基于snort的入侵检测系统的研究--开题报告 .pdf

DONGFANGCOLLEGE，FUJIANAGRICULTUREANDFORESTRYUNIVERSITY

论文题目：基于snort的入侵检测系统的研究

专业：电子信息工程

学号：xxxxxxxxx

姓名：xxx

指导教师：詹仕华

制定时间：2011年9月20日

一、立题意义及国内外的研究现状与存在问题，主要研究内容及拟解决的

关键性问题（含文献综述）

1立题意义

入侵检测是从上世纪九十年发展起来的一种动态地监控、预防或抵御系统入侵行为的安全机制。

主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统

外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。和传统的预防性安全机制相比，入侵检

测是一种事后处理方案，具有智能监控、实时探测、动态响应、易于配置等特点。入侵检测技术的

引入，使得网络、系统的安全性得到进一步的提高。例如，可检测出内部人员偶然或故意提高他们

的用户权限的行为，避免系统内部人员对系统的越权使用。显然，入侵检测是对传统计算机安全机

制的一种补充，它的开发应用加强了网络与系统安全的保护，成为目前关于动态安全工具的研究和

开发的主要方向。入侵检测系统作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误

操作的实时拦截，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性要求越来越

高，为给电子商务等网络应用提供可靠服务，能够从网络安全的立体纵深、多层次防御的角度提供

[1][2]

安全服务的入侵检测系统，必将进一步受到人们的高度重视。入侵检测作为一种主动的安全防护

手段，为主机和网络提供了动态的安全保障．它不仅检测来自外部的入侵行为，同时也对内部的未

授权活动进行监督．利用网络协议的高度规则性，采用协议分析的方法，结合优秀的模式匹配算法，

融合比较先进的数据挖掘和数据融合方法，能较好地解决当前入侵检测系统中准确性与实时性等问

题。

2国内外的研究和存在问题

入侵检测系统（IDS）的研究最早可追溯到JamesAderson在1980年的工作，他首先提出了入侵

检测的概念。他将入侵定义为：“潜在的、有预谋的、未经授权的访问操作。入侵是致使系统不可靠

[3]

或无法使用的企图”。1987年，Dorothy.E.Denning首次给出了入侵检测的抽象模型，并将入侵检

[4]

测作为一种新的安全防御措施提出。作为一种积极的安全防护技术，提供了对内部攻击、外部攻

击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。根据国外机构近几年发布的入

侵检测产品评测报告，存在以下几个问题：误报率高、执行率低和自身结构存在安全隐患等。1998

年，MartinRoesch撰写了一个名为Snort的软件，将其定位成简单轻巧的入侵检测软件。经过了若

干年的发展，Snort从当初的1600行的代码发展成了75000行代码的软件。当今，SIDS已经在世界

各个需要保证安全的机构被采用。该系统可以和其他更多的工具协调工作，使其具有更为强大的入

[5]

侵检测功能。

在国内，随着接入互联网的政府和金融机构等关键部门、关键业务日益增多，更需要自主知识产权

的入侵检测产品。进入21世纪后，国内对入侵检测系统的研究与开发也加快了脚步，在国内市场上占

有相当大的份额。Snort也面临一些问题，如检测的速度还不够快，规则集的组织还不够缜密。所以

现在全球开源界的精英们正在努力地改进Snort，改进内容包括：提高检测速度、异常检测、人工智

[6]

能的应用、标准化、蜜罐技术等。

3主要研究内容和拟关键性问题

（1）对软件snort的深入掌握，熟练运用；