当前位置:文档之家 › 基于Snort的主动式入侵检测系统的研究

基于Snort的主动式入侵检测系统的研究

  • 格式:doc
  • 大小:17.00 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

基于snort的入侵检测系统的研究--开题报告

基于snort的入侵检测系统的研究--开题报告
[2]胡昌振.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2006.
[3]EricCole著,苏雷译.黑客攻击透析和防范〔M〕.北京:电子工业出版社,2002.
[4]BruceSchneier著,吴世忠,马芳译.网络信息安全的真相「M].北京:机械工业出版社,2001.
[5]Jamie Cameron, Christopher R, Hertel Anthony J. Massa. Intrusion Detection Systems with Snort[M].USA: Prentise Hall, 2003.5~10.
在国内,随着接入互联网的政府和金融机构等关键部门、关键业务日益增多,更需要自主知识产权的入侵检测产品。进入21世纪后,国内对入侵检测系统的研究与开发也加快了脚步,在国内市场上占有相当大的份额。Snort也面临一些问题,如检测的速度还不够快,规则集的组织还不够缜密。所以现在全球开源界的精英们正在努力地改进Snort,改进内容包括:提高检测速度、异常检测、人工智能的应用、标准化、蜜罐技术[6]等。
第四阶段(2012年1月~2012年2月):在完成实习的同时,对snort系统进行初步设计,并和指导老师进行交流设计过程可能出现的问题,完成中期检查报告;
第五阶段(2012年2月~2012年4月):继续完成系统的设计,并对所设计的系统进行仿真,同时撰写论文初稿;
第六阶段(2012年4月):在指导老师的指导下,修改毕业论文初稿,最后定稿。
DONGFANG COLLEGE,FUJIAN AGRICULTURE AND FORESTRY UNIVERSITY
论文题目:基于snort的入侵检测系统的研究
专业:电子信息工程
学号:xxxxxxxxx

snort入侵检测实验报告

snort入侵检测实验报告

snort入侵检测实验报告《snort入侵检测实验报告》摘要:本实验旨在通过使用snort入侵检测系统,对网络中的入侵行为进行监测和分析。

通过搭建实验环境,模拟各种入侵行为,并利用snort系统进行实时监测和报警,最终得出了实验结果并进行了分析。

一、实验背景随着网络技术的不断发展,网络安全问题也日益突出。

入侵检测系统作为网络安全的重要组成部分,扮演着监测和防范网络入侵的重要角色。

snort作为一款开源的入侵检测系统,具有灵活性和高效性,被广泛应用于网络安全领域。

二、实验目的1. 了解snort入侵检测系统的工作原理和基本功能;2. 掌握snort系统的安装和配置方法;3. 利用snort系统对网络中的入侵行为进行实时监测和分析;4. 总结实验结果,提出改进建议。

三、实验环境搭建1. 硬件环境:PC机一台,网络交换机一台;2. 软件环境:Ubuntu操作系统,snort入侵检测系统;3. 实验网络:搭建一个简单的局域网环境,包括多台主机和一个路由器。

四、实验步骤1. 安装和配置snort系统;2. 在实验网络中模拟各种入侵行为,如端口扫描、ARP欺骗、DDoS攻击等;3. 使用snort系统进行实时监测和报警;4. 收集实验数据,进行分析和总结。

五、实验结果通过实验,我们成功搭建了snort入侵检测系统,并对网络中的入侵行为进行了监测和分析。

实验结果显示,snort系统能够有效地检测到各种入侵行为,并及时发出警报。

同时,我们也发现了一些不足之处,如对于一些新型的入侵行为可能无法及时识别和防范。

六、实验结论snort入侵检测系统是一款高效、灵活的入侵检测工具,能够有效地监测和防范网络入侵行为。

然而,也需要不断改进和完善,以应对不断变化的网络安全威胁。

七、改进建议1. 不断更新snort系统的规则库,以适应新型的入侵行为;2. 加强对snort系统的配置和管理,提高其检测和防范能力;3. 结合其他安全设备,构建多层次的网络安全防护体系。

