基于snort改進入侵檢測系統(tǒng)

基于snort改進入侵檢測系統(tǒng)

ID:33796509

大?。?6.67 KB

頁數(shù):5頁

時間:2019-03-01

基于snort改進入侵檢測系統(tǒng)_第1頁
基于snort改進入侵檢測系統(tǒng)_第2頁
基于snort改進入侵檢測系統(tǒng)_第3頁
基于snort改進入侵檢測系統(tǒng)_第4頁
基于snort改進入侵檢測系統(tǒng)_第5頁
資源描述:

《基于snort改進入侵檢測系統(tǒng)》由會員上傳分享,免費在線閱讀,更多相關內容在工程資料-天天文庫。

1、基于Snort改進入侵檢測系統(tǒng)【摘要】本文研究了Snort入侵檢測系統(tǒng)的特點和工作原理,通過實驗證明入侵在時間上的連續(xù)性,并基于該特征提出了一個數(shù)據(jù)包采樣算法,對Snort系統(tǒng)的數(shù)據(jù)采集模塊的數(shù)據(jù)源進行采樣,并用實驗證明該算法可以顯著提高入侵檢測的效率。【關鍵詞】Snort;入侵檢測;數(shù)據(jù)包采樣一、Snort簡介Snort利用庫函數(shù)libpcap截取報文,對報文進行協(xié)議分析,內容搜索/匹配,可以用來檢測緩沖區(qū)溢出、隱秘端口掃描、CGI攻擊、SMB探測、OS指紋特征檢測等等各種攻擊和探測。Snort具有較強的學習能力,它使用靈活的規(guī)

2、則語言來描述網絡數(shù)據(jù)報文,可以對新的攻擊作出快速地翻譯。Snort能實時報警同時支持多種報警信息處理,包括寫到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。Snort支持插件體系,擴展能力強。Snort的現(xiàn)實意義作為開源軟件填補了只有商業(yè)入侵檢測系統(tǒng)的空白,可以幫助中小網絡的系統(tǒng)管理員有效地監(jiān)視網絡流量和檢測入侵行為。Snort作為一個基于網絡的入侵檢測系統(tǒng)(NIDS),其工作過程為:①Snort系統(tǒng)的啟動和初始化;②解析命令行;③讀入規(guī)則庫,生成入侵規(guī)則鏈表;④通過Libpcap庫函數(shù)抓取一個網絡數(shù)據(jù)包;

3、⑤根據(jù)抓取的包的網絡協(xié)議層次及包的協(xié)議類型,對數(shù)據(jù)包進行解析;⑥啟動檢測引擎,將解析好的數(shù)據(jù)包和入侵規(guī)則鏈表進行逐一匹配,直至找到匹配的規(guī)則轉⑦或所有規(guī)則均不匹配轉⑧;⑦對應匹配規(guī)則的入侵行為發(fā)生,記錄攻擊并報警;⑧重復第④至⑦步,直至系統(tǒng)停止。二、基于采樣的入侵檢測入侵攻擊特征分析實驗利用Snort對MITLincon實驗室的兩份公開數(shù)據(jù)集進行離線檢測統(tǒng)計實驗,實驗過程及結果如下:①入口數(shù)據(jù)集攻擊分析:數(shù)據(jù)共包778484個,攻擊包40245個,攻擊包占0.05%;根據(jù)實驗數(shù)據(jù)表1和表2分析可得,基于TCP協(xié)議的攻擊,15%的攻

4、擊出現(xiàn)了連續(xù)性;基于UDP協(xié)議的攻擊,99%的攻擊在給定時間間隔內出現(xiàn),表現(xiàn)出了極強的攻擊連續(xù)性。②出口數(shù)據(jù)集攻擊分析:數(shù)據(jù)包共166011個,攻擊包195個,攻擊包占0.001%;根據(jù)實驗結果表3,分析可得:基于TCP協(xié)議的攻擊包占總包數(shù)的0.001%,網絡工作正常,在上,攻擊分布較均衡,有11%的攻擊出現(xiàn)了連續(xù)性。(2)實驗結論攻擊包在時間上具有連續(xù)性。(3)基于采樣的入侵檢測算法基于攻擊包在時間上的連續(xù)性,金慶輝提出了一種入侵檢測的采樣方法,其算法的設計思想是:若某源IP流中發(fā)現(xiàn)入侵,則認為在下一時間中它的包有很大概率也是入

5、侵;若某源IP流在一個時間段中無入侵,則認為下一時間段中同源包有很大概率是正常流。算法流程圖見圖5至圖7所示。金慶輝提出的算法缺點分析:根據(jù)算法思想假設第一點進行黑名單檢測,有選擇性的直接對部份包標記為異常包,這樣將導致誤警率提高;根據(jù)算法思想假設第二點進行數(shù)據(jù)包采樣,將采樣后的包標記為正常包是不準確的,同時也會導致漏警率的增加。改良的入侵檢測采樣算法:改良算法的基本思想:設置一個白名單記錄,包括源IP地址、Port端口號、協(xié)議、生命值及生存周期;算法過程:數(shù)據(jù)包進行白名單匹配,對屬于白名單且生命期大于固定值I則進行采樣送檢測,否

6、則直接送檢測引擎檢測;根據(jù)檢測結果及老化周期更新白名單。算法流程見圖8所示。改進的算法對數(shù)據(jù)包若在白名單中無記錄或其生命值小于I,則直接送檢測引擎檢測,而對與白名單匹配且生命值大于等于I的記錄進行采樣檢測,為防止白名單的無限擴大,設置記錄的生存周期為30分鐘,即某個白名單記錄在30分鐘內沒有再次出現(xiàn),則刪除對應記錄。整個算法思想基于:若某源IP流在一個時間段中無入侵,則認為下一時間段中同源包有很大概率是正常流。該數(shù)據(jù)采樣算法沒有圖5所示算法對檢測的誤警率,漏警率比圖5所示算法要小,同時不會出現(xiàn)后者算法中黑、白名單的不斷增長問題。由

7、于攻擊流占全部數(shù)據(jù)流的比例相當小,因而采樣算法可以大幅提高Snort系統(tǒng)的檢測率,驗證如下。三、實驗實驗在一臺安裝了Snort系統(tǒng)的服務器上進行,使用AX4000流量發(fā)生/分析儀作為測試工具,在Snort系統(tǒng)上分別加載改進采樣算法、原采樣算法及普通算法,對比檢測數(shù)據(jù)包處理效率。(1)實驗步驟:使用AX4000構造千兆流量,并作為分析設備。①測試加載了改進采樣算法的Snort在不同固定生命值I下對千兆流量的處理能力。②測試Snort加載不同的釆樣算法后對混合了異常流的千兆流量的入侵檢測能力。(2)實驗結果:①改進采樣算法中不同生命值

8、對檢測率的影響和檢測引擎處理速度的提升,見圖9、圖10所示。由圖可見,加載上文所提出的數(shù)據(jù)包采樣算法后,給定的固定生命值I取值在(10,20)時,入侵檢測率達到最佳狀態(tài),此時Snort處理數(shù)據(jù)包速度接近千兆線速度。②與常用采樣算法比較:使用AX40

當前文檔最多預覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當前文檔最多預覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學公式或PPT動畫的文件,查看預覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權歸屬用戶,天天文庫負責整理代發(fā)布。如果您對本文檔版權有爭議請及時聯(lián)系客服。
3. 下載前請仔細閱讀文檔內容,確認文檔內容符合您的需求后進行下載,若出現(xiàn)內容與標題不符可向本站投訴處理。
4. 下載文檔時可能由于網絡波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。