基于Snort高速入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，高速網(wǎng)絡(luò)流量不斷增大、各種網(wǎng)絡(luò)攻擊層出不窮，在這樣網(wǎng)絡(luò)環(huán)境下，如何保障高速網(wǎng)絡(luò)的流量安全，如何保障高速網(wǎng)絡(luò)區(qū)域的WEB應(yīng)用服務(wù)安全，已成為亟待解決的問題。因此，迫切需要研究設(shè)計(jì)更準(zhǔn)確、更有效、更高性能的網(wǎng)絡(luò)入侵檢測系統(tǒng)和入侵檢測設(shè)備。目前基于硬件網(wǎng)絡(luò)處理器已經(jīng)發(fā)展非常成熟；高速入侵檢測的高速度、低漏檢率、低誤報(bào)率等要求，使的以軟件為核心的網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨不斷發(fā)展和優(yōu)化的壓力。
　　本文主要從軟件層面對(duì)網(wǎng)

2、絡(luò)入侵檢測系統(tǒng)中的數(shù)據(jù)捕獲瓶頸和檢測匹配瓶頸進(jìn)行分析和研究，提出了基于提升數(shù)據(jù)包捕獲能力、匹配能力和檢測能力的改進(jìn)和設(shè)計(jì)策略，實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)的整體檢測性能和功能的提升，同時(shí)完善了多層次、高效率的控制配置功能和日志告警展現(xiàn)等功能，大大提高了網(wǎng)絡(luò)入侵檢測系統(tǒng)平臺(tái)的檢測的高性能、監(jiān)控的方便性、輸出的多樣性。
　　本文首先研究基于Snort入侵檢測系統(tǒng)的體系結(jié)構(gòu)和主要功能模塊，在原有系統(tǒng)結(jié)構(gòu)基礎(chǔ)上主要進(jìn)行數(shù)據(jù)包捕獲模塊、規(guī)則檢測模塊

3、設(shè)計(jì)，實(shí)現(xiàn)對(duì)高速網(wǎng)絡(luò)數(shù)據(jù)包協(xié)議自識(shí)別和分流處理模塊，從而提高網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測效率。
　　其次，采用零拷貝技術(shù)實(shí)現(xiàn)高速數(shù)據(jù)包捕獲模塊，將網(wǎng)卡中的數(shù)據(jù)直接傳輸?shù)接脩艨臻g，使用戶層和網(wǎng)絡(luò)接口直接交互、避免數(shù)據(jù)包在內(nèi)存的多次拷貝，有效地節(jié)省CPU開銷，為上層更復(fù)雜的匹配處理提供寶貴時(shí)間，提高整個(gè)系統(tǒng)數(shù)據(jù)包捕獲能力。
　　最后，結(jié)合自適應(yīng)模式匹配方法，在優(yōu)化規(guī)則匹配結(jié)構(gòu)基礎(chǔ)上進(jìn)行匹配算法整合，有效的提高入侵檢測系統(tǒng)規(guī)則匹配能力和檢