基于Snort的网络入侵检测系统的研究与设计

基于Snort的网络入侵检测系统的研究与设计
s t ys em ・
Ke y wor ds:n t u ton d t c i n s s e , i s r c i e e to y t m Sno t a c t c u e r , r hie t r
在 网络 和信息 技 术迅 猛 发展 的今天 , 源共 享 进 资

很 容 易 进 行 扩 展 。所 论 述 的网 络入 侵 检 测 系统 是 在
S ot 础 之上进 行研 究 、 发 的。 nr基 开
通 过 告警 和 日志模 块 进行 记 录 , 同时告 警 信息 一 并 存
人数 据 库 中 。
1 S o t入 侵检 测 系统 体 系结 构 nr
S o t不 仅具 有 基 于 规 则 的误 差 检 测 方 法 , 有 基 于 nr 还
组 成 : 据 包 嗅探 器 、 处 理 器 、 测 引 擎 、 警 与 日 数 预 检 告

收 稿 日期 :0 11—8 修 回 日期 :0 11 —3 2 1—01 , 2 1 —21
** 基金项 目: 天津职业技术师范大学校级基金 资助项 目( J 0 —7 Y S 90 )
S o t 一个 基 于 L b cp的轻 量 级 网络入 侵 检 nr 是 ipa
测 系统 , 有快速 的数据 包过 滤功能 。 n r 具 S ot 于 规 则 的 网 络 信息 搜 索 机 制 , 网 nr 对
络数 据在 数据 库 中搜 索进行 匹配 , 从而 发现 入侵行 为 。
Ab t a t Th n t u to t c i n S s e c n i iitv l i e ltme a t ma ia l e e t a d a ay e s r c : e I s r c i n De e t y t m a n t i e y,n r a — i , u o tc l d t c n n l z o a y a lk n s o a a a d f d i s r c i n b h v o . i p p r i t o u e h t u t r f n r n r p s d a n w l i d f t , n i t u t e a i r Th s a e n r d c d t es r c u eo o ta d p o o e e d n n o S d sg d a a d v l a e y e p rme t e i n i e n ai t d b x e i n .Th e u tp o e h tt e i s r c i n b h v o a e d t c e y t i d e r s l r v s t a h n t u to e a i rc n b e e t d b h s

