資源描述:
《基于Snort入侵檢測系統(tǒng)探究和改進》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在工程資料-天天文庫����。
1��、an基于Snort入侵檢測系統(tǒng)探究和改進摘要:入侵檢測技術是一種主動保護網(wǎng)絡資源免受黑客攻擊的安全技術�����。可以彌補防火墻的不足�����,幫助網(wǎng)絡快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生�,起著主動防御的作用���,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段�。本文對提高Snort性能的核心技術進行分析,提出一種能夠有效提高匹配效率的AC—WM的模式匹配算法�����,并對改進后的Snort系統(tǒng)進行測試���,顯著提高了系統(tǒng)的性能。關鍵詞:入侵檢測��;Snort;模式匹配中圖分類號:TP393.1文獻標識碼:AResearchonInstrutionDetectionSystemBasedonSno
2���、rtanditsImprovementRENYing1,LIHuawei1,2,WANGLina1(1.NavalAeronauticalandAstronauticalUniversity,Yantai264000,China;Yantai264001,China)Abstract:Intrusiondetectiontechnologyisanactivesafetytechnologytoprotectnetworkresourcesfromhackerattacks,andcanmakeupforthelackofafirewalltohe
3、lpthenetworktoquicklyfindtheoccurrenceofcyberattacks,andplasysanactivedefenserole,toproviderealtimeinstrusiondetectionfornetworksecurityandtakeappropriateprotectivemeasures.ThispapertoimprovetheperformaneeofSnortcoretechnologyundertookananalysis,putforwardakindofcaneffectiveim
4���、provethematchingefficiencyofACWMpatternmatchingalgorithm,andtheimprovedSnortsystemwastested,significantlyimprovetheperformanceofsystem?Keywords:instrusiondetection;Snort;patternmatching1引言隨著互聯(lián)網(wǎng)技術和信息技術的飛速發(fā)展,網(wǎng)絡安全風險系數(shù)不斷提高��。有些攻擊方式可以繞過防火墻��,直接入侵到內(nèi)部網(wǎng)絡,使得網(wǎng)絡安全收到威脅口]o入侵檢測技術(IDS—IntrusionD
5�、etectionSystem)可以彌補防火墻的不足�����,能夠幫助網(wǎng)絡快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生�����,采用探測與控制相結(jié)合的技術�,起著主動防御的作用,為網(wǎng)絡安全提供實時的入侵檢測及采取相應的防護手段[2]o2Snort入侵檢測系統(tǒng)2.1Snort的體系結(jié)構Snort在邏輯上分成多個部件�,這些部件共同工作����,產(chǎn)生符合特定要求的輸出格式���。它是由以下幾個主要的模塊組成:包捕獲器、包解碼器���、檢測引擎�����、預處理插件����、輸出插件(日志與報警子系統(tǒng))等[3]����。Snort系統(tǒng)的數(shù)據(jù)包處理流程如圖1所示���。圖1snort的數(shù)據(jù)處理流程2.1.1包捕獲器為了將數(shù)據(jù)包輸送給預處理程序以及隨后
6����、的檢測引擎����,必須先做一些準備工作�����,snort需要一個外部的捕包程序庫:libpcaposnort利用libpcap獨立地從物理鏈路上進行捕包���,它可以借助libpcap的平臺可一致性被安裝到幾乎所有地方����。計算技術與自動化2012年9月第31卷第3期任穎等:基于Snort的入侵檢測系統(tǒng)的研究與改進2.1.2包解碼器數(shù)據(jù)包解碼器主要是對各種協(xié)議棧上的數(shù)據(jù)包進行解析、預處理��,以便提交給檢測引擎進行規(guī)則匹配��。由于包解碼器是基于libpcap截獲的鏈路層數(shù)據(jù),snort通過調(diào)用不同的功能函數(shù)來處理鏈路層數(shù)據(jù)并對鏈路層協(xié)議進行解碼���。解碼后的數(shù)據(jù)會根據(jù)需要進入到下
7、一層的協(xié)議分析�,直到滿足檢測引擎處理的要求為止���。2.1.3預處理器預處理器是Snort在檢測引擎做出某些操作來發(fā)現(xiàn)數(shù)據(jù)包是否用來入侵或者修改數(shù)據(jù)包的組件或者插件。它的作用就是針對當前截獲的數(shù)據(jù)包進行預處理��,可以根據(jù)實際環(huán)境的需要啟動或停止預處理器插件。244檢測引擎檢測引擎是Snort的核心模塊����。它的作用是探測數(shù)據(jù)包中是否包含著入侵行為���。檢測引擎通過Snort規(guī)則來達到目的,規(guī)則被讀入到內(nèi)部的數(shù)據(jù)結(jié)構或者鏈表中�����。并與所以的數(shù)據(jù)包對比��。如果一個數(shù)據(jù)包與某一規(guī)則匹配����,就會有相應的動作(記錄日志或報警等)產(chǎn)生�����,否則數(shù)據(jù)包就會被丟棄����。2.1.5報警日志模塊
8����、檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出��。如檢測引擎中的某條規(guī)則被匹配�,則會出發(fā)一條報警,這條報警信息會通過網(wǎng)絡����、
