基于Snort的網(wǎng)絡(luò)入侵檢測系統(tǒng)規(guī)則集優(yōu)化研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)絡(luò)應(yīng)用環(huán)境的不斷普及，網(wǎng)絡(luò)安全問題日益突出。在傳統(tǒng)的加密和防火墻技術(shù)已經(jīng)不能完全滿足安全需求的同時(shí)，入侵檢測技術(shù)作為一種全新的安全保障手段，在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著其獨(dú)到的作用。因此一個(gè)集上網(wǎng)行為管理、網(wǎng)絡(luò)審計(jì)為一體的網(wǎng)絡(luò)管理系統(tǒng)就顯得更加具有實(shí)際應(yīng)用意義。
　　 本文在介紹入侵檢測技術(shù)基礎(chǔ)上，以輕量級(jí)入侵檢測工具Snort為研究對(duì)象，剖析其模塊結(jié)構(gòu)、工作流程和規(guī)則特點(diǎn)，闡述系統(tǒng)的整體架構(gòu)和具體應(yīng)用。著重研

2、究了對(duì)Snort規(guī)則集的優(yōu)化。通過創(chuàng)建策略樹、判定規(guī)則關(guān)系的方式，提出了對(duì)Snort規(guī)則集進(jìn)行沖突檢測的遞歸算法和沖突異常解決方案；通過對(duì)特征規(guī)則匹配頻數(shù)的統(tǒng)計(jì)，提出了以規(guī)則文件為單位基于攻擊類型優(yōu)先級(jí)的靜態(tài)次序優(yōu)化；并基于沖突檢測的結(jié)果，有次序限制條件的對(duì)Snort規(guī)則集進(jìn)行動(dòng)態(tài)索引次序優(yōu)化。
　　 實(shí)驗(yàn)結(jié)果表明，規(guī)則集優(yōu)化算法能夠發(fā)現(xiàn)規(guī)則中潛在的沖突異常并進(jìn)行正確處理。在網(wǎng)絡(luò)負(fù)載幾乎相同的環(huán)境下，經(jīng)過規(guī)則集優(yōu)化的Snort檢

3、測引擎處理時(shí)間要少于原Snort的處理時(shí)間，效率得到提高；同時(shí)入侵檢測誤報(bào)率和漏報(bào)率也有所降低。Snort規(guī)則集沖突檢測研究為入侵檢測引擎規(guī)則集優(yōu)化的設(shè)計(jì)打開了一條新的思路，但它還需要不斷完善。
　　 在優(yōu)化Snort規(guī)則集基礎(chǔ)上，基于Snort搭建了網(wǎng)絡(luò)審計(jì)與行為分析(NAS)入侵檢測系統(tǒng)，設(shè)計(jì)并實(shí)現(xiàn)了日志文件審計(jì)、特征規(guī)則管理、沖突檢測報(bào)警、數(shù)據(jù)包協(xié)議分析、終端管理等功能，并通過測試證明其有效性和可用性。考慮到Snort協(xié)議