基于Snort的入侵检测系统的改进与实现

发布时间：2017-04-10 21:33

  本文关键词：基于Snort的入侵检测系统的改进与实现，由笔耕文化传播整理发布。

【摘要】：随着信息网络的快速发展,人们的生活和工作方式都演变出了更加高效快捷的模式。互联网的开放性和互联互通性赋予了它资源信息共享速度快、传播面广的天然优势,极大地激活了经济、文化和知识的发展。但是,随着人们在众多领域愈发依赖于网络,信息的安全问题凸显出来。鉴于网络数据的巨大价值,安全业务成为各个研究机构和网络安全公司关注的重点,如何筛查和防范攻击和入侵,保障信息网络的安全迫在眉睫。 在这种情况下,各种专用入侵检测系统(Intrusion Detection Systems, IDS)相继出现。其中,发展最早也是最著名的当属Martin Roesch编写的Snort[1]。Snort能够有效保护系统的信息安全,深受网络安全领域的重视。但是,随着其应用领域的扩大和人们要求的提高,Snort还是暴露出了一些缺陷。作为一种基于误用检测的网络入侵检测系统(Network Intrusion Detection Systems, NIDS), Snort的检测依赖于自身的规则库进行单一判断,大量的正常行为数据也需要进入规则库进行逐一判断,容易将很多正常的行为误判为攻击行为,造成系统的误报率和漏报率较高；规则以文本文件的形式存储,不能根据网络的实际情况进行动态调整,造成系统的检测速率较低；此外,Snort使用基于特征的匹配方法,只要检测到攻击事件就会上报,容易造成告警泛滥,淹没真正的入侵事件。 本课题的研究迎合了网络安全的发展趋势和要求,在充分了解Snort IDS的基础上,针对以上三点不足,设计实现了一种改进的、多模块和高性能的Snort入侵检测系统。该系统充分利用Snort的开源性和可扩展性,在原有Snort系统的基础上,添加三个功能模块：正常行为过滤模块,规则动态优化模块和告警泛滥抑制模块,有针对性的解决Snort入侵检测系统的缺陷。其中,正常行为检测模块过滤大量的正常行为数据,减少Snort检测引擎的工作量；规则动态优化模块根据网络的实际环境调整规则在文本中的顺序；告警泛滥抑制模块有效解决系统有可能出现的告警泛滥现象。 同时,该系统将目前流行的数据挖掘技术融入到了系统的改进过程。本文深入了解了数据挖据技术中最常使用的K-means聚类算法,并且针对其K值难以估计和对初始聚类中心敏感两个缺陷给出了一种改进的K-means聚类算法。该算法根据数据的实际分布情况进行动态聚类划分,不需要提前指定K值,用算法确定的初始聚类划分,减少了聚类的迭代次数,获得稳定的聚类结果,改善聚类性能。在本文设计的入侵检测系统中,使用了该算法生成正常行为过滤模块的正常行为模式库,提高了系统的检测性能。 最后,完成系统的搭建和功能的实现,并且对系统的性能进行测试,使用kddcup.data_10_percent测试数据,对比传统的Snort入侵检测系统和本文实现的改进的系统的各项性能指标值。实验结果得出经过改进的Snort入侵检测系统在检测性能上有了较明显的提高。
【关键词】：入侵检测 Snort 数据挖掘 多模块 K-means 高性能
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要4-6
• ABSTRACT6-11
• 第一章 引言11-17
• 1.1 研究背景和意义11-12
• 1.2 国内外研究现状12-14
• 1.3 论文主要创新点14-15
• 1.4 论文组织结构15-16
• 1.5 小结16-17
• 第二章 相关理论知识和技术17-31
• 2.1 入侵检测概述17-21
• 2.1.1 入侵检测的概念17-18
• 2.1.2 入侵检测系统的结构18-19
• 2.1.3 入侵检测系统的分类19-21
• 2.2 Snort入侵检测系统21-26
• 2.2.1 Snort简介21-23
• 2.2.2 Snort的规则分析23-25
• 2.2.3 Snort入侵检测系统的优缺点25-26
• 2.3 数据挖掘概述26-30
• 2.3.1 数据挖掘的基本概念26-28
• 2.3.2 数据挖掘在入侵检测中的应用28-30
• 2.4 小结30-31
• 第三章 K-means聚类算法的介绍与改进31-39
• 3.1 传统的K-means算法介绍31-33
• 3.1.1 算法的思想和步骤31-32
• 3.1.2 算法的优缺点32-33
• 3.2 改进的K-means算法设计33-37
• 3.2.1 改进的K-means算法介绍34-36
• 3.2.2 聚类准则函数的定义36-37
• 3.2.3 K-means算法的整体实现37
• 3.3 改进的K-means算法聚类性能检测37-38
• 3.4 小结38-39
• 第四章 基于Snort的入侵检测系统的设计39-48
• 4.1 改进的Snort入侵检测系统模型39-42
• 4.1.1 系统的设计目标39-40
• 4.1.2 系统的体系结构40-41
• 4.1.3 系统的工作流程41-42
• 4.2 核心功能模块设计42-47
• 4.2.1 正常行为过滤模块的设计42-44
• 4.2.2 规则动态优化模块的设计44-45
• 4.2.3 告警泛滥抑制模块的设计45-47
• 4.3 小结47-48
• 第五章 基于Snort的入侵检测系统的实现48-67
• 5.1 系统在网络中的部署48-49
• 5.2 系统的环境搭建49-52
• 5.3 系统的功能实现52-65
• 5.3.1 Snort系统的页面配置52-53
• 5.3.2 Snort规则文件的展示53-55
• 5.3.3 核心功能模块实现55-65
• 5.3.3.1 正常行为过滤模块的实现55-57
• 5.3.3.2 规则动态优化模块的实现57-59
• 5.3.3.3 告警泛滥抑制模块的实现59-65
• 5.4 小结65-67
• 第六章 系统测试67-75
• 6.1 测试用例及评价指标67-70
• 6.2 测试结论70-74
• 6.2.1 改进的K-means算法的性能检验70-71
• 6.2.2 改进的Snort入侵检测系统的性能检验71-74
• 6.3 小结74-75
• 第七章 总结与展望75-77
• 参考文献77-80
• 致谢80-81
• 作者攻读硕士学位期间发表的论文81

