基于Snort的混合入侵檢測(cè)模型在網(wǎng)絡(luò)靶場(chǎng)中的應(yīng)用研究.pdf

1、網(wǎng)絡(luò)靶場(chǎng)是一個(gè)仿真的網(wǎng)絡(luò)安全、攻防演練、人員培訓(xùn)的虛擬訓(xùn)練場(chǎng)，其目的是提升訓(xùn)練人員的網(wǎng)絡(luò)攻防技能。靶場(chǎng)模擬訓(xùn)練時(shí)會(huì)產(chǎn)生網(wǎng)絡(luò)攻防流量，對(duì)這些攻防流量的檢測(cè)與記錄一般是通過(guò)入侵檢測(cè)系統(tǒng)來(lái)實(shí)現(xiàn)的。實(shí)時(shí)檢測(cè)和日志記錄是入侵檢測(cè)系統(tǒng)的兩大核心功能，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的功能能夠捕獲到網(wǎng)絡(luò)攻防對(duì)抗演練中產(chǎn)生的入侵行為，作用就如同攻防對(duì)抗的記錄儀一樣反映著演練的情況；日志記錄功能提供的日志數(shù)據(jù)則為攻防訓(xùn)練的展示及評(píng)價(jià)提供了很好的依據(jù)。靶場(chǎng)跟蹤系統(tǒng)能準(zhǔn)確

2、檢測(cè)并實(shí)時(shí)展示攻防演練情況，其主要利用的就是入侵檢測(cè)系統(tǒng)的這兩大核心功能。正因?yàn)榇耍肭謾z測(cè)系統(tǒng)是靶場(chǎng)跟蹤系統(tǒng)的重要組成部分。綜合考慮成本與技術(shù)因素，著名入侵檢測(cè)系統(tǒng)Snort以其開(kāi)源和免費(fèi)的優(yōu)勢(shì)而被網(wǎng)絡(luò)訓(xùn)練靶場(chǎng)跟蹤系統(tǒng)選用。在實(shí)際的運(yùn)用過(guò)程中，Snort表現(xiàn)出了很多缺陷和問(wèn)題，但因Snort開(kāi)放靈活的特點(diǎn)，擁有巨大的改進(jìn)空間，是非常值得研究的。
　　該文為改進(jìn)Snort在靶場(chǎng)跟蹤系統(tǒng)中的應(yīng)用性能展開(kāi)研究。首先，對(duì)入侵檢測(cè)的發(fā)展概

3、況及Snort的應(yīng)用現(xiàn)狀進(jìn)行了深入分析，分析了Snort固有的缺點(diǎn)；其次，論文對(duì)現(xiàn)有Snort系統(tǒng)的體系結(jié)構(gòu)、各主要功能模塊及其檢測(cè)機(jī)制進(jìn)行了詳細(xì)分析，并研究了運(yùn)用到入侵檢測(cè)中的數(shù)據(jù)挖掘技術(shù)；針對(duì)靶場(chǎng)中攻防訓(xùn)練較多時(shí)，Snort檢測(cè)效率低下，不能將監(jiān)控產(chǎn)生的日志及時(shí)送達(dá)跟蹤系統(tǒng)展示給考核人員的問(wèn)題，為Snort設(shè)計(jì)了一個(gè)異常檢測(cè)模塊，用來(lái)過(guò)濾掉大量正常網(wǎng)絡(luò)流量，以提升檢測(cè)效率；針對(duì)訓(xùn)練人員會(huì)在靶場(chǎng)環(huán)境中不斷嘗試新攻擊的現(xiàn)象，為Snort