基于Snort的IPv6入侵检测系统的研究

本文以著名的开源网络入侵检测系统Snort为基础，通过跟踪国内外网络入侵检测系统的研究动向和Snort的研究热点，在对Snort源代码进行分析的基础上，提出Snort系统在IPv4向IPv6过渡阶段的相应改造方案。通过构造IPv6检测规则，添加IPv6解码模块，IPv6分段重组，IPv6快速检测算法以及对过渡技术的支持，实现了一套同时支持IPv4、IPv6和过渡技术的入侵检测系统。     

入侵检测中模式匹配算法的性能分析

模式匹配算法在入侵检测中有着广泛的应用,它直接影响到入侵检测系统的实时性能。论文主要研究了Boyer-Moore算法,Modified Wu—Manber算法,Exclusion—Based算法和Aho—Corasick算法。通过实验对上述四种算法在混合攻击和特定攻击的条件下进行了性能测试,根据实验结果,得出了不同算法的应用范围,为今后入侵检测系统开发者选择模式匹配算法提供了有价值的参考。     

基于TCP选项域的信息隐藏算法研究

基于网络协议的信息隐藏技术的研究目的在于利用协议的规范或其实现的漏洞,在普通的网络数据包中嵌入隐藏信息。入侵检测工具Snort对TCP选项域的处理存在漏洞,RFC793对TCP选项域的一些使用限制也过于宽松。针对这些漏洞的设计了两种利用TCP选项域嵌入隐藏信息的信息隐藏算法,这些算法可以逃避Snort的检查;并分析了算法的隐蔽信道带宽,给出了算法的伪代码,并在实际环境中进行了验证。     

基于信息回馈检测技术的Snort优化研究

Snort产生大量告警信息使得用户难以提取到真正入侵事件。本文借鉴被动攻击验证技术,针对Snort提出一个基于信息回馈的检测手段,在规则匹配成功后,通过被动监听攻击会话和反馈信息,以检测出成功的入侵事件。     

基于频率的Snort规则集构造方法

为提高Snort入侵检测系统的规则匹配效率,提出一种基于频率的Snort规则集构造方法。Snort系统使用规则集对网络数据包进行匹配分析,发现入侵行为。通过计算数据包样本中各选项的频率,在构造规则树时,采用频率小先匹配的原则,减少匹配次数,提高系统效率。实验结果表明,与Snort2方法相比,该方法配合参数集合匹配的匹配效率较高。     

Alert verification through alert correlation—An empirical test of SnIPS

A significant problem with today’s intrusion detection systems is the high number of alerts they produce for events that are regarded as benign or noncritical by system administrators. A large number of solutions has been proposed to deal with this issue. This article tests SnIPS, a tool that correlates alerts from the intrusion detection system Snort and assigns beliefs that the host has been compromised on various occasions. The tests are performed against data collected from a cyber security exercise during which 51 compromises of monitored machines occurred. The beliefs assigned by SnIPS are not calibrated in the sense that they reflect the probability that a host has been compromised. However, a compromise is more likely when alerts have a high belief. Alerts from SnIPS with high beliefs also have better precision than the high-priority alerts from Snort, even if static network information is used to verify these alerts. However, the recall of SnIPS is lower than if high-priority alerts from Snort are used.     

基于IPv6协议分析的网络入侵检测系统设计

针对下一代因特网IPv6中各种协议的结构特点,提出了一种新的基于协议分析的网络入侵检测系统的设计方法,并在Snort系统的基础上,给出了详细的设计方案和实现方法。该系统的主要优点在于：为检测引擎提供输入,提高检测的有效性和提高检测效率。     

利用多线程技术改造Snort系统

Snort是一个基于规则的轻量级网络入侵检测系统．为提高Snort系统的性能,针对其工作流程是单线程的特征,用处理模块间设置缓冲队列、各个协议解码器和链表节点设置忙闲标识等方法实现了对其的多线程改造,并详细描述了改造后系统的工作流程,最后结合简化模型模拟实验结果,分析了改造前后的系统各性能的变化．改造后的系统在检测速度和漏检率等性能方面有所提高,但也增加了CPU的工作量和内存的使用量．     

基于XML的案例表示和案例库构造方法

将基于案例推理(CBR)技术与XML结合,提出了基于XML的案例表示方法,给出了DTD定义,分析了它与传统数据库相比的优势,并以Snort规则的基于XML的案例化为例,证明了该方法的有效性.所做工作为CBR的研究提供了一些新的思路.     

基于Honeyd与Snort的校园网安全体系研究

介绍了蜜罐与入侵检测系统及其产品Honeyd与Snort.利用Honeyd虚拟较大的网络,将拟保护的网络隐藏其中,实现蜜罐最大价值.建立了一种基于联动控制中心的联合防御网络安全模型,并分析了各模块功能,并对模型实现中的难点进行了探讨,通过实验,证明了该模型能够进一步改善网络的安全性能.