Snort网络入侵检测系统的研究与改进的开题报告

Snort网络入侵检测系统的研究与改进的开题报告

Snort网络入侵检测系统的研究与改进的开题报告一、选题背景随着互联网技术的迅猛发展,网络入侵风险日益增大。

为了保障网络系统的安全,需要采取有效的网络入侵检测技术及系统。

目前,网络入侵检测系统(Network Intrusion Detection System,简称NIDS)已经成为了网络安全领域中的一个重要研究方向之一。

Snort是一种开放源代码的NIDS,它可以实时监视网络流量,发现网络攻击并对网络流量进行分析和记录。

Snort系统具有以下特点:基于规则的检测方式、高效的数据采集和存储、对攻击检测的准确性高、能够进行灵活的定制和扩展等。

因此,本文选取Snort作为研究对象,旨在对其网络入侵检测技术进行研究和改进,以提高其检测能力、减少误报率和漏报率等方面的问题。

二、研究目的与意义本文的研究目的在于:深入分析Snort网络入侵检测系统的工作原理和检测技术,探究其优缺点,寻找改进方向,提高其检测能力和性能。

本文的研究意义在于:1.促进网络入侵检测技术的发展。

通过对Snort系统的研究和改进,可以对网络入侵检测技术进行提高和推广,提高网络安全性。

2.为网络安全管理提供技术支撑。

网络入侵检测系统是网络安全管理必不可少的技术手段之一,本文将通过对Snort系统的改进,为网络安全管理提供技术支撑。

三、研究内容与方法研究内容:本文将从以下方面进行研究:1. Snort系统的工作原理和检测技术。

2. Snort系统在检测网络入侵中存在的问题和局限性。

3. 改进Snort系统的方法和措施,提高其检测能力和性能。

研究方法:本文将采用文献资料分析和实验验证相结合的研究方法。

1. 文献资料分析。

将对Snort系统的相关文献进行归纳和综合分析,深入了解其工作原理和检测技术,找出其存在的问题和局限性。

2. 实验验证。

通过建立实验环境,对Snort系统进行实验验证,采取对比分析的方式,对改进效果进行量化评估。

四、预期结果通过本文的研究,预计可以达到以下结果:1. 深入了解Snort系统的工作原理和检测技术,弄清其存在的问题和局限性。

基于Snort的入侵检测系统研究

基于Snort的入侵检测系统研究

嘲2.2NlDS旺垮2.2.2基于主机的入侵检测系统基于主机的入侵检测系统的信息来源为操作系统事件同志、管理工具审计汜录和应用程序审计记录。

它通过监视系统运行情况(文件的打歼和访问、文件权限的改变、用户的登录和特权服务的访问等)、审计系统R志文件(svslo譬)和应用程序(关系数据库、Web服务器1日志来检测入侵来检测入侵。

HIDS可以检测到用户滥用权限、创建后门帐户、修改重要数据和改变安全配置等行为,同时还可以定期对系统关键文件进行检查,计算其校验值来确信其完整性。

HDs检测发生在主机上的活动,处理的都是操作系统事件或应用程序事件而不是网络包,所以高速网络对它没有影响。

同时它使用的是操作系统提供的信息,经过加密的数据包在到达操作系统后,都已经被解密,所以HDS能很好地处理包加密的问题。

并且,肿S还可以综合多个数据源进行进一步的分析,利用数据挖掘技术来发现入侵。

【111但是,HmS也有依赖特定的操作系统、影响系统性能、配置和维护困难等缺陷。

HmS的典型结构如图2.3所示:9华东师范大学硕士研究生毕业论文图2.3HmS网络2.3入侵检测技术入侵检测技术可以分为两大类:异常检测(aIlomalydetection)和误用检测(misusedetection)。

异常检测则提取正常模式下审计数据的数学特征,检查事件数据中是否存在与之相违背的异常模式。

误用检测搜索审计事件数据,查看其中是否存在预先定义好的误用模式。

为了提高准确性,入侵睑测又引入了数据挖掘、人工智能、遗传算法等技术。

但是,入侵检测技术还没有达到尽善尽美的程度,该领域的许多问题还有待解决。

2.3.1异常检测异常检测是基于这样的原理,即认为入侵是系统中的异常行为。

它没有各种入侵的相关知识,但是有被检测系统、用户乃至应用程序正常行为的知识。

它为系统和用户建立正常的使用模式,这些模式通常使用一组系统的度量来定义。

所谓度量,是指系统和用户行为在特定方面的衡量标准。

基于Snort的入侵检测系统研究

基于Snort的入侵检测系统研究

随着互联 网技术 的快 速发展 ,对计算机 网络 的攻击 已经成
为一个 严重 的问题 。防火墙是计算机 网络 防护 的重要应用设备 , 防火墙 的部署能够对部分 网络攻击行 为进行 阻断与控制 ,但 是
防火墙对于主动侦测与主动预警还存在许 多不足之处 。相对 于 防火墙 , 网络入侵 检测 系统 ( N I D S ) i f  ̄ 够 自动地监 控网络 的数 据 流和主机 的 日志等 ,迅速发现攻击 ,对 可疑事件给予检测 和响 应, 因此 , 入侵检测在计算机 网络安全防护领域的重要地位就 突
进 行 了研 究 , 给 出 了以 L i n u x为 平 台的 S n o a入 侵 检 测 系统 的设 计 、 部 署 以 及 规 则 设 计
与模型改进等具体 方案, 为入侵检 测 系统的设计与开发提 供 了参考。
关键词 : 入 侵 检 测 系统 ; S n o  ̄; 规 则 集 中 图分 类 号 : T P 3 9 3 . 0 8 文献标识码 : A
行为 、 网络应, 入侵检测系统会做 出相应判断 , 并采取 防御方法。 我们不难 看出 ,通常情况下基于标志 的判 断能够 防御已知
算机 中数据 信息的收集与主动获取 ,根据事先制定 的规则集与 智 能库 , 进行 比对 与分析 , 从 而发现 网络 中潜 在 的隐患与风 险 ,
从应用 范围来说 ,入 侵检 测系统可分为主机应用 型与网络 应 用型。主机应用系统是 以主机系统 日志 、 应用软件 日志等作为
分析对象 , 进行针对 主机 的分析与防范。网络应用 系统是 目前入 侵检测 系统应用较为广泛的类型 ,也是通常意义 的入侵检测 系
Re s e a r c h o n t h e Un i v e r s i t y S p o r t s I n f o r ma t i o n Re s o u r c e s

