Snort规则分析与规则增加

论文字数:18787,页数:40  有开题报告，任务书

摘  要

 近年来，互联网得到了长足的发展，所以网络本身的安全性问题也就显得更为重要。网络安全的主要威胁是通过网络对信息系统的入侵，因此，如何通过网络安全系统对其进行检测，已成为众多网络安全手段的核心技术。
 入侵检测系统作为防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。入侵检测系统能够识别攻击并通过产生警告或者阻塞可疑活动的方式进行反应。Snort 是一个轻量级网络入侵检测系统（NIDS），通过误用检测来检测入侵。Snort规则是它的核心，是其检测入侵行为的知识库，并随着入侵方式的增多而不断的增大。在软件漏洞频繁出现，新型网络攻击和原有攻击的变种不断对计算机网络造成威胁和破坏的情况下，必需及时的增加新的规则来有效的检测入侵行为，提高Snort的检测能力。
 Snort规则就是能检测网络上有入侵行为数据包的“一种简单的、轻量级的描述语言”，它提供了简单，灵活的方法描述入侵行为。而且它也在不断扩展，以更精确的描述网络攻击特征。本文给出了由入侵特征得出NIDS规则的方法，介绍了Snort的结构和处理流程，分析了Snort规则的语法结构以及如何优化规则来减少误报何漏报，提出了三种扩展Snort规则的方法并给出了实例。另外，针对两种网络攻击特征实例，增加了新的规则，把设计的新规则加入到Snort规则库中，然后模拟蠕虫病毒进行入侵攻击，通过查看Snort的警告信息测试新设计的规则是有效的。

关键词：攻击特征，入侵检测，规则

                     Snort Rules Analysis and Increase
Abstract

 As the necessary complement to Firewall, Intrusion Detection System can help the compute system to deal with network attack, which expands the security manage ability of system administrator and enhance the integrity of information security system architecture. IDS are installed to identify attacks and to react by usually generating an alert or blocking suspicious activity. Snort is a lightweight Network Intrusion Detection System（NIDS）, and it detects intrusion with misuse detecting technology. Snort rules, acting as a knowledge base when it detect invade activity, is its heart, and will argument as kinds of intrusions increase. Software leak appears frequently, new network intrusion and varieties of old attacks continually bring threat and damage to computer network, in such condition, we should add new Snort rules in time to detect intrusion effectively, and increase the detect ability of Snort.
 Snort rule is a simple and lightweight description language which can detect the data package for intrusion in the network. It provides a simple and flexible method to describe intrusion activity. What’s more, it is developing, in order to describe the attack signature more exactly. In this paper, it presents the way to get NIDS rules from attack signature, and introduces the components of Snort and how it works; it analyzes the grammar structure of Snort rules and how to optimize rules to decrease false alarm and alarm failure; also, it propose three methods to expand Snort rules and give examples. Anymore, it adds new rules based on tow attack signatures to rule house, and simulate the attack of worm with a program, then check whether it is effective by examine alert information.

Key Words：Attack Signature， Intrusion detection， Rule

 目   录
第一章 绪论 1
1.1课题背景 1
1.2 国内外研究现状 1
1.3 课题研究内容 3
1.4 论文结构 4
第二章 入侵检测基础 5
2.1入侵检测概述 5
2.1.1入侵检测技术 5
2.1.2入侵检测系统 6
2.2 入侵分析与NIDS规则 7
2.2.1网络入侵分析 7
2.1.2入侵特征与NIDS规则 8
2.3轻量级入侵检测系统SNORT 9
2.3.1 SNORT基本组成 10
2.3.2规则处理 11
第三章 SNORT规则分析 14
3.1SNORT规则简介 14
3.2 规则头 14
3.2.1规则行为 14
3.2.2协议 15
3.2.3源和目的IP 15
3.2.4源和目的端口 16
3.2.5方向 16
3.3规则选项 17
3.3.1content 选项 17
3.3.2uricontent选项 18
3.4优化规则 19
3.4.1合理定义规则头和规则选项 19
3.4.2自定义规则 20
第四章 扩展SNORT规则 21
4.1量身打造规则库 21
4.1.1规则库介绍 21
4.1.2修改规则库 22
4.2规则作为网络控制工具 22
4.2.1根据需要编写适当规则 22
4.2.1简单的防控规则举例 23
4.3根据网络分析数据添加规则 23
4.3.1网络流量分析 23
4.3.1针对某种攻击数据包编写规则 24
第五章 规则加入SNORT系统 26
5.1运行snort入侵检测系统 26
5.1.1以嗅探器模式运行 26
5.1.2以入侵检测模式运行 27
5.2把新规则加到SNORT系统中 28
5.3实验与结果分析 29
5.3.1模拟网络攻击 29
5.3.2验证规则有效性 30
第六章 总结与展望 32
6.1总结 32
6.2后续工作 32
致 谢 33
参考文献 34