论文部分内容阅读
本文提出了一种基于Snort(sniffer and more)的网络入侵检测系统,Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索或者匹配。它能够检测各种不同的攻击方式,并对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。
本文主要分析了Snort系统的架构、工作流程和三维规则链表,并着重分析了该系统的检测引擎及其采用的模式匹配算法。建立了一种基于GM(1,1)模型的入侵检测数据拟合补缺预处理模型,以及一种基于灰关联的监测指标简约算法。针对原系统模式匹配算法的不足,本人运用了新的匹配算法对Snort检测引擎进行了改进,并应用到Snort的检测引擎模块中。证明所采用的算法是有效的,比原系统检测引擎的匹配速度有较大提高。明显降低了误检率和漏检率,减少了系统资源占用量,提高了监测的实时性和准确性。最后提出了经过改进后的系统的优点和缺点,以及进一步的优化改进建议。