基于Snort的分布式入侵检测系统
| 原创性声明 | 第3页 |
| 关于学位论文使用授权的声明 | 第3-8页 |
| 摘要 | 第8-9页 |
| ABSTRACT | 第9页 |
| 一、绪论 | 第10-16页 |
| 1.1 引言 | 第10-12页 |
| 1.2 选题的背景及意义 | 第12-14页 |
| 1.2.1 传统网络安全防护手段及缺陷 | 第12-14页 |
| 1.2.2 意义 | 第14页 |
| 1.3 论文结构 | 第14-16页 |
| 二、入侵检测系统概要 | 第16-32页 |
| 2.1 网络安全的基本观点 | 第16-17页 |
| 2.2 PPDR模型及入侵检测系统 | 第17-18页 |
| 2.3 入侵检测系统的基本概念和特点 | 第18-20页 |
| 2.4 入侵检测系统的基本结构 | 第20-21页 |
| 2.5 入侵检测系统的分类 | 第21-32页 |
| 2.5.1 基与数据来源的 IDS分类及特点 | 第21-26页 |
| 2.5.2 基与分析方法的 IDS分类及特点 | 第26-32页 |
| 三、Snort及其结构分析 | 第32-39页 |
| 3.1 Snort的部件 | 第32-36页 |
| 3.1.1 包解码器 | 第33页 |
| 3.1.2 预处理器 | 第33-34页 |
| 3.1.3 探测引擎 | 第34-35页 |
| 3.1.4 日志和告警系统 | 第35页 |
| 3.1.5 输出模块 | 第35-36页 |
| 3.2 Snort规则 | 第36-39页 |
| 3.2.1 规则组成 | 第36-37页 |
| 3.2.2 规则结构 | 第37-38页 |
| 3.2.3 规则处理 | 第38-39页 |
| 四、基于 Snort的分布式入侵检测系统的构建 | 第39-48页 |
| 4.1 现有入侵检测系统的不足 | 第39页 |
| 4.2 CIDF模型 | 第39-40页 |
| 4.3 IDS部署策略 | 第40-41页 |
| 4.4 安全区域和信任等级 | 第41-42页 |
| 4.5 分布式入侵检测系统的部署 | 第42-48页 |
| 4.5.1 系统部署 | 第43-45页 |
| 4.5.2 Snort探测器的连接 | 第45-48页 |
| 五、增加宽度搜索,提高搜索过程并行性 | 第48-56页 |
| 5.1 Snort规则中的flags | 第49-50页 |
| 5.2 改造规则树结构 | 第50-52页 |
| 5.3 改造规则匹配操作 | 第52-53页 |
| 5.4 实际效果 | 第53-56页 |
| 六、动态调整规则顺序,提高深度搜索速度 | 第56-64页 |
| 6.1 调整规则的方法 | 第56-59页 |
| 6.2 生成动态选项索引链表 | 第59-60页 |
| 6.3 改造规则匹配操作 | 第60-61页 |
| 6.4 实际效果 | 第61-64页 |
| 七、连接历史算法研究 | 第64-73页 |
| 7.1 连接历史算法简介 | 第64页 |
| 7.2 蠕虫的特点 | 第64-66页 |
| 7.3 当前 Snort对蠕虫病毒的防范 | 第66-67页 |
| 7.4 连接历史算法描述 | 第67-70页 |
| 7.5 连接历史算法与 HoneyNet | 第70-73页 |
| 八、存在的问题及今后的工作 | 第73-74页 |
| 结束语 | 第74-75页 |
| 参考文献 | 第75-77页 |
| 附录 | 第77-80页 |
| 附录 1:本文所用的时间计算函数 | 第77页 |
| 附录 2:增加宽度搜索后规则树生成函数 | 第77-78页 |
| 附录 3:生成动态选项链表函数 | 第78-80页 |
| 致谢 | 第80-81页 |
| 攻读学位期间发表的学术论文 | 第81-82页 |
| 学位论文评阅及答辩情况表 | 第82页 |
