文章摘要:目前，众多关于入侵检测系统（IDS）的研究都集中在网络流量识别和日志分析上，但是还存在另一种能够了解入侵检测问题的方法，即分析位于IDS核心的规则。基于签名的IDS会把其遭受攻击的特征封装到其本身的规则中，因此对规则的分析可以揭示恶意流量中的各种有用信息。文中对目前流行的开源入侵检测系统Snort的规则进行了统计和聚类分析，重点关注了规则使用的网络协议，揭示了Snort系统重点针对的恶意流量的类型，反映出了恶意流量的入侵方式和频率等特征以及当前入侵检测的手段，可以为编写入侵检测规则和提高入侵检测准确率提供借鉴。实验结果表明，Snort使用的三种主要协议为传输控制协议（TCP）、用户数据报协议（UDP）和Internet控制报文协议（ICMP）；Snort规则集可以被合理地划分为三类，其中TCP的使用都处于绝对的主导地位，并能反映出攻击事件的种类、入侵方式和频率的不同；Snort绝大多数的规则都能提取到基于TCP或UDP的应用层协议的特征，即现在的规则更加倾向于能够识别出应用层的协议，其中识别出最多的是超文本传输协议（HTTP）和简单邮件传输协议（SMTP）。

文章关键词:

论文分类号:TP393.08

文章来源：《信息记录材料》 网址: http://www.xxjlcl.cn/qikandaodu/2021/1208/2372.html