入侵检测系统Snort工作原理简析.docVIP

入侵检测系统Snort工作原理简析 　　摘要:Snort是基于特征检测的IDS (Intrusion Detection System),使用规则的定义来检查网络中有问题的数据包。Snort主要由四个软件模块组成,这些模块使用插件模式和Snort结合,扩展起来非常方便。这四个主要部件包括包捕获/解码引擎、预处理器、检测引擎、输出插件。主要介绍了Snort的处理过程以及Snort的四个主要部件的工作原理。 　　关键词:Snort; 括包捕获/解码引擎;预处理器;检测引擎;输出插件 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)25-7105-03 　　Analyse the Working Principle of Intrusion Detection System with Snort 　　YAN Jin, MIAO Fang 　　(College of Information Engineering, Chengdu University of Technology, Chengdu 610059, China) 　　Abstract: Snort is a signature-based IDS(Intrusion Detection System), uses rules to check for errant packets in network. Snort has four components, most of which take plug-ins to customize Snort implementation.These components include packet capture/decoder engine,preprocessor,detection engine,output plug-ins. This paper porvides a detail introduction of Snort process and the four main components of Snort. 　　Key words:Snort; packet capture/decoder engine; preprocessor; detection engine; output plug-ins 　　随着计算机及网络的飞速发展,当越来越多的公司及个人成为Internet用户后,计算机网络安全作为一个无法回避的问题呈现在人们面前。企业和普通用户传统上采用防火墙作为网络安全第一道防线,但是随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂,单纯的防火墙已经无法保护网络安全。在这样的背景下,自九十年代以来,入侵检测一直是一个非常活跃的研究领域,并产生了很多相应的入侵检测系统,Snort就是其中最为知名的一个。 　　1 Snort 简介 　　Snort是当前最流行的开放源代码的NIDS(网络入侵检测系统),能够运行在多种操作系统和硬件平台上,包括很多不同版本的UNIX和Linux系统,以及Windows系统,硬件平台包括基于intel、PA-RISC、PowerPC和Sparc的平台。Snort是基于特征检测的网络入侵检测系统,使用规则的定义来检查网络中有问题的数据包。一个规则被触发后会产生一条告警信息。Snort有很多有用的功能,包括数据包嗅探和数据包记录,以及入侵检测。数据包嗅探是Snort最基本的功能,也是Snort工作的开始,Snort取得数据包后先用预处理插件处理,然后经过检测引擎中的所有规则链,如果有符合规则链的数据包,就会被检测出来。 　　Snort是一个可扩展的入侵检测框架,Snort的预处理器、检测引擎和报警模块都是插件结构,插件程序按照Snort提供的插件函数接口完成,使用时动态加载,在不用修改核心代码的前提下让Snort的功能和复杂性扩展更容易。既保障了插件程序和Snort的核心代码的紧密相关性,又保障了核心代码的良好扩展性。 　　2 Snort的工作原理 　　1) 包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 　　2) 预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 　　3) 规则解析和检测引擎:然后,包被送到检测引擎。检测引擎通过各种规则文件中的不同选项来对每个包的特征和包信息进行单一、简单的检测。检测引擎插件对包提供额外的检测功能。规则中的每个关键字选项对应于检测引擎插件,能够提供不同的检测功能。