1、網(wǎng)絡(luò)環(huán)境的不斷變化，帶來了攻擊方式的層出不窮，也給入侵防御系統(tǒng)的發(fā)展帶來了前所未有的挑戰(zhàn)。
　　入侵防御系統(tǒng)是一種可以主動、快速響應(yīng)網(wǎng)絡(luò)攻擊行為的網(wǎng)絡(luò)安全防護系統(tǒng)，它串聯(lián)在網(wǎng)絡(luò)中，一般都被部署在網(wǎng)絡(luò)的關(guān)鍵路徑上，對流經(jīng)它的網(wǎng)絡(luò)流量進行檢測，從中發(fā)現(xiàn)異常行為。IPS要高效的檢測異常行為，必須擁有一個有效的攻擊特征庫。IPS的攻擊特征庫中不僅要包含已知的所有攻擊特征，還要對這些特征進行有效的組合，便于系統(tǒng)對特征庫中的特征進行快速準(zhǔn)確的

2、匹配。
　　攻擊特征庫建立的核心是特征的分析和提取，本論文對一些帶有攻擊行為的網(wǎng)絡(luò)日志文件中數(shù)據(jù)包中的信息進行分析，仔細查看這些日志文件的共同點和不同點，總結(jié)這些日志文件中所帶有的攻擊特征，提取出一類攻擊的特征。
　　Snort是一個功能強大的入侵檢測系統(tǒng)，它設(shè)計靈活，可擴展性強，本論文對snort特征庫中特征的分析、提取進行研究，結(jié)合它特征的組織方式以及匹配方式，對攻擊特征庫的建立方法進行研究，提出了分層攻擊特征庫的思想。