snort研究與应用.docVIP

PAGE 3 课设题目：snort研究与应用 专 业：网络工程 班 级：10网工 学 生：贾诺 学 号：20101204026 指导老师：赵兵 摘要 随着互联网的飞速发展，在中国经济的发展中起到了举足轻重的作用，日益成为人们生活、工作、学习中不可缺少的工具。然而，伴随而来的也有各种操作系统及应用程序的漏洞不多出现，我国互联网用环圈防范意识非常薄弱，容易成为恶意攻击者利用的首选目标，网络安全问题变得日益紧迫。入侵监测系统是网络安全中一个重要的组件，他对网络进行实时的监控和防范。 当前入侵监测系统主要分为两类：基于主机的入侵监测系统和基于网络的入侵监测系统。其中基于网络的入侵监测系统有明显的优势，它设置在一台主机上就可以监控保护整个网段，降低了成本，提高了效率。本文研究的snort系统是基于网络的入侵监测系统的一种。 入侵监测系统主要有三种不同的检测方法：完整性监测、异常检测、特征检测。完整性监测是将系统的文件生成一个校验和，然后定期将文件进行校验，如果发生裂变话就发出警报。异常敬爱南侧是监测一个行为与标准是否相同，如果不同就发出警报。特征检测是对入侵行为的特点进行检测的一种方法，使检测一直攻击的最准确的方法，snort系统使用的是特征检测方法。Snort系统与现存有一些规则集，当一个入侵于一个特征匹配的时候就会产生警报。 Snort入侵监测系统是一个开源的轻量级入侵监测系统，本文使用的是snort。snort系统是跨平台的，既可以在Unix和类Unix操作系统上使用，同样也可以在Windows操作系统上运行，采用插件机构，具有很强的宽展性。 特征检测的核心技术是模式匹配算法的应用。随着高速网络的迅猛发展，网络流量不断增大，入侵监测系统的实时性要求面临重大考验，高校的模式匹配算法的作用就显得尤为重要。本文是对Snort.的源代码进行研究，分析了模式匹配算法在snort系统中的应用。 关键词：snort;入侵检测；网络安全。 目录 绪论 1.1网络安全现状 4 1.2本文的研究目的及意义 4 snort的简介 2.1snort的简介5 第三章Snort入侵检测系统的研究 3.1 snort入侵检测系统的组成 5 3.2 snort入侵检测系统的工作流程 5 3.3 snort入侵检测系统分类 6 3.4 snort入侵检测面临的挑战和发展趋势 8 3.5 本章小结 10 第四章Snort 规则 4.1 规则的选项11 4.2 规则的结构15 4.3第一个不可用规则16 第五章 snort的应用17 2012-11-10 第一章 绪论 1.1网络安全现状 互联网推进了中国经济社会发展。在经济领域，互联网加速向传统产业渗透，产业边界日益交融，新型上午模式和服务经济加速星期，衍生了新的业态。互联网在促进经济结构调整、转变经济发展方式等方面发挥了越来越重要的作用。互联网也日益成为人们生活、工作、学习不可或缺的工具，正对社会生活的方方面面产生着深刻影响。 随着互联网的飞速发展，中国大陆地区互联网网民数量和手机上网用户急剧增加。然而各种操作系统及应用程序的漏洞不断出现，相比西方发达国家我国互联网用户防范意识非常薄弱。容易成为黑客攻击利用的首选目标。互联网具有开放性，互联性和虚拟性的特点，互联网上发生的安全事件可以完全不受物理位置的限制，即使拥有一般技术水平的黑客也可以轻而易举的实施对远程目标的攻击，并在攻击的同时隐藏自己的真实位置和身份。 比如，目前网上有成百上千万的计算机感染了木马或僵尸程序，并被各种各样的黑客暗中控制，成为所谓的“肉机”来实施网络的攻击，其目的是在达到攻击目标的同时最大限度的隐藏自己真实地址，给追踪攻击来源造成很大的困难。 2012年6月位于林肯市内布拉斯加大学承认发生了一起数据泄漏事件。该事件泄漏了645000多份师生、学生父母和该校毕业生的个人信息。这些被盗的信息源自内布拉斯加州学生信息系统数据库。目前已经有一名学生被指控涉嫌窃取了这些数据。 本文的研究目的及意义 入侵监测系统（Intrusion Detection System，IDS）是网络安全体系中一个重要的组件。IDS可以是硬件、软件或者软硬件的结合构成，它对网络系统中的恶意行为进行监控防范，对可能的威胁进行实时的监控，一个网络倘若不及时的设置IDS，则该网络就有可能会被攻击而没有察觉。IDS是非攻击的技术。相比防火墙，可以很大的降低故障所带来的风险。入侵检测技术作为一种积极主动的安全防护技术，提供连接内部攻击、外部攻击和误操作的实施，在网络系统受到危害之前拦截和相应入侵。因此，IDS被认为是继防火墙之后的第二道安全闸门。 本文通过研究入侵检测系统Snort的模式匹配算法，在原有算法的基础上进行改造，提出一种更高校的模式匹配算