基于snort的入侵检测系统的研究--开题报告.doc

DONGFANG COLLEGE，FUJIAN AGRICULTURE AND FORESTRY UNIVERSITY 论文题目： 基于snort的入侵检测系统的研究 专 业： 电子信息工程 学 号： xxxxxxxxx 姓 名： xxx 指导教师： 詹仕华 制定时间： 2011年9月20日 一、立题意义及国内外的研究现状与存在问题，主要研究内容及拟解决的关键性问题（含文献综述） 1 立题意义 入侵检测是从上世纪九十年发展起来的一种动态地监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。和传统的预防性安全机制相比，入侵检测是一种事后处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。入侵检测技术的引入，使得网络、系统的安全性得到进一步的提高。例如，可检测出内部人员偶然或故意提高他们的用户权限的行为，避免系统内部人员对系统的越权使用。显然，入侵检测是对传统计算机安全机制的一种补充，它的开发应用加强了网络与系统安全的保护，成为目前关于动态安全工具的研究和开发的主要方向。入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时拦截，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性要求越来越高，为给电子商务等网络应用提供可靠服务，能够从网络安全的立体纵深、多层次防御的角度提供安全服务的入侵检测系统，必将进一步受到人们的高度重视[1][2]。入侵检测作为一种主动的安全防护手段，为主机和网络提供了动态的安全保障．它不仅检测来自外部的入侵行为，同时也对内部的未授权活动进行监督．利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，融合比较先进的数据挖掘和数据融合方法，能较好地解决当前入侵检测系统中准确性与实时性等问题。 2 国内外的研究和存在问题 入侵检测系统（IDS）的研究最早可追溯到James Aderson在1980年的工作，他首先提出了入侵检测的概念。他将入侵定义为：“潜在的、有预谋的、未经授权的访问操作。入侵是致使系统不可靠或无法使用的企图”[3]。1987年， Dorothy.E.Denning首次给出了入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出[4]。作为一种积极的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。根据国外机构近几年发布的入侵检测产品评测报告，存在以下几个问题：误报率高、执行率低和自身结构存在安全隐患等。1998年，Martin Roesch撰写了一个名为Snort的软件，将其定位成简单轻巧的入侵检测软件。经过了若干年的发展，Snort从当初的1600行的代码发展成了75000行代码的软件。当今，SIDS已经在世界各个需要保证安全的机构被采用。该系统可以和其他更多的工具协调工作，使其具有更为强大的入侵检测功能[5]。 在国内，随着接入互联网的政府和金融机构等关键部门、关键业务日益增多，更需要自主知识产权的入侵检测产品。进入21世纪后，国内对入侵检测系统的研究与开发也加快了脚步，在国内市场上占有相当大的份额。Snort也面临一些问题，如检测的速度还不够快，规则集的组织还不够缜密。所以现在全球开源界的精英们正在努力地改进Snort，改进内容包括：提高检测速度、异常检测、人工智能的应用、标准化、蜜罐技术[6]等。 3 主要研究内容和拟关键性问题 （1）对软件snort的深入掌握，熟练运用； （2）入侵检测系统的概念、分类； （3）入侵检测系统的相关技术和研究方向； （4）Snort的入侵检测系统的分析，包括snort的总体结构、模块功能及协议的分析等。 4 参考文献 [1]扬义先,钮心忻.入侵检测理论与技术[M].北京:高等教育出版社,2006. [2]胡昌振.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2006. [3]EricCole著，苏雷译.黑客攻击透析和防范〔M〕.北京:电子工业出版社，2002. [4]BruceSchneier著，吴世忠，马芳译.网络信息安全的真相「M].北京:机械工业出版社，2001. [5] Jamie Cameron, Christo