基于SNORT的入侵检测系统的研究与应用.docx
- 文档编号:28378783
- 上传时间:2023-07-10
- 格式:DOCX
- 页数:71
- 大小:73.33KB
基于SNORT的入侵检测系统的研究与应用.docx
《基于SNORT的入侵检测系统的研究与应用.docx》由会员分享,可在线阅读,更多相关《基于SNORT的入侵检测系统的研究与应用.docx(71页珍藏版)》请在冰豆网上搜索。
基于SNORT的入侵检测系统的研究与应用
摘要
近年来,互联网的爆炸式发展,给人类社会、经济、文化等带来了无限的机遇,同时也给信息安伞带来严峻挑战。
人们采用反病毒,防火墙和入侵检测等技术手段来保i|F|)。
9络信息安全。
随着嘲络安全技术的1i断发展,入侵检测技术已经成为网络安全体系结构中不可或缺的一部分。
Snort入侵检测系统作为一种著名的开源网络入侵检测系统,能够有效保护系统信息安全,在业界得到了广泛研究和使用。
但随着网络带宽不断提高,以及网络攻击种类的急剧增加,致使Snort的检测任务越来越重,从而有可能漏掉一些造成严重后果的网络攻击行为。
因此,如何提高Snort的性能己成为入侵检测领域研究的一个热点。
本文以Snort系统为研究对象,分析Snort系统的基本架构,并探讨了Snort系统的具体应用。
论文工作主要包含以下三个方面:
1、在介绍入侵检测系统的基础上,对Snort系统结构、主要模块功能、上作流程和规则结构进行细致剖析。
2、通过对Snort的深入分析,提出了改进Snort的四种方法:
第一、采用内存映射技术和NAPI技术来改进Snort的包捕获性能。
第二、采用规则优化技术创建高效的规则集以提高规则匹配的速度。
第三、利用高速缓存策略提高检测效率。
第四、存预处理模块设定阈值忽略统计到的频繁连接的包。
3、分析Snort系统与防火墙技术配合使用的必要性,结合实际提出了一个Snort系统的典型应用方案。
关键词:
入侵检测:
检测性能:
Snort应用
Abstract
Recentyears,theinternethasgotexplosivedevelopment,whichbrings
thehumansociety,economy,cultureinfiniteopportunity,meanwhile,it
alsobringsinformationsecurityrigorouschallenge.Peopleadopt
ani—virus,firewall,intrusiondetectiontechnologyetctoassurethe
networksecurity.Withthedevelopmentofnetworktechnology,the
intrusiondetectiontechnologyhasbecomethenecessarycomponentof
networksecurityarchitecture.
Snortintrusiondetectionsystem,asafamousopensourceNIDS,could
protectsysteminformationsecurityeffectively,whichgetsvastresearch
andapplicationinindustry.TheSnortdetectionengineadoptsthesimple
patternmatchingstrategy.Withtheincreaseofnet—bandandrule—set,the
detectionloadofSnortiSbecomingheavier:
therefore,itiSpossiblethat
Snortmayneglectsomesevereattacks.Soitiscrucialtodesignhigh
efficientpatternmatchingalgorithmforintrusiondetectionsystem.
Themainworksofthispaperincludethefollowingthreeparts:
1、BasedonintroducingIntrusionDetectionSystem,thepaperget
throughadeepresearchonNetworkIntrusionDetectionSystemnamed
Snort.ThroughanalyzingmodulesoftheSnort’Sarchitecture,working
flowandrules,thepaperpointsouttheperformancebottleneckofthe
Snort
2、Basedonwhichthepapergivesoutthemethodstoimprovesnort’S
performance:
First,thetechnologyoftheimprovedpacketcapture,
whichcanimprovetheperformanceofpacketcapturebyusingMemory
mapping,NAPI:
Second,Third,thetechnologyofoptimizationrules,which
canimprovethespeedofmatchingrulesbycreatingefficientrule
sets:
Third,adynamiCCachestrategyiSputforward,inwhichtherecent
frequentIyusedrulenodepointersalestoredinaCacheblock:
Fourth,
Setthresholdtoignorethestaristicalconnectionbetweenthepacket.
