基于Snort的分布式入侵檢測系統(tǒng)研究與實現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，保證網(wǎng)絡(luò)的安全也顯得越來越重要。入侵檢測系統(tǒng)通過收集和分析系統(tǒng)日志或者網(wǎng)絡(luò)數(shù)據(jù)來檢查系統(tǒng)或網(wǎng)絡(luò)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡(luò)的實時保護，是安全防御體系中必不可少的一個組成部份。
　　 本文首先介紹了入侵檢測的一些相關(guān)概念和入侵檢測技術(shù)的發(fā)展趨勢，并對分布式入侵檢測系統(tǒng)的一些不同的體系結(jié)構(gòu)進行了分析，然后對開源入侵檢測項目Snort-2.8.0.1進行源代碼分析，

2、重點分析Snort的初始化過程，Snort的插件機制，檢測報警過程，告警日志過程，Snort規(guī)則引擎及快速匹配引擎部分的源代碼。
　　 在此基礎(chǔ)上，設(shè)計并實現(xiàn)了一個基于Snort的分布式入侵檢測系統(tǒng)。即在Snort-2.8.0.1的基礎(chǔ)上，添加了規(guī)則生成模塊，多播傳遞模塊和動態(tài)添加規(guī)則模塊。規(guī)則生成模塊對事先從攻擊主機收集到的攻擊包，運用apriori算法進行分析，找出這些攻擊包的相同特征，并轉(zhuǎn)換成相應(yīng)的Snort規(guī)則。多播模塊

3、將生成的規(guī)則以多播的方式傳遞給其他的Snort進程，當(dāng)這些主機上的多播接收端接收到規(guī)則信息后，就將該規(guī)則放到消息隊列中。動態(tài)添加規(guī)則模塊從消息隊列中讀取到該規(guī)則，進行解析及規(guī)則沖突檢查后，如果不存在沖突就動態(tài)添加到Snort的規(guī)則引擎中，使它們也能檢測這種攻擊。
　　 最后，本文對該分布式入侵檢測系統(tǒng)進行了測試與驗證，針對3種攻擊工具分別生成相應(yīng)的規(guī)則，并通過多播的方式傳遞給其他的Snort。通過實驗證明了在該系統(tǒng)中各個Snor