论文部分内容阅读
近年来,入侵检测技术不仅成为网络安全研究的热点,而且具有广阔的市场前景。信息安全技术逐步打破常规的被动检测和过滤的方法,正朝着主动防御的方向发展,以防火墙为主的安全架构模式已经难以满足网络安全的需求,在这样的形势下,入侵检测越来越受到人们的重视。入侵检测已被普遍认为是网络防火墙的补充,扩展了系统管理员的安全管理能力。 然而,随着互联网的迅猛发展,网络带宽较以前越来越高,网络速度越来越快,对入侵检测系统来说就需要提高它的检测效率,而提高系统效率的根本就是要对入侵检测系统的核心—检测引擎,进行优化改进。 Snort是一个强大的轻量级的网络入侵检测系统,它具有数据流量实时分析和IP数据包日志的能力,能够进行协议分析,对内容进行搜索或者匹配。它能够检测各种不同的攻击方式,并对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。 本文在对Snort系统的体系结构、工作流程和规则结构进行分析的基础上,对系统的检测引擎及其采用的模式匹配算法进行了重点研究和探讨,针对原系统模式匹配算法的不足,采用了一种基于哈希方法的多模式匹配算法—LRK算法,并对LRK算法进行了改进,优化了算法,并应用到Snort的检测引擎模块中。通过实验,证明改进的LRK算法是有效的,比原系统检测引擎的匹配速度有了较大提高。 随后,针对Snort系统集中式的体系结构,本文对Snort在分布式网络环境下的应用进行了研究。通过设置多个Snort检测节点,在上面开发可视化管理界面的方法,通过层次化的分布式结构实现了分布式检测和集中式管理的统一,增强了Snort的易用性,同时,也大大减轻了Snort检测引擎的负担,提高了Snort适应高带宽网络的能力。 最后,我们对工作进行了总结,并给出了进一步的优化改进建议。