Snort入侵检测系统中数据包捕获模块的分析与设计.doc

  Snort 入侵检测系统中数据包捕获模块的 分析与设计# 李康，辛阳，朱洪亮** 5 10 15 20 25 30 35 40 （北京邮电大学信息安全中心，100876） 摘要：随着网络的高速发展，网络带宽得到了极大的提升。高速网络环境下对入侵检测系统 提出了更高的要求，其中入侵检测系统的数据包捕获能力成为其发展的瓶颈。目前大多数系 统使用传统的 Libpcap 库来实现数据包捕获功能。本文通过对基于 Snort 入侵检测系统总体 架构的分析，并且分析论述了传统数据包捕获技术的不足之处和改进方法，最后结合 PF_RING 数据包捕获技术，给出了入侵检测系统中数据包捕获模块的设计架构，详细说明 了工作流程，并对系统的性能进行了对比分析。 关键词：入侵检测；Snort；PF_RING；零拷贝；NAPI；数据包采集 中图分类号：TP393 Analysis and Design of Packet Capture Module in Intrusion Detection System Based On Snort Li Kang, Xin Yang, Zhu Hongliang (Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876) Abstract: With the rapid development of the network, network bandwidth has been greatly improved. In high speed network environment, higher requirement is needed to the Intrusion Detection System(IDS). The packet capture capability of IDS has become the bottleneck to enhance the system performance. At present most IDS apply Libpcap to capture packet. This paper analyzes and designes an packet caputure module in IDS based on Snort, and then shows the design structure and work process. At last this paper analyzes the system performance by comparison. Keywords: Intrusion Detection; Snort; PF_RING; NAPI; Zero Copy; Packet Capture 0 引言 入侵检测系统在保护计算机系统安全和互联网中扮演着重要的角色，它是一种主动的防 御手段。入侵检测系统可以实时检测网络状况，监控网络流量和可以活动，并可以发出告警， 把信息记录到数据库，在此基础上，对入侵行为进行分析产生入侵日志、审计数据并可以预 防此类的攻击，检测网络中是否存在类似的威胁并及时阻止[1]。作为一种实时的主动防御系 统，入侵检测系统可以安装在网络任意的节点上，选择不同的安放位置可适应不同的网络结 构，从而可以形成一个立体纵深的防御系统。目前很多企业都在内部或公网接入点安装了入 侵检测系统，比如移动网关接入点、企业中的交换机。然而，网络带宽的快速增长，致使数 据流量急剧增加，使现有的入侵检测系统对于高速网络下的数据包的捕获和处理成为了网络 安全技术发展的瓶颈。如何在高速网络下降低丢包率，在此基础上进行数据包解析，提高告 警的准确性是现阶段安全技术的核心。 本文就是在 Linux 系统基础上，通过对 PF_RING 技术和 Snort 系统工作流程进行分析， 基金项目：中央高校基本科研业务费专项资金资助（编号：2012RC0215、2012RC0216）。The project is supported by “the Fundamental Research for the Central Universities”(2012RC0215、2012RC0216). 作者简介：李康，（1988-），男，北京邮电大学 2010 级研究生，主要研究方向：网络安全。 通信联系人：辛阳，（1977-），男，副教授，主要研究方向：移动网络安全，计算机网络安全。E-mail: yangxin@ -1-   对 Snort 入侵检测系统中数据包捕获模块进行了重新的设计，并且给出了相应的测试结果。