基于Snort的分布式网络入侵协同检测系统的研究及实现的开题报告

基于Snort的分布式网络入侵协同检测系统的研究及实现的开题报告一、研究背景随着计算机技术的不断发展,网络安全问题逐渐引起人们的关注。

网络入侵已经成为网络安全领域最重要和最严重的问题之一。

为解决网络入侵问题,人们开发了许多入侵检测系统,其中基于网络的入侵检测系统已经成为主流。

目前主流网络入侵检测系统是基于Snort的入侵检测系统。

但是,由于Snort单点检测能力有限,为了提高入侵检测的可靠性和准确性,需要建立分布式入侵检测系统。

分布式入侵检测系统可以汇聚全网信息,能够更加准确地分析和检测网络入侵。

因此,基于Snort的分布式网络入侵协同检测系统的研究具有重要的意义。

二、研究内容1.对现有网络入侵检测系统的总体架构进行分析和评估,特别是针对Snort的入侵检测系统。

2.研究分布式网络入侵检测系统的设计和实现方法,探索基于Snort 的分布式网络入侵协同检测系统的新型架构。

3.设计实现分布式Snort传感器,探究Snort在分布式环境下的协同检测方法。

4.利用分布式系统中的数据交换、负载均衡和数据处理等技术优化分布式Snort传感器的协同检测性能。

5.通过实验对分布式Snort系统的性能、安全性、可扩展性进行评估。

三、研究意义本研究将基于Snort的入侵检测系统进行改进和升级,开发出一套分布式网络入侵协同检测系统,提高了网络安全的防御能力和应对能力。

同时,本研究还将从数据交换、负载均衡和数据处理等方面对分布式入侵检测系统进行优化,提高系统的可靠性、实用性和效率。

四、研究方法本研究采用文献研究、实验研究、算法设计、软件设计等方法来完成。

1.通过系统地梳理相关文献,分析现有的入侵检测系统,比较分析不同系统的优缺点,准确把握分布式网络入侵协同检测系统的研究方向和发展方向。

2.设计分布式Snort系统的体系结构和算法,利用Java语言编写分布式Snort传感器,并进一步探究分布式Snort传感器在分布式环境下的协同检测方法。

基于Snort的入侵检测系统的研究与应用

人侵 检 测 系统 和 被 动 人 侵 检 测 系 统 。
( )根 据 系统 各 个模 块 运 行 的 分 布 方 式 分 为 集 中 式 入侵 4 检 测 系 统 和 分布 式入 侵 检 测 系 统 。
3 S o t系统 结 构 分 析 nr
So 是以开放源代码形式发 行 、基于 lpa nr t ic b p的跨平台 、
接 收 信 息 . 对 其 进 行 分 析 以判 定 是否 有 入 侵 行 为 发 生 ; 制 并 控
台以一种可视的的方式向用户提供收集到的各种数据及分析
结果。
2 入 侵检 测 系统 的分 类 . 3
对I DS的分 类 可 以 从 以 下 几个 方 面 进 行 : ( ) 据 目标 系 统 的 类 型可 以分 为 基 于 主 机 ( s B sd 1根 Hot a ) - e 的入 侵 检 测 系统 和 基 于 网 络 ( t r- a d 的 入 侵 检 测 系 Ne k B s ) wo e
1 引言
在 网 络 与 信 息技 术迅 猛 发 展 的今 天 ,安 全 问题 显得 尤 为
坏 . 无法 阻 止 有 权 限 的人 破 坏 , 无 法 阻 止 内 部 无 权 限 的 人 但 也 通 过 非 法 手 段 获 取 权 限 进 行 破 坏 ,漏 洞 扫 描 系 统 可 以 发 现 系 统 以 及 网 络 中 的漏 洞 , 无 法对 系统 进 行 实 时 扫描 [。 但 1 ] I DS的 主 要 作 用 : 控 、 析 用 户 和 系统 的 活 动 ; 计 系 监 分 审
维普资讯
络 技 术