3、UnifiedactuallyproposedaSnortsystemmodelapplicationplan
KeyWords:
Intrusiondetection:
DetectionPerformace:
ApplicationofSnort
基于Snort的入侵检测系统的研究与应用
第一章绪论
1.1课题研究背景
中国互联蚓络信息中心(CNNIC)报告了截至2008年12月31日的我国互联网络情况:
我国网民数量规模达到2.98亿人,我同国际m口带宽总量640286.67M。
计算机网络飞速发展,已经渗入现代社会生活的方方而面。
很多单位建立了自己的局域网,通过局域网实现资源共享和协同工作,从而提高工作效率。
但人们在享受计算机网络带来的种种便利的同时,也不得不面对网络上存在。
的严重的安全问题。
2008年,公安部网络安全状况调查结果显示:
被调查的12000余家企业有62.7%发生过网络信息安全事件。
而发生安全事件的企业中,72%的企业感染了计算机病毒、蠕虫和木马程序,22%的企业受到垃圾电子邮件干扰和影响,50%的企业发生网络端口扫描、拒绝服务攻击和网页篡改等安全事件。
为对付“黑客”们层出不穷的攻击,人们采取各种各样的反攻击手段:
外部防御、外部威慑、内部防御、内部威慑、入侵检测、诱骗技术、入侵对抗、陷阱或假目标等。
所有这些反攻击手段可以分为两大类:
被动型和主动型l。
被动型反攻击手段的典型代表是防火墙。
它们主要是基于各种形式的静态禁止策略。
被动型反攻击手段对于改善网络安全有很实际的意义,而且也是对所有网络安全最基本的响应措施。
但是被动型防御机制也有它自己的局限性。
例如,防火墙虽然能够通过过滤和访问控制,制止多数对系统的非法访问,但却不能抵御某些入侵攻击,尤其是在防火墙系统存在配置上的错误、没有定义或没有明确定义系统安全策略时,都会危及整个系统的安全。
另外,由于防火墙主要是在网络数据流的关键路径上,通过访问控制来实现系统内部与外部的隔离,而针对恶意的移动代码(病毒、木马、缓冲溢出等)攻击以及来自内部的攻击等,防火墙将无能为力。
主动型反攻击手段的典型代表就是本论文将要研究的入侵检测系统。
它是一种能自动识别系统中异常操作和未授权访问、检测各种网络攻击的技术。
入侵检测是最近发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制,主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部入侵者利用系统的安全缺陷对系统进行入侵的企图。
和传统的预防性安全机制相比,入侵检测是一种事后处理方案,具有智能监控、第。
章绪论实时探测、动态响应、易于配置等特点。
入侵榆测技术的引入,使得网络、系统的安全性得到进。
。
步的提高(例如,可以检测出内部人员偶然或故意提高他们的用户权限的行为,避免系统内部人员对系统的越权使用)。
入侵检测技术是网络安全体系中重要的组成部分,它的开发和应用可以增大网络与系统安全的保护力度。
入侵监测技术作为一种主动的信息安伞保障措施,有效地弥补了传统安伞防护技术的缺陷。
通过构建动态的安全循环,可以最大限度地提高系统的安全保障能力,减少安全威胁对系统造成的危害。
目前,入侵检测已经成为网络安全工具的主要研究和开发方向。
1.2国内外发展现状
Snort是目前最著名、最活跃的开放源码网络入侵检测系统。
Snoa定位于
轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析
-丁具,是月前世界上使用最广泛的开源入侵检测系统之一。
Snon可以完成实时
流量分析和对记录网络IP数据包的能力,能够进行协议分析、内容查找/匹配,
能够检测到缓冲区溢出,端口扫描、CGI(comnlongatewayinterface)攻击、SMB
(servermessageblock)探测、操作系统指纹探测企图等。
Snort可以运行于
Linux/Unix系列,Windows等操作系统,具有良好的跨平台性,并提供丰富的报
警机制。
Snort遵循GPL(generalpubliclicense),所以任何企业、个人、组织都可
以免费使用它作为自己的网络入侵检测系统。
Snon整体设计编码简洁明了,攻击
检测规则集已成一定规模,它的规则集已经被很多其他开放源码IDS项目所兼
容。
历经数年的发展,Snort已经发展到了2.8.4版本。