【参考文献】

中国期刊全文数据库 前10条

1 王越;王泉;吕奇峰;曾晶;;基于初始聚类中心优化和维间加权的改进K-means算法[J];重庆理工大学学报(自然科学);2013年04期

2 王培凤;李莉;;一种改进的多模式匹配算法在Snort中的应用[J];计算机科学;2012年02期

3 胡敏,潘雪增,平玲娣;基于数据挖掘的实时入侵检测技术的研究[J];计算机应用研究;2004年01期

4 王洁松;张小飞;;KDDCup99网络入侵检测数据的分析和预处理[J];科技信息(科学教研);2008年15期

5 赵艳君;魏明军;;改进数据挖掘算法在入侵检测系统中的应用[J];计算机工程与应用;2013年18期

6 冯波;郝文宁;陈刚;占栋辉;;K-means算法初始聚类中心选择的优化[J];计算机工程与应用;2013年14期

7 杨志;罗可;;一种改进的基于粒子群的聚类算法[J];计算机应用研究;2014年09期

8 邢长征;谷浩;;基于平均密度优化初始聚类中心的k-means算法[J];计算机工程与应用;2014年20期

9 张光云;田丽;;传统NIDS漏报和误报起因及改进技术[J];微计算机信息;2006年03期

10 蒋亚平;赵军伟;田月霞;;IBM算法及其在Snort系统下的实现[J];郑州大学学报(理学版);2014年02期

  本文关键词：基于Snort的入侵检测系统的改进与实现，由笔耕文化传播整理发布。

，

本文编号：297584