基于snort的入侵检测系统的研究(11)

随着网络环境的普及，出现了大量的基于网络的入侵检测系统。基于网络的入侵检测系统通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前攻击行为。

基于网络的入侵检测能够实时监控网络中的数据流量，发现潜在的攻击行为，并做出迅速响应。另外，它的分析对象是网络协议，通常而言是标准化的，独立于主机的操作系统类型，因此 NIDS 一般没有移植性的问题。同时它的运行丝毫不影响主机或服务器的自身运行。

（3）分布式入侵检测系统(DIDS)

进入 20 世纪 90 年代后，出现了把基于主机和基于网络的入侵检测结合起来的早期尝试，最早实现此种集成能力的原型系统是分布式入侵检测系统 DIDS,它将 NSM和 Haystack 组件集成到一起，并采用中央控制台来解决关联处理和用户接口的问题。典型的 DIDS 是管理端/探测器结构，NIDS 作为探测器放置在网络的各个地方，并向中央管理平台汇报情况。攻击日志定时地传送到管理平台，并保存在中央数据库中，新的攻击特征库则能发送到各个探测器上。每个探测器能根据所在网络的实际需要配置不同的规则集。报警信息能发到管理平台的消息系统，用各种方式通知 IDS管理员。现在有人根据此种数据来源混合的方式，称此类系统为“混合型”(Hybrid)系统。最著名的明确体现分布式架构的早期系统为 SRI 的 EMERALD 系统，它明确将分布式检测架构进行层次化的处理，并实现了不同层次上的分析单元，同时提供了开放的 API 接口，实现基本架构下的组件互换功能，这也是处理可扩展性问题的一次有益尝试。后来的 Purdue大学设计并原型实现的 AAFID 系统体现了基于自治代理的分布式架构思想。

3.2入侵检测系统的相关技术

3.2.1 snort简介

Snort系统[13]是一个以开放源代码形式发行的一个轻量级网络入侵检测系统，由Martin Roesch编写，并由遍布世界各地的众多程序员共同维护和升级。直到今天，Snort已发展为一个多平台的强大的网络入侵检测系统。

Snort IDS是一个轻量级的网络入侵检测系统。它运行在一个传感器(Sensor)主机上，负责监听网络数据。Snort能够把网络数据和系统的检测规则进行模式匹配，从而检测出可能的入侵企图。Snort可以完成数据包嗅探、数据包记录、入侵检测及实时发送报警信息。Snort 是一个基于 libpcap 的数据包嗅探器[14]可以作为一个轻量级的网络入侵检测系统 NIDS。这里轻量级的意思是占用的资源非常少，能运行在不同的操作系统上。另外，它还能提供一些以前只有商业NIDS才能提供的功能。Snort系统支持多种系统软硬件平台，如Unix系统平台，当前也已出现基于Windows平台的Snort系统。

搜索“diyifanwen.net”或“第一范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，第一范文网，提供最新高等教育基于snort的入侵检测系统的研究(11)全文阅读和word下载服务。