堡 —
31S ot 系结构 【 . nr体 2 】
皇 塑堑 型 新 生 活

snort入侵检测实验报告

Snort入侵检测实验报告1. 引言Snort是一种开源的网络入侵检测系统,广泛应用于网络安全领域。

本文将介绍如何使用Snort进行入侵检测的实验过程和结果。

2. 实验准备在进行实验之前,我们需要准备以下软件和硬件环境:•一台运行Linux操作系统的计算机•Snort软件•一个用于测试的虚拟网络环境3. 实验步骤步骤1: 安装Snort首先,我们需要在Linux计算机上安装Snort软件。

可以通过以下命令进行安装:sudo apt-get install snort步骤2: 配置Snort安装完成后,我们需要对Snort进行配置。

打开Snort的配置文件,可以看到一些默认的配置项。

根据实际需求,可以对这些配置项进行修改。

例如,可以指定Snort的日志输出路径、规则文件的位置等。

步骤3: 下载规则文件Snort使用规则文件来检测网络流量中的异常行为。

我们可以从Snort官方网站或其他来源下载规则文件。

将下载的规则文件保存在指定的位置。

步骤4: 启动Snort配置完成后,使用以下命令启动Snort:sudo snort -c <配置文件路径> -l <日志输出路径> -R <规则文件路径>步骤5: 进行入侵检测启动Snort后,它会开始监听网络流量,并根据规则文件进行入侵检测。

当检测到异常行为时,Snort会生成相应的警报,并将其记录在日志文件中。

步骤6: 分析结果完成入侵检测后,我们可以对生成的日志文件进行分析。

可以使用各种日志分析工具来提取有用的信息,并对网络安全进行评估。

4. 实验结果通过对Snort的实验,我们成功地进行了入侵检测,并生成了相应的警报日志。

通过对警报日志的分析,我们可以发现网络中存在的潜在安全威胁,并采取相应的措施进行防护。

5. 总结Snort是一种功能强大的网络入侵检测系统,可以帮助我们发现网络中的安全威胁。

通过本次实验,我们学会了如何使用Snort进行入侵检测,并对其进行了初步的实践。

基于Snort入侵检测系统的研究与设计


特 征 比 Sgauebsd 会 先 针 对 入 侵 特征 i t —ae) n r
护 这啦 郜通过它执行 以下任务来实现 : ①监视 、 分
建立一 异常特征 资料库” 只要 N D 侦测到的 , IS 数据包内 与资料库的某个特征相符 ,系 即会识 容 统
煽户及 系统活动 ; 系统构造和弱点的审计 ; ② ③识

二 了
= 0
络流量 如重组数据 包, 分段与重组 T Ps em、 C ra 编 t 码 的转换等) ,以使 网络流量能精确地被检 测引擎
( e co nie解析及 匹配特征 码。 D t tn g ) ei E n (3D t t nE gn(检 测模 组 ) D tcinE 一 ) ee i n ie co : eet n o ge i 主要功能在 于规 则分析与特征检测 ,将 S o n nr t 的规则文件 引入 , 并按照规则文件 中的规 则, 逐一比
监 听 网络通信 , 是 实 际能监 听到什 么样 的数 据 流 但
图二 S o 检 测 流 程 图 nr t
取 决于所在 网络 的拓 扑 结构 。如果 网关设备 为一 台
交换 机 时, 么 S ot 能 看 到发 向 S otDS的 数 那 nr只 n rI
(1P ce eoe ) akt cd(数据 包解 码 器) 当 So 取 D : nr t
择也 尤为 重要 。 当前 的 网络 结构 中,大 多数 公 司 的网关设备 选
检 测方 式 , 即属 于特 征 比对 的方 式。
用的设备都为交换机设备 , 因此针 对实际情况 , 了 为 能够对 内部 网络的入侵检测,需对交换机进行特殊
配置 。 当前 , 多可控 制 的交换机 都 给 管理 员提供 了 很
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于Snort的主动式入侵检测系统的研究
作者:袭雅薛俊凯
来源:《电脑知识与技术》2018年第19期
摘要:本文主要研究一种基于Snort的主动式入侵防御系统,利用协议分析的方法,有效解决了当前主流入侵防御系统中准确性不足、实时性较差的问题,提高了系统检测效率和便捷性,有效增强了网络入侵防御系统的性能和安全性,更好地满足了复杂网络环境中入侵行为检测的需要。

