行实验并得到相应的实验结果;然后,使用改进后的算法,将Snort的规则库内容进行动态排序后,进行实验,并将实验结果与改进前进行比较。对比分析结果表明,改进后的算法提高了检测效率。 关键字:规则匹配;规则库;动态匹配 The Implementation And ImprovementOf IDS Rule-matching Algorithm ABSTRACT:With the rapid development of Internet, computer network has become much more important in many areas, namely, society, economics, culture, and the people's ordinary lives. People is also deeply feel the importance of network security when they use computer networks, Intrusion Detection Network security is an important guard . According to the detection methods of IDS, we can divide IDS into three types: misuse detection ,anomaly detection and standardized detection. Snort is an open source network intrusion detection system (NIDS),which use the misuse detection methods and has a strong warning capability, However Snort have some disadvantage in many respects, Especially in the case of the high-speed network link, the rules matching algorithm of Snort is less efficient. Therefore ,we use dynamic rule-matching technology and make some research in order to make some improvements in the detection efficiency. In this paper, we make two experiments, one experiment we use the Original algorithm, the other we use the improved algorithm. This paper use Snort Intrusion Detection model, built an intrusion detection system in order to do intrusion detection experiments. Then the rules will be adjusted dynamically by algorithm, continue to do experiments, the results will be compared with before, thus proving that the system improved the detection efficiency. Then, conclude the results of this experiment. Keywords: IDS; rules matching; rules lab; dynamic matching 目 录 1 绪论 1 1.1 入侵检测系统的起源 1 1.2 入侵检测系统的现状 1 1.2.1 国外IDS现状 2 1.3 入侵检测系统的分类 3 1.3.1 国内IDS产品 5 1.3.2 国外IDS产品介绍 6 1.4 IDS的体系结构 6 1.5 入侵检测系统的发展方向 7 1.6 本文所做的工作 8 2 Snort的研究 9 2.1 Snort的规则 9 2.2 Snort匹配算法解析 13 2.3 Snort 命令介绍 14 2.4 Snort的工作模式 16 3 规则匹配算法 19 3.1 BMH算法 19 3.2 KMP匹配算法 20 3.3 BM算法 22 4 Snort规则匹配算法的改进 24 4.1 引言 24 4.2 算法改进目的 24 4.3 算法改进思想 24 4.4 改进后的Snort规则机制 25 4.5 改进后的Snort模块图 26 5 Snort实验 28 5.1 实验一: Snort的调试实验 28 5.1.1 实验设备 28 5.1.2 实验目的 28 5.1.3 平台搭建 28 5.1.4 实验方案 40 5.1.5 Snort运行页面 40 5.1.6 实验结果 42 5.2 实验二: Snort的改进实验 42 5.2.1 实验设备 42 5.2.2 实验目的 43 5.2.3 实验方案 43 5.2.4 实验结果 43 5.3 结论 43 6 总结和展望 45 致谢 46 参考文献 47 附录 49 表格目录 表格 2 1 Snort规则的结构表 11 表格 2 2 Snort规则头部的结构表 11 表格 3 1 BM算法的匹配过程表 23 表格 5 1改进前数据包分析时间表 42 表格 5 2 改进后数据包分析时间表 43 图目录 图 1 1 入侵检测系统的部署方式图 7 图 2 1 Snort的规则树 14 图 4 1 改进后的规则树图 26 图 4 2 Snort的改进模块图 27 图 5 1 Apache Monitor键面 36 图 5 2 Apache测试成功图 36 图 5 3 PHP 安装成功图 37 图 5 4 Snort 数据表建立成功图 39 图 5 5 告警信息显示图 40 图 5 6 频率较高的告警显示图 41 图 5 7 端口告警显示 41 图 5 8 目的 IP告警图 42 图 5 9 改进后实验结果图 44 1 绪论 1.1 入侵检测系统的起源 最早的入侵检测概念是1980年由James.Anderson提出的,认为对日志审计追踪可应用于监视系统的入侵行为。1987年,Dorothy E Denning[1]提出了第一个入侵检测模型,称之为入侵检测专家系统(Intrusion Detection Expert System,简称IDES),该模型将异常定义为“稀少和不寻常”(指一些统计特征量不在正常范围内),通过监控若干根据主机系统审计数据建立的正常行为模式集的异常变化发现系统的入侵行为。1988年Teresa Lunt等人在IDES基础上,提出了与系统平台无关的实时检测思想。1990年,Heberlein等人提出第一个基于网络的入侵检测系统,称之为网络安全监控器(Network Security Monitor,简称NSM),该系统根据对网络数据包流的监视分析,发现入侵行为。1990年初IDS商业化迅速发展,代表产品:CMDS、NetProwler、NetRanger 、ISS RealSecure等。入侵检测从最初的实验室研究课题到目前的商业产品,已经有20多年的发展历史。 |
IDS规则匹配算法的改进与实现
- 上一篇:高速公路收费系统设计与实现
- 下一篇:基于多组织架构的电子公文交换系统的设计与实现
查看评论
已有0位网友发表了看法