基于Snort改进入侵检测系统.pdfVIP

基于Snort的改进入侵检测系统

【摘要】本文研究了snort入侵检测系统的特点和工作原理，

通过实验证明入侵在时间上的连续性，并基于该特征提出了一个数

据包采样算法，对snort系统的数据采集模块的数据源进行采样，

并用实验证明该算法可以显著提高入侵检测的效率。

【关键词】snort；入侵检测；数据包采样

一、snort简介

snort利用库函数libpcap截取报文，对报文进行协议分析，内

容搜索/匹配，可以用来检测缓冲区溢出、隐秘端口扫描、cgi攻击、

smb探测、os指纹特征检测等等各种攻击和探测。snort具有较强

的学习能力，它使用灵活的规则语言来描述网络数据报文，可以对

新的攻击作出快速地翻译。snort能实时报警同时支持多种报警信

息处理，包括写到syslog、指定的文件、unix