关键词:入侵检测;网络安全;Snort
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2018)19-0038-02
本文主要研究一种基于Snort的主动式入侵检测防御系统,通过构建通用的软件漏洞检测防御系统,提升软件系统安全检测的效率和便捷性,并从网络安全角度为网络应用提供可靠服务。

该系统能够利用高度规则的网络协议,采用协议分析的方法,有效提高检测判断的准确性与实时性等问题,更加准确地检测出网络中的攻击行为,并进行实时、主动的防护,提高系统的性能和网络的安全性,有效地防止黑客入侵。

1 研究背景
入侵检测系统(IDS)是一种主动式防入侵工具,通过抓取并分析流量数据,检测相关入侵行为,并利用警报响应系统拒绝入侵攻击;同时,IDS在对网络进行监控时不会为用户的网络性能造成负担。

因此,IDS运用脆弱性评估技术以及扫描手段,能够在保证高效的网络传输速率的情况下,减轻网络管理人员负担,提高网络安全性。

入侵检测系统的数据源提取是由Data模块来实现,在IDS获得数据源的数据之后,此模块能够实现对数据的简单分析处理,再将经过处理的数据交给Data分析模块;Data分析模块可以对数据进行深层次的分析,嗅探攻击并根据分析的结果产生事件,再传递给事件响应处理模块;事件响应模块用于警告与具体的反应操作[1]。

当前主流的入侵检测系统是开源的Snort,但Snort检测规则的准确率和匹配效率限制了自身的检测能力,若出现规则检测的准确率和匹配效率不能满足IDS的使用,就无法及时发现入侵攻击行为,而且会影响计算机系统性能。

为了解决Snort出现的这些问题,需要改进和优化Snort系统的检测规则,以加快其匹配速度,有效提高Snort的检测效率。

2 基于Snort的入侵检测防御系统研究
Snort系统是一个开源的、轻量级的、由C语言编写的网络入侵检测系统。

采用规则的搜索机制以及模式检测技术,能够针对不同方式的入侵行为,提炼出入侵行为的特征码,再根据
要求规范输出检测规则,最终形成一个有规则数据库,将其与捕获的数据包进行比对分析,判断入侵行为是否成立[2]。

其优点为对OS依赖性较低,能够在多种硬件平台稳定运行;模块化结构的设计,以及文本文件方式存储的检测规则,使得Snort具有良好的可扩展性;Snort的警报机制的设置,能够提供实时的安全服务,功能性强,有较广的使用范围。

不足在于构成组件较多,所以无法保证任意安装的Snort系统能够稳定运行;自我适应能力差,在检测入侵行为时,系统内部的特征匹配算法不能很好地适应一些意外情况;BM算法没能发挥其最大作用,造成检测速度相对较慢;过程中不排除有误报的情况,对于正常程序产生的部分数据流量也会发出警报[3]。

Snort入侵检测系统主要由解码器、预处理器、检测引擎、日志报警系统等模块组成。

解码器用于监听网络上传输的数据包,进行协议分析,为检测引擎提供备检数据;预处理器模块用相应的插件来检查原始数据包,发现数据的端口扫描、IP碎片等,组装数据分片,提高检测效率;检测引擎模块是Snort系统的核心模块,当接收到数据包时,该模块根据预先设置的规则检查数据包,一旦发现有匹配的内容和规则,就通知报警模块,最终将结果记录在日志数据库中。

