论文部分内容阅读
随着现代通信技术和互联网新技术的不断涌现,不同结构的网间互联互通已经变得越来越易实现。如工业以太网技术的出现使得人们能从IP网络和工业网络进行信息交互。伴随着网络技术的革新,网络攻击也层出不穷。现如今,APT(Advanced Persistent Threat)攻击手段已经成为网络安全的主要威胁,传统网络安全技术(如防火墙)已无法对其形成有效防御。因此,对APT攻击行为的研究并制定相应的检测防御策略是非常有必要的。在传统防御方法应对APT攻击基本失效的背景下,动态网络安全技术因其采用主动防御策略且拥有较好的防御性能而倍受业界瞩目。入侵检测和入侵防御是动态网络安全技术的两个重要方面,通常,这两种技术和其它技术的结合使用才能形成完善有效的检测防御能力。而开源软件Snort,作为一款优秀的轻量级入侵检测系统,其较好的检测性能、响应性能和扩展性能已被广泛认可。同时结合其它技术,Snort可以被扩充为入侵检测防御系统,同时具备入侵检测和主动防御的能力。本文在研究APT攻击的基础上,以Snort为核心,采用分层分布式网络部署,构建了针对APT攻击的入侵检测防御系统。该系统能够检测网络内部的入侵行为,并对其做出响应,输出告警信息至管理平台。同时,为了改善Snort检测引擎的检测效率和提高系统的防御性能,认真研究了其规则匹配算法,在此基础上提出了相应的改进策略。而为了克服Snort匹配规则更新不及时可能会导致系统高误报率和漏报率的问题,在结合论文依托的项目网络部署特点的情况下,增加了一个新的规则管理层来对Snort规则进行更新管理。最后,进行实验验证和对实验结果进行分析。证明系统能够有效的防护APT攻击,并且所做的改进提高了系统对数据的处理能力。