基于snort技术分析 .pdfVIP

信息与计算科学系课程设计报告

基于SNORT的入侵检测系统的分析

1.绪论

1.1研究目的与意义

随着网络技术的飞速发展，其应用领域也在不断的扩展，网络技术的应用已将从

传统的小型业务系统逐渐扩展到大型的关键业务系统中，比如说金融业务系统、电子

商务系统等等第。然而，随着网络技术的迅速发展，网络安全问题也日益突出。比如

说金融系统、政府信息系统等受到外界的攻击与破坏，信息容易被窃取和修改等网络

安全问题越来越严重。所以说网络安全问题已经成为各国政府、企业以及广大网络用

户关心的问题之一。

任何试图破坏网络活动正常化的问题都可以称为网络安全问题。过去保护网络安

全做常用、最传统的方法就是防火墙，但是防护墙只是一种被动防御性的网络安全工

具，随着科学技术的不断发展，网络日趋复杂化，传统防火墙是不足以满足如今复杂

多变的网络安全问题，在这种情况下，逐渐产生了入侵检测系统，入侵检测系统不仅

能够为网络安全提供及时的入侵检测以及采取响应的防护手段，它还可以识别针对计

算机或网络资源的恶意企图和行为，并对此做出反应，它提供了对系统受到内部攻击、

外部攻击和误操作的实时保护，能够帮助系统对付网络攻击。入侵检测系统能很好的

弥补防火墙的不足，是防火墙的合理完善。

入侵检测系统具有以下几个特点：

1）从系统的不同环节收集各种信息

2）分析收集到的信息并试图寻找入侵信息活动的特征

3）自动对检测到的行为做出响应

4）记录并报告检测结果

入侵检测系统的主要功能有

1）监测并分析用户和系统的活动

2）核查系统配置及其漏洞

1

信息与计算科学系课程设计报告

3）评估系统重要资源和数据文件是否完整

4）识别己知的入侵行为

5）统计分析不正常行为

6）根据操作系统的管理日志，识别违反安全策略的用户活动

入侵检测技术是一种积极主动地安全防护技术，其核心在于它的检测引擎，如何

实现高效快速的检测，是入侵检测技术的一个重要研究重点。目前入侵检测技术主要

分为两大类，分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主

要是针对网络的攻击，因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包，

使用相应的软件来提取入侵者所发出的攻击包的特征，然后将这些特征攻击包和入侵

检测系统的特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入

侵报警。在与特征库进行匹配的过程中，用到的最主要的技术就是模式匹配，所以说

在入侵检测系统中模式匹配是一个研究重点。在国内，随着网络应用的日益增长，特

别是那些关键部门对网络的应用使得网络安全问题至关重要，迫切需要高效的入侵检

测产品来确保网络安全，但是，由于我国的入侵检测技术在网络安全领域的研究起步

较晚，还不够成熟和完善，需要投入较多的精力来对这方面进行探索研究，特别是基

于模式匹配也就是基于规则的入侵检测是一个重要的研究领域，这对抑制黑客攻击和

网络病毒的传播，提高网络安全具有重要意义。

1.2入侵检测技术的不足

入侵检测技术作为安全技术的一个重要领域，正在成为网络安全研究的热点，对

入侵检测的理论研究和实际应用中还存在着许多问题，需要我们继续深入研究和探索，

具体来说，入侵检测在以下方面有待继续发展：

1）阻断入侵的能力低

虽然入侵检测系统有发现入侵、阻断连接的作用。提供对内部攻击、外部攻击和

误操作的实时保护。但它的工作重点是放在对入侵行为的识别。为提高网络安全，有

效识别黑客入侵，必须提高阻断入侵的能力。可考虑将入侵检测系统与防火墙联合起

来，配置好IDS的安全策略，指定响应对象防火墙的地址及密钥，由IDS发起与防

火墙的连接，建立正常连接后，IDS产生新的安全事件通知防火墙，防火墙随之做出

安全策略的相应调整，使防护体系由静态到动态，从源头上彻底切断入侵行为。提升

了防火墙的实时反应能力，增强了IDS的阻断能力。

2