3 Snort系统规则的改进设计
由于规则检测引擎模块是Snort系统的核心模块,因此若要实现基于Snort的主动式入侵检测系统的功能必须改进检测引擎模块的性能,以提高检测效率,其方法主要由如下3种。

1)使用K-means聚类算法
K-means聚类算法生成系统的行为模式库,过滤大量数据、添加异常检测功能,以减少Snort系统误报的次数,提高系统的检测速率和正确度。

K-means算法在数学上可以描述为如下几个公式:
[D=⋃Ci]
[Ci≠∅i=1,2,…,k]
[Ci⋂Cj=∅i,j=1,2,…,k;i≠j]
其中,[D=Xi,i=1,2,…,n],[Xi]表示待处理的某一个数据对象,[D]是所有数据对象的集合,[n]代表数据集合[D]中数据对象的总数,[k]为要划分的聚类个数;[Ci]表示其中的一个聚类。

针对K-means聚类算法来说,保证划分的聚类非空是首要前提,每个聚类集合中至少要包含一个数据对象;其次,要求类与类之间不允许相交,每个数据元素能且只能被划分在一个聚类中,不会在类与类之间有相同的元素存在。

此外,算法中还需使用误差平方和准则函数对聚类结果的准确性进行评测。

利用K-means算法,从聚类中心选取的优化、值的选取和聚类准则函数等方面对Snort系统进行改进,提高了系统算法的聚类性能[4]。

2)在检测引擎中加入快速链表
添加一个快速链表到Snort检测引擎模块的第二维链表和第三维链表间,能够缩短检测链的长度,提高检测速度,减少数据包被覆盖的问题。

一般情况下,针对计算机对内存和CPU速度不匹配的问题,大多数选择在两者之间加入Cache。

由于Cache容量小,存取速度快,对CPU使用频率较高的部分指令和数据进行缓存,以提高运行速度。

因此,将Cache加入Snort系统中,能够提高入侵检测时数据包的匹配,提高工作效率。

3)改进Snort系统的BM算法
通过将模式往后移动的方法进行字符匹配是BM算法的主要思想,所以关键问题就是移动多少位。

移动一个字符位置是最简单的做法,从理论上来说,模式串算法移动的位数越多,效率越高。

因此,需要在保证数据包匹配正确的前提下,找出一种新方法使模式的移动位数尽可能的多[5]。

本文提出一种改进方式,即通过减少比较次数和移动次数以达到提高匹配速度的目的。

当文本串与模式串不匹配的时候,对比文本串中与模式串最右段对齐位的下一位,当模式串在遇到不匹配情况时,能跳过更多位,达到提高Snort检测引擎的工作性能的效果。

4 结束语
本文通过对入侵检测系统以及Snort系统的分析,提出了改进Snort入侵检测系统的几种方案,能够主动检测防御网络入侵行为、网络漏洞以及信息安全问题,保证网络的安全性和可靠性。

基于Snort的主动式入侵检测防御系统的各个模块,能够相互链接,数据共享,并且能适用于较为广泛和复杂的网络环境,但是面对一些新的攻击手段,Snort仍需在异常检测和入侵防御方面继续改进。

参考文献:
[1] 黄娟. 网络入侵检测系统模式匹配算法的研究与实现[D].四川师范大学,2008.
[2] 孙立媛,朱亦宁,孙锐轩.Snort规则的分析与实现[J].计算机安全,2009(9):45-48.
[3] Syed Ali Raza Shah, Biju Issac.Performance comparison of intrusion detection systems and application of machine learning to Snort system[J].Future Generation Computer Systems,2017.
[4] 雷鹏玮.基于Snort的入侵检测系统的改进与实现[D]. 北京邮电大学, 2015.
[5] 王培凤,李莉.一种改进的多模式匹配算法在Snort中的应用[J].计算机科学, 2012, 39(2): 72-74+79.。