過渡網(wǎng)絡環(huán)境下Snort的改進研究.pdf

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展，計算機網(wǎng)絡己經成為現(xiàn)代社會生活中非常重要的組成部分，網(wǎng)絡安全也面臨著越來越嚴峻的考驗。入侵檢測系統(tǒng)是網(wǎng)絡安全研究領域的近年來的熱點課題之一，它對系統(tǒng)(網(wǎng)絡)的運行狀態(tài)進行監(jiān)視，識別各種入侵企圖、正在發(fā)生的入侵或已經發(fā)生的入侵行為，彌補了防火墻的不足，是防火墻之后的又一道安全防線。
　　新一代互聯(lián)網(wǎng)協(xié)議IPv6，不僅很好地解決了IPv4地址匱乏問題，而且在傳輸性能、服務質量、和安全方面都有一定的提高。Inter

2、net過渡和升級到IPv6是必然趨勢，普遍認為IPv6因為IPSec的引入而比IPv4更加安全。但是IPv6并沒有徹底解決網(wǎng)絡安全問題：(1)主流操作系統(tǒng)在 IPv6協(xié)議實現(xiàn)上存在著安全漏洞；(2)非IP層的攻擊能被很容易地移植到IPv6；(3)雙棧和隧道等過渡方式帶來了新的安全問題；(4)IPv6引入的新協(xié)議和機制存在著特有的安全問題。
　　現(xiàn)有的入侵檢測系統(tǒng)大多局限于IPv4，不能支持IPv6以及IPv4/IPv6共存的過渡網(wǎng)

3、絡環(huán)境，針對IPv6的入侵檢測系統(tǒng)研究正處于起步階段。
　　本論文對著名開放源代碼網(wǎng)絡入侵檢測系統(tǒng)Snort的運行原理和系統(tǒng)結構進行了深入的分析，通過對數(shù)據(jù)解析模塊、預處理器和規(guī)則庫組織等幾個方面的改進，使Snort支持IPv6，能夠運行于IPv4/IPv6過渡網(wǎng)絡環(huán)境中。并通過將規(guī)則按選項進行再分類對規(guī)則庫組織進行了改進,減少了每個數(shù)據(jù)包需要進行匹配的規(guī)則數(shù)量；通過改進規(guī)則選項的排列順序，使正常數(shù)據(jù)能夠盡快的匹配失敗，從而提高檢