基于统计阈值的Snort规则集动态产生的设计与实现

Snort作为开源的入侵检测系统,利用定义的静态规则集合实现对网络的入侵事件的检测。本文分析入侵检测系统的基本原理和模型,阐述Snort入侵检测系统部署到网络时,其静态规则集的配置方法,根据统计流量阈值和告警频率阈值动态产生动态规则集的方法,改进并提高了部署Snort应有的灵活性。     

Linux平台下网络入侵防御系统的研究与实现

针对防火墙和入侵检测系统在网络安全防御上存在的缺陷,本文提出了一个在Linux平台下,基于两层防御机制的网络入侵防御系统．该系统扩展了网关防火墙的入侵检测功能．实现了网关防火墙对攻击的最初防御,增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御．实验结果证明,两层防御机制对大规模的蠕虫攻击起到了实时抵制作用．     

基于Snort系统的网络入侵检测模型的研究

网络入侵检测是网络安全领域研究的热点问题,通过应用分组交换检测机制和Markov链,提出基于Snort系统的IDS模型,设计Snort系统规则库和检测引擎。分析结果表明,改进模型和方法可以提高网络入侵检测中海量数据的检测准确率和效率。     

基于状态图的缓冲区溢出攻击分析

结合缓冲区溢出攻击产生的原理,分析缓冲区溢出攻击代码的结构,论述Snort规则对缓冲区溢出攻击的检测,在此基础上构建一个基于状态图的缓冲区溢出攻击的分析模型。该模型对于进一步明确缓冲区溢出攻击过程和完善缓冲区溢出攻击的检测和防御有很大的理论和实际意义。     

Snort研究及BM算法改进

Snort是一个轻型的入侵检测系统,在检测过程中,字符串匹配算法的效率决定了Snort系统的性能.分析了Snort的系统结构和工作流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法.实验数据表明,改进的BM字符匹配算法可提高Snort的效率.     

在Ubuntu平台上部署基于Snort的入侵检测系统

Snort是一套免费的轻量级入侵检测系统,当今的很多入侵检测系统都以其为参照。虽然Snort软件体积非常小巧,但是其部署有一定的难度。为了以更直观的方式监测系统的运行状况,通常部署Snort系统时除了要安装Snort软件本身外,还需要大量的相关软件支持。文章介绍了在Ubuntu平台上架设snort系统的具体过程。系统以MysQL数据库存储入侵检测信息,用BASE工具显示检测结果。     

基于数据挖掘的Snort系统改进模型

针对Snort系统对新的入侵行为无能为力的缺点,设计了一种基于数据挖掘理论的Snort网络入侵检测系统的改进模型。该模型在Snort入侵检测系统的基础上增加了正常行为模式挖掘模块、异常检测引擎模块和新规则生成模块,使得系统具有从新的入侵行为中学习新规则和从正常数据中学习正常行为模式的双重能力。实验结果表明,新模型不仅能够有效地检测到新的入侵行为,降低了Snort系统的漏报率,而且提高了系统的检测效率。     

基干Snort的IPv6协议分析技术

在TCP/IP协议的基础上,分别讨论了数据包的封装与分解,IPv6数据包结构和过渡技术,提出了一种准确高效的探测入侵的新技术-协议分析技术,然后详述了协议分析技术在Snort中的应用过程,详细介绍了IPv6解码的过程.结果表明:在Snort中添加IPv6解码模块,使Snort具有了对IPv6数据包的检测能力.     

基于Snort的边界数据包安全性检测

无论是蠕虫病毒、木马或是其他的网络攻击行为,无不向目标网络发送恶意数据包,以达到恶意攻击的目的.网络监控成为检测来自外部网络的数据包安全性的重要手段,Snort作为防火墙的补充广泛应用于网络内部,监控网络流量、数据包安全等.将Snort IDS部署在网络边界,基于CVE漏洞库建立本地Snort特征库,以检测所有通过边界的数据包,保护内网安全.     

基于自动机并操作的多目标AC-BM算法

AC-BM算法的优点在于能同时进行多个模式串的匹配搜索,且文本串的移位得到优化,但一次只能在一个文本串中进行搜索.为了实现一次可以同时在多个文本串中进行搜索,设计了多目标AC-BM算法.利用自动机并操作技术构造多目标多模式树自动机,借助BM算法的坏字符跳转技术来计算文本串集移位.在Snort系统中分别实现2-目标AC-BM算法和3-目标AC-BM算法.实验结果表明,新算法如果在多个文本串中找到模式串就停止(表示检测到攻击行为),其在时间性能上就明显优于AC-BM算法.