Snort基本架构在SnortI.6
版本时确立,2.0版本开始采用了新型的入侵检测引擎,功能更加完善和强大。
Snoa已经成为学习和研究入侵检测系统的经典实例。
目前,许多商业入侵检测系统都是在Snon入侵检测系统的基础上发展来的,
有些甚至是Snon的翻版。
国内也开发了不少商用入侵检测系统,例如扁明星辰
公司的“天阗入侵检测系统”,中科网威的“天眼入侵检测系统”,绿盟科技的“冰
之眼”入侵检测系统,联想也开发了“联想网御入侵检测系统”。
虽然日前市面
上的商用入侵检测系统种类繁多,但是分析其本质,这些入侵检测系统都借鉴了
Snort的设计思想。
2
基于Snon的入侵检测系统的研究与戍用
1.3本文的研究内容及章节安排
1.3.1本文的研究内容
Snort已经成为基于特征的网络入侵检测系统的典型代表,因此研究和分析
Snort系统对于提高。
。
般基于特征的入侵检测系统的性能有很大意义。
本论文以
著名的开源入侵检测系统Snort为研究平台,开展如下三方面工作:
1、在介绍入侵检测系统的基础上,对Snort系统结构、主要模块功能、工
作流程和规则结构进行细致剖析。
2、通过对Snort的深入分析,提出了改进Snort的四种方法:
第一、采用内
存映射技术和NAPI技术来改进Snort的包捕获性能。
第二、采用规则优化技术创
建高效的规则集以提高规则匹配的速度。
第三、利用高速缓存策略提高检测效率。
第四、在预处理模块设定阈值忽略统计到的频繁连接的包。
3、结合实际提出了一个Snort系统的典型应用方案。
1.3.2章节安排
本文共分为六个部分:
第‘‘章是绪论,阐述课题研究背景、本文的研究内容以及本文的内容安排。
第二章介绍了入侵检测系统的基本原理,对IDS进行了分类,对IDS的发展
趋势进行了展望。
第三章给出了基于Snort的入侵检测系统的分析,分析了Snort的特性,给
出了Snort的模块结构以及各个模块功能,并从规则解析和规则匹配对Snort的
入侵检测流程进行了解析。
第四章对Snort的性能瓶颈进行分析,从数据包捕获机制,规则优化和减少
检测流量等几方面着手,总结这几方面所采用的改进技术,并在最后给出了优化
Snort性能的综合检测模型。
第五章为Snort系统的应用实例,先分析了Snort作为入侵检测系统与防火
墙的配合问题,随后提出了一个典型应用方案。
第六章为结束语,阐述了下一步研究的方向。
第二章入侵检测系统慨述
第二章入侵检测系统概述
入侵检测系统已经发展成为安全网络体系中的一个关键性组件.本章主要
对入侵检测的定义、分类、模型进行简单介绍,并对入侵检测系统存在的’‘些问
题进行探讨。
2.1入侵检测系统IDS构成与工作流程
入侵检测系统【61是一种主动的安伞防护工具,它从计算机系统或网络环境中
采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施
拦截攻击行为,降低可能的损失。
提供了对内部攻击、外部攻击和误操作的实时
防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。
它具有以下主
要作用:
.
1、监视、分析用户及系统活动:
2、系统构造和弱点的审计;
3、识别已知进攻的活动模式,并产生告警;
4、异常行为的统计分析;
5、评估重要系统和数据文件的完整性;
6、操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
2.1.1入侵检测系统的组成
DARPA(美国幽防部高级计划局)提出的CIDF(公共入侵检测框架)是一
个入侵检测系统的通用模型口3。
该入侵检测系统由事件产生器、事件分析器、事
件数据库、响应单元和目录服务器组成。
l、事件产生器:
负责收集原始数据,它对数据流、日志文件等进行追踪然
后将搜集到的原始数据转换成事件,并向系统的其他部分提供此事件。
2、事件分析器:
对接受到的事件信息进行分析;以判断它们是否属于入侵
行为或-异常现象,然后将判断结果转换成报警信息。
3、事件数据库:
负责存放中间数据和最终数据。
4、响应单元:
根据事件分析器传来的报警信息做出反应。
4
基于Snon的入侵检测系统的研究与应用
5、目录服务器:
负责控制各组件传递的数据并认证其他组件的使用,以防
止IDS本身受到攻击。
2.1.2入侵检测系统工作流程
通用的入侵检测的工作流程主要分为以下四步:
第一步:
信息收集。
信息收集的内容包括系统、网络、数据及用户活动的状
态和行为。
这一步非常重要,凶为入侵检测很大程度上依赖于收集信息的可靠性
和正确性。
第二步:
信息分析。
是指对收集到的数据信息,进行处理分析。
一般通过协
议规则分析、模式匹配、通缉分析和完整性分析几种手段来分析。
第三步:
信息存储。
当入侵检测系统捕获到有攻击发生时,为了便于系统管
理人员对攻击信息进行查看和对攻击行为进行分析,还需要将入侵检测系统收集
到的信息进行保存,这些数据通常存储到用广指定的同志文件或特定的数据库
巾。
第四步:
攻击响应。
对攻击信息进行了分析并确定攻击类型后,入侵检测系
统会根据用户的设置,对攻击行为进行相应的处理,如发出警报、给系统管理员
发邮件等方式提醒用户。
或者利用自动装置直接进行处理,女Jl切断连接,过滤攻
击者的IP地址等,从而使系统能够较早的避开或阻断攻击。
2.2入侵检测系统的分类
2.2.1入侵检测系统分类
入侵检测系统的分类方法不是唯一的,有两种比较常用标准:
按照信息源和
分析方法的标准来分类的旧1。
入侵检测系统根据数据来源分为基于主机的入侵检
测系统(HIDS)和基于网络的入侵检测系统(NIDS)以及混合型入侵检测系统:
根据
分析方法分为异常检测(AD)和误用检测(MD):
根据响应方式分为被动响应系统和
主动响应系统。
入侵检测系统的分类架构如图2—1所示:
第二章入侵检测系统概述
2.2.2基于主机的入侵检测
图2-1入侵检测系统分类
基于主机的入侵检测系统卜m1为早期的入侵检测系统结构,其检测的目标主
要是主机系统和系统本地用户。
检测原理是根据主机的审计数据和系统日志发现
可疑事件。
检测系统可以运行在被检测的主机或单独的主机}:
。
系统结构图如图
2-2:
图2—2基于主机的入侵检测系统
从技术发展的历程米看,入侵检测是在丰机审计的罐础上发展起米的,因而
早期的入侵检测系统都是基于主机的入侵检测系统。
主机型入侵检测系统保护的
一般足所在的主机系统。
6
统
统
深
曛
烈
翮
溅
澍
瓢溯缆
检
检
斟捡系
侵
侵
侵经测
扒
入
川~埝
试
式
的的侵
劣
方
栅络二<溺
溺
应
应
割嘲型渤
捌
嗡
嗡
手予台脖
制
动
动
r; r,、L r|<,乙 基于Snort的入侵检洲系统的研究与戍用 通常,基于主机的IDS叮以监测系统、事件齐fiWindowNT下的安全记录以及UNIX 环境下的系统记录,从l|l发现可疑行为。 当有文件发生变化时,IDS将新的记录 条目与攻tlJ.标记相比较,看它们是否匹配。 如果匹配,系统就会向管理员报警并 向别的目标报告,以采取措施。 对关键系统文件和可执行文件的入侵检测的一个 常用方法,足通过定期检查校验和来进行的,以便发王见意外变化。 反应的快慢与 轮询间隔的频率有直接的关系。 此外,许多IDS还监听端口的活动,并在特定端 口被访问时向管理员报警。 尽管基于主机的入侵检测系统不如基于网络的入侵检测系统快捷,但它却具 有基于网络的入侵检测系统无法比拟的优点。 这些优点n铂包括: 1、能够确定攻击是否成功。 主机足攻击的最终目标所在,所以基于主机的 IDS使用含有已发生的事什信息,可以比基丁刚络的IDS更加准确地判断攻击是否 成功。 2、监控粒度更细。 基于主机的IDS监控目标明确、视野集中,可以检测一些 基于网络的IDS不能柃测的攻击。 它可以很容易地监测一些活动,包括对敏感文 件、目录、程序或端口的存取。 例如,基于主机的IDS町以监督所有用户登录及 退出登录的情况,以及每位用户在联接到网络以后的行为。 它还可以监视通常只 有管理员才能实施的非正常行为。 针对系统的一些活动,有时并不通过网络传输 数据,有时虽然通过网络传输数据,但所传输的数据并不能提供足够多的信息, 从而使基于网络的IDS检测不到这些行为,或者很难检测到这个程度。 3、配置灵活。 每一台主机都有其自身基于主机的IDS,用户可根据自己的实 际情况对其进行配置。 4、对网络流量不敏感。 基于主机的IDS一般不会因为网络流量的增加而放弃 对网络行为的监视。 5、适用于加密的以及交换的环境。 加密和交换设备加大了基于网络的IDS 收集信息的难度,但由于基于主机的IDS安装存耍监控的主机上,根本不会受这 些因素的影响。 6、一般由软件实现,不需要额外的硬件。 基于主机的IDS存在的主要问题: 一是占用主机资源,在服务器上产生额外的负载: 二是缺乏平台支持,可移植性 差,使刖范围受限。 