基于Snort的分布式入侵檢測系統(tǒng)應用實驗研究.pdf

1、本課題主要是,結(jié)合網(wǎng)絡攻擊技術,在攻防實驗中對網(wǎng)絡入侵檢測系統(tǒng)Snort進行分析與研究,并嘗試對Snort應用作一些實驗研究工作以適應網(wǎng)絡實際環(huán)境的需求。Snort采用規(guī)則匹配來檢測可疑或惡意的網(wǎng)絡流量。它支持插件技術,而且它的規(guī)則描述語言可以很好地描述網(wǎng)絡攻擊,這些使得Snort具有很好的可擴展性能。論文的核心內(nèi)容就是圍繞Snort的插件技術和規(guī)則描述語言展開的實驗研究。論文首先對Snort進行分析,詳細地分析了Snort的體系結(jié)構(gòu)、

2、入侵檢測總體流程、協(xié)議解析、規(guī)則解析及規(guī)則匹配機制。并設計與實現(xiàn)了一個以Snort為核心的分布式入侵檢測系統(tǒng),將其應用到一個實驗局域網(wǎng)中,提出了Snort的實用解決方案并分析了Snort入侵檢測性能。論文還對網(wǎng)絡攻擊和Snort規(guī)則編寫進行了分析與研究。主要從操作系統(tǒng)漏洞描述、網(wǎng)絡攻擊響應以及網(wǎng)絡實驗環(huán)境的檢測策略這三個角度,闡述了Snort規(guī)則編寫的一般原則與方法。針對于微軟分布式事務處理協(xié)調(diào)器內(nèi)存破壞漏洞的攻擊原理、BDoor木馬攻

3、擊的原理以及3389端口入侵的原理,利用流量分析,編寫成檢測這些攻擊的Snort規(guī)則,再將新編寫的規(guī)則加入到規(guī)則庫中,并通過實驗分析,證明了新編寫規(guī)則的有效性和準確性。針對不容易提取特征的異常FTP網(wǎng)絡流量,論文設計與實現(xiàn)了FTP協(xié)議分析與命令解釋的預處理插件。結(jié)合FTP攻擊對該預處理插件進行實驗測試,該預處理插件可檢測到FTP口令暴力破解攻擊、IISFTP遠程溢出漏洞的攻擊和MDTM命令遠程溢出攻擊。實驗研究的結(jié)果說明:詳細地了解Sn