基于Ｓｎｏｒｔ的入侵检测系统的研究.docVIP

基于Ｓｎｏｒｔ的入侵检测系统的研究 　　摘要：随着互联网的不断发展，入侵检测系统已变成计算机网络安全防范体系的重要组成部分之一。本文是在介绍了入侵检测系统的基本原理的基础上，从体系结构、工作原理两个方面分析了Snort入侵检测系统，并介绍了怎样根据自己的网络环境，编写规则来保护网络的安全。 　　关键词：入侵检测系统；Snort；编写规则 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)18-20ppp-0c 　　Research of Snort-based Intrusion Detection System 　　ZHANG Zhi-guo, QIN Guo-liang, LUO De-quan 　　(Computer school, Sichuan University, Chengdu 610065, China) 　　Abstract: With the development of Internet, IDS has become one important part of network security system. This paper analyzes IDS Snort in structure and working principle aspects, which based on introduction of basic principle of IDS, then we introduce how to create Snort rule to protect our network according to our network environment. 　　Key words: IDS; Snort; Writing rule 　　 　　1 引言 　　 　　互联网的不断发展，网上不断增多的服务种类，使得网络的安全问题变得越来越突出。要保证网络的安全，首先要防范对网络的攻击行为，通常采用防火墙技术。但是，防火墙存在很多的缺陷。因此，通过使用入侵检测系统来加强网络的安全已变得很重要了。而Snort是一种开放的源代码的入侵检测工具，这使得基于Snort的入侵检测系统应用得很广泛。本文就是在这些的基础上，对基于Snort入侵检测系统进行了分析和研究。 　　 　　2 入侵检测系统 　　 　　入侵检测(Intrusion Detection，ID)，是在有内部非授权行为或外部攻击行为时，及时发现并进行记录和报告，以便有可能采取进一步措施以保护网络的技术，把入侵检测的软件和硬件的组合便构成了入侵检测系统(Intrusion Detection System, IDS)。入侵检测系统主要完成以下功能:监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知攻击的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并为识别用户违反安全策略的制定提供指南。其通用的模型如图1。 　　 　　图1入侵检测系统的通用模型 　　 　　3 Snort入侵检测系统的简介 　　 　　在市面上有很多的入侵检测系统，比如有ISS公司的Real Secure入侵检测系统、NFR公司的NID入侵检测系统、NAI公司的Cyber Cop Monitor入侵检测系统、Cisco公司的Cisco Secure IDS入侵检测系统等。但是这些商业软件许多都是昂贵而庞大的系统，而基于Snort的入侵检测系统具有便于配置、功能强大、使用灵活等诸多优点，这使得基于Snort的入侵检测系统使用得非常广泛，在业内被喻为“瑞士军刀”。在这里我们主要介绍一下基于Snort的入侵检测系统工作原理以及在网络中应用。 　　Snort是一个强大的轻量级的网络入侵检测系统. 它是一个跨平台、开放源代码(Open Source)的免费软件，它运行在Libpcap库函数基础上，并支持多种系统软硬件平台，如RedHat Linux、Debian Linux、HP-UX、NetBSD以及MacOSX等。不仅能够进行协议分析、内容检索、内容匹配，而且能够用于检测缓冲区溢出、隐蔽端口扫描、CGI攻击、OS指纹识别等大量的攻击和探测，Snort使用基于规则的匹配模式来检测这些攻击，并提供了模块化的检测引擎，从而使它能够检测出各种不同的攻击方式，并对攻击进行实时报警。 　　 　　4 Snort的体系结构 　　 　　Snort使用一种易于扩展的模块化体系结构，开发人员可以加入自己编写的模块来扩展Snort的功能。Snort的体系结构由四部分组成:数据包解码器（嗅探器）、预处理器、检测引擎、日志记录与告警系统，其体系结构如图2所示，首先Sno