基于Snort的入侵检测系统的设计.pdfVIP

甄甄圈2黼01。4卷队 基于Snort的入侵检测系统的设计 吴体辉 (运城学院物理与电子工程系，山西运城044000) 摘要：针对IPv6协议下snort系统检测率低、误报率高的问题，在snort系统的基础上设计了一款应用于 IPv6协议的入侵检测系统。该系统以snort系统为主体，引入神经作为系统异常检测模块来对网络中的数据进 行异常检测。通过误用与异常检测相结合的方式来提高整个系统的性能。实验结果表明，该系统对真实网络环 境具有较强的检测监控能力，能够为用户提供更强、更可靠的网络安全防护。 关键词：入侵检测系统；误用检测；异常检测 中图分类号．．TP393文献标志码：A文章编号：1008-8008(2014)02-0045-04 0．引言 正常数据流再由Snort系统中的误用检测模块再次 随着计算机网络的迅猛发展，网络安全问题日 进行检测。检测完毕后，通常报警输出模块对检测 益凸显。随着攻击水平与攻击手段的不断提高，防 到的异常进行报警。Snort检测部分是实时的，神经 火墙单一的只能屏蔽外部攻击不能有效阻止内部 网络的训练部分是离线的。系统总体构架，如图1 入侵的防护方式已经不能满足网络安全的需要。 所示。 为了加强对内部人侵的防护能力，我们引入了入侵 !’画面石{Iii赫一一1r一妄|I磊漏磊万一一一一一一一一一一一一] 检测系统。入侵检测系统的检测方式是：首先从网 DARPKl999燃I：II 网络数据流 络中提取信息，然后将提取的信息与库中的信息进 行比较来判断是否存在入侵的迹象。…入侵检测系 统能够主动的、实时的、动态的阻止和拦截网络中 的内、外攻击行为，有效的弥补了静态的防御工具 数据预处理模块 二二】二 防御能力不足的问题。入侵检测系统的核心是规 异常检测模块 误用检涌模块 ；l!竺墨兰苎坚竺皇竺兰H (神经两络判断) 。●_。●●______________—— 则库，对于规则库中不存在的入侵行为检测能力较 1．．．．．．．．．．．．．．．．．．．．．．．，．．．．．．．．．．_一 ——丽 异常工 低。为了进一步提高入侵检测系统的检测能力，我 们将神经网络引入入侵检测系统。引入神经网络 的入侵检测系统能够通过自学习检测出新的攻击 图1系统总体构架 Overall architecture 方式，旧1检测系统的漏报率会明显降低。因此，将 Fig．1 system 人工神经网络技术应用于入侵检测系统已经成为 2．入侵检测系统功能模块设计 入侵检测系统发展的方向。 2．1数据包捕获模块 1．入侵检测系统总体框架设计 数据包捕获模块是入侵检测的基础，为整个人 本系统主要包含两个部：一是，神经网络的训 侵检测系统提供数据来源，是Snort系统的重要组 练部分。采用BP算法对神经网络进行训练，训练成部分。数据捕获的效率、可靠性与准确性决定了 CUP 数据用KDD 1999数据集。二是，Snort检测部入侵检测系统的整体性能。【31 分。通过预处理插件将神经网络模块接入Snort系 Snort系统数据包捕获是基于Libpcap开发的， 统用以实现对数据的异常检测。异常检测完成后， Libpcap通过调用库函数来捕获数据包，它是一个跨 收稿日期：2014-02—16 作者简介：吴体辉(1983-)，男，江苏宿迁人，运城学院物理与电子工程系助教，工学硕士，研究方向为计算机网络安全。 万方数据 平台的报文捕获程序。本文设计的Snort系统是在的数据包进行协议分析来检测每个数据包