本课题主要是,结合网络攻击技术,在攻防实验中对网络入侵检测系统Snort进行分析与研究,并尝试对Snort应用作一些实验研究工作以适应网络实际环境的需求。Snort采用规则匹配来检测可疑或恶意的网络流量。它支持插件技术,而且它的规则描述语言可以很好地描述网络攻击,这些使得Snort具有很好的可扩展性能。论文的核心内容就是围绕Snort的插件技术和规则描述语言展开的实验研究。论文首先对Snort进行分析,详细地分析了Snort的体系结构、入侵检测总体流程、协议解析、规则解析及规则匹配机制。并设计与实现了一个以Snort为核心的分布式入侵检测系统,将其应用到一个实验局域网中,提出了Snort的实用解决方案并分析了Snort入侵检测性能。论文还对网络攻击和Snort规则编写进行了分析与研究。主要从操作系统漏洞描述、网络攻击响应以及网络实验环境的检测策略这三个角度,阐述了Snort规则编写的一般原则与方法。针对于微软分布式事务处理协调器内存破坏漏洞的攻击原理、BDoor木马攻击的原理以及3389端口入侵的原理,利用流量分析,编写成检测这些攻击的Snort规则,再将新编写的规则加入到规则库中,并通过实验分析,证明了新编写规则的有效性和准确性。针对不容易提取特征的异常FTP网络流量,论文设计与实现了FTP协议分析与命令解释的预处理插件。结合FTP攻击对该预处理插件进行实验测试,该预处理插件可检测到FTP口令暴力破解攻击、IIS FTP远程溢出漏洞的攻击和MDTM命令远程溢出攻击。实验研究的结果说明:详细地了解Snort的入侵检测体系与机制,依据应用环境正确地配置Snort、按攻击类型设计Snort规则及相应的预处理插件以扩展其检测功能是十分重要的。