笫二章入侵检测系统慨述 2.2.3基于网络的入侵检测 基于网络的入侵检测系统怕‘1。 一纠引,通过在共享网段上对通信数据的脏听、 采集,分析可疑现象。 其数据源是网络上的数据包,监听本例段内的数据包并进 行判断,分辨出攻击者。 当前的大部分入侵检测系统产品是基于网络的入侵检测 系统。 它们应用模式匹配技术,将采集到的网络数据包同规则库中的规则进行模 式匹配,根据分析结果采取相应的行动。 系统结构图如下: 安全配置构造 分析引擎 传感器 传感器 传感器 图2—3基于网络的入侵检测系统 基于网络的IOS具有许多基于主机的ms无法提供的功能。 基于网络的Ins有 以下优点u71: 1、检测速度快。 基于网络的传感器通常能在微秒或秒级发现问题。 而人多 数基于主机的产品则耍依靠对最近几分钟内审计记录的分析。 2、隐蔽性好。 一个网络.卜的传感器不像一个主机那样显眼和易被存取,因 而也不那么容易遭受攻击。 基于网络的传感器不运行其他的应用程序,不提供网 络服务,可以不响应其他计算机。 因此可以做得比较安全。 3、视野更宽。 基于网络的IDS可以检测一些主机检测不到的攻击,如基于网 络的SYN攻击、泪滴攻击等,还可以检测不成功的攻击和恶意企图。 4、较少的传感器。 南于使用一个传感器就可以保护一个共享的网段,所以 不需要很多的传感器。 相反,如果基于主机,则要在每台主机上配置一个代理, 这样的话,不但花费昂贵,而且难于管理。 8 基于Snort的入侵枪测系统的研究与席_l{】 5、攻击者不易转移证据。 基于网络的IDS使用正在发生的网络通信进行实时 攻击的检测。 所以攻击者无法转移证据。 被捕获的数据不仪包括攻击的方法,.向 且还包括可以识别黑客身份和对其进行起诉的信息。 许多黑客都熟知审记记录, 他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于 主机的系统去检测入侵。 6、操作系统无关性。 基丁例络的IDS作为安全监测资源,与主机的操作系统 无关。 与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才 能正常工作,生成有用的结果。 7、占资源少。 在被保护的设备上不用占用任何资源。 基于网络的IDS存在的问题: 一是只能舱{! ! l! 本网段的活动,精确度不高o.二是 在交换环境下难以配置: 三是防入侵欺骗能力较差: 四是难以定位入侵者。 2.2.4一种混合的方法 混合入侵检测是将基于网络的入侵检测系统和基于主机的入侵检测系统结 合在一起的入侵检测系统。 由于基于网络的入侵检测系统和基于主机的入侵检测 系统各有利弊,将二者的技术结合在一起,将会优势互补,极大地提高系统防范 入侵和防范误用的能力。 这也是入侵检测系统发展的方向之一。 2.2.5误用入侵检测 误用检测⋯一H们又称为基于特征的检测,其基本思想是: 根据已经发现的入侵 行为,定义相应的入侵模式,然后在实际的审计数据中检测是否出现这些入侵模 式来完成检测功能。 误用检测的原理如图2—4所示。 惨改已有规刚 图2_4误用检测原理 9 第二章入侵检测系统{i}【述 该模型优点是町以根据具体的入侵模式特征库进行判断,检测准确牢很高。 缺点是检测范丽受到己有的入侵模式特征库知识的局限,只能检测己知的攻击模 式,而无法检测未知的攻讲模式。 常用的误用检测技术有: 1、模式匹配 SandeePKumar提出了基于模式匹配(PatternMatching)的入侵检测方法 陋引。 模式匹配是最为常用的误用检测技术,特点是原理简单、检测效率高、实时 性强。 模式匹配虽然存在检测能力弱、漏报率较高的问题,但由于系统的实现、 配置、维护都非常方便,因此得到了广泛的应用。 本文研究的网络入侵检测系统 Snort就是基于模式匹配实现的。 2、专家系统心司 基于专家系统的入侵检测技术是入侵检测的另外一个特别值得重视的研究 方向瞳一281,基于规蚍0的分析方法是最常用的方式,即根据安全专家对可疑行为的 分析经验来形成一套推理规则,然后再在此基础之上构成相应的专家系统。 该方 法的优点是响应速度快,当规则比较准确时,入侵检测能力比较强。 但因不断有 新的入侵方式出现,专家系统还是需要不断更新,专家系统需要自学习
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 SNORT 入侵 检测 系统 研究 应用