急 求一篇500字左右电脑方面的论文

最新问答

• 艾米莉郡主

  随着internet的迅速发展，网络安全问题显得日益重要．入侵检测系统(intrusion detection sys．tem，简称ids)作为“防火墙”的一种重要的补充措施，得到了迅猛的发展．入侵检测系统通过从计算机网络中的若干关键点收集信息并加以分析，检查网络中是否有违反安全策略的行为和遭到袭击的迹象，从而对内部攻击、外部攻击和误作的实时保护．目前，主要有2类ids：基于主机的ids和基于网络的ids．基于网络的ids主要是从网络中的关键网段收集网络分组信息，从而发现入侵．snort[1 j是一个开放源的、功能强大的轻量级网络入侵检测系(nids)，它具有实时流量分析和网络包过滤的能力，能够进行协议分析，对内容进行匹配，能够检测各种不同的攻击方式，对攻击行实时警报．但snort的设计是面向单包的，完全由规则驱动，它所做的只是对到达网络接口的包做生硬的规则匹配，是一种单纯的基于特征的入侵检测系统，它的规则语言都是针对描述包自身的特征，无法描述包到达的时间和频度．本研究在详细分析snort ids功结构的基础上提出构建应用挖掘技术进行异常检测的snort入侵检测系统，改善了原有snort系统单一的特征匹法．代写论文
  1 snort入侵检测系统
  1．1 snort的体系结构
  snort在逻辑上分成多个部件，这些部件共同工作，产生符合特定要求的输出格式．一个基于snort的ids包含下面的主要部件：包解器、预处理器、检测引擎、日志和告警系统以及输出模块．1)包解器．包解器从不同的网络接口中获取包并准备预处理或者送到检测引擎．snort通过将网卡设为混杂模式，采用libcap(windows系统下为winpcap)库捕获网络包．1ibpcap库函数可以为应用程序直接从链路层捕获的包并可以设置包的过滤器以来捕获指定的网络流量．预处理器．预处理器是snort在检测引擎做出某些作来发现包是否用来入侵或者修改包的组件或者插件．一些预处理器也可以通过发现包头部异常来执行一些探测工作，并产生告警．预处理器的工作对于任何ids的检测引擎依据规则分析都是非常重要的．
  3)检测引擎．检测引擎是snort中最重要的部分，它的作用是探测包中是否包含着入侵行为．检测引擎通过snort规则来达到目的，规则被读入到内部的结构或者链表中，并与所有的包比对．如果一个包与某一规则匹配，就会有相应的动作(记录日志或告警等)产生，否则包就会被丢弃．检测引擎是与时间相关的组件，根据机器的处理能力和定义的规则的多少，检测引擎会消耗不同的时间来对不同的包做出响应．当snort工作在nids模式的时候，如果网络中流量逛大，有时可能会因为来不及响应而丢弃一些包．
  4)日志和告警系统．依据在包中所找到的东西，一个包可以用来记录行为或者产生告警．日志可以存为简单的文本文件、tcpdump格式文件或者其他的形式．在默认情况下，所有的日志文件都存在／vat／log／snort目录中．在命令行中用一l选项来修改日志和告警存放的位置．
  5)输出模块．输出模块或插件可以根据指定的保存日志和告警系统产生的输出信息的方式来执行不同的动作．输出模块用来控制日志和告警系统产生的输出信息的格式．根据配置，输出模块可以做下列事情：简单的在／var／log／／alerts文件或其他文件中记录日志、发送snmp trap、将日志记录到类似于mysql或oracle的库中、产生xml输出、修改路由器或者防火墙的配置、向n．dows主机发送smb消息等．
  1．2 snort系统主要缺点分析
  snort系统是以规则匹配检测入侵行为，因此，规则是整个系统的核心内容，规则质量的好坏直接决定了整个系统的工作状态．snort规则简单的特点既构成了它的优点，也衍生出了结构性的缺陷．
  1)snort规则的设计是面向单包的．虽然snort规则能有效地描述单包的特征，但它基本上没有能力描述状态特性，所以很难用来探测一些与状相关的攻击．
  2)snort的一条规则只能匹配一个攻击而不是一类攻击．比如对于8o端口的cgi漏洞扫描攻击，snort所采用的依然是一条规则匹配一个cgi漏洞探测请求的手段，其实这些cgi漏洞的攻击除了提交的漏洞脚本不同外其他方面的属性都是一致的，虽然snort检测弓i擎的特点可以在一定程度弥补效率上的下降，但也造成规
  .

  浏览 479赞 125时间 2021-11-05