3。2 Snort组成模块 15

3。3 Snort工作流程 16

第四章  Snort的搭建与调试 20

4。1 Snort的搭建与配置 20

4。1。1 Snort用作嗅探器 20

4。1。2搭建snort入侵检测器 22

4。2 Snort自定义规则测试 24

4。2。1规则编写原理 24

4。2。2 自定义规则测试 25

总  结 28

致  谢 29

参考文献 30

第一章  绪论

1。1研究的目的与意义

随着网络安全风险系数的增加，网络安全问题越来越尖锐，防火墙只能够检查数据包的包头部分，其安全性能并不理想也不适应当前层出不穷发展的网络安全事件。相比之下IDS要专业的多，因为它还能在检查包头后继续查看数据部分，并通过网络安全机制锁定可识别的已知特征[[[] Waleed Bul’ajoul,anne james,Mandeep Pannu。 improving network intrusion detection system performance through quality of service configuration and parallel technology。 Jouranal of Computer And System Science, 2015, 81(983): 3]]。IDS能够快速发现攻击行为，增强管理员安全管理的能力，提高信息安全结构的完整性，是对防火墙的很好的补充[[[] 郭春。 基于数据挖掘的网络入侵检测关键技术研究。 北京邮电大学博士学位论文。 2011：2]]，国内外研究人员在此方面进行了细致的研究与开发工作，并且收获颇丰。论文网

当前的网络安全威胁主要包括黑客攻击、后门通道、计算机病毒、特洛伊木马、蠕虫攻击、逻辑炸弹、拒绝服务攻击等，犯罪分子受利益驱使制作了越来越多的而恶意软件。致使目前国内的计算机病毒、木马数量激增。目前网上购物、网上炒股等日益流行，个人财产与网络账号直接相连，而这也因此成为不法分子的主要攻击目标。不法分子通过木马程序的传播，窃取网民的账号信息借此牟利。九年一次的世界范围的基础设施安全报告和ATLAS 数据报告表明在2006到2010 年间分布式拒绝服务攻击每年都城北增长在2013年到达顶峰较2010年增长了百分之200。漏洞是客观存在的，其具有一定的不可避免性[[[] 鲜永菊。 入侵检测。 西安电子科技大学出版社， 2009：3-5]]。INTERNET 的开放性和共享性使网上信息安全得不到保障，而其依赖的TCP/IP协议并没有过多的研究网络安全性，人们就是利用当下存在的种种缺陷对网络实施攻击。

入侵检测的主要目的是发现攻击行为查找系统缺陷，了解攻击手段和行为有助于学习入侵检测技术，也有助于入侵检测方法的设计。

对于未知的攻击进行“PROACTIVE DEFENCE”（前摄性防御），可以有效的预防和避免攻击行为，甚至进行侦测或反击，主动防御的关键点是：防御和主动性。常见的而主动防御技术可以分为初级、中级、高级三类。初级防御技术隐患扫描或漏洞扫描，能够事先排除安全隐患对漏洞进行修补并检测弱点区域。中级主动防御技术采用联动方式（如将防火墙、入侵检测、日志处理实现联动）。高级主动防御技术采用取证、入侵诱骗、主动响应等。

安全问题将永远存在于网络之中。安全防护系统和网络、保障信息存放传输安全是网络运行及维护以及网络规划设计的重中之重。