数字化校园网中Snort入侵检测系统设计与实现.docVIP

数字化校园网中Snort入侵检测系统设计与实现 　　【 摘 要 】 随着网络技术的飞速发展，高校网络信息访问量不断增加，数字化校园网的安全问题己经成为一个不容忽视和期待解决的课题。本文针对校园网的特点和实际要求，设计并构建了一种高效优化的 Snort入侵检测系统，有效地探测入侵者对计算机网络的攻击行为,保护校园网络的安全。 　　【 关键词 】 网络安全；检测系统；防火墙 　　 　　Digitalization Campus Network 　　Snort Invasion Detecting System Designation and Realization 　　 　　Hou Yi 　　（Shenyang Broadcasting TV University LiaoningShenyang 110003） 　　 　　【 Abstract 】 As network technology develops rapidly, University network information visiting quantity increases continually, the problem of digitalization Campus Network can not be ignored any more, and it is to be solved urgently. On basis of campus network’s feature and actual demand, the thesis designs and establish a high-efficient Snort invasion detecting system to detect invader from attacking computer networks and protect the security of campus network.. 　　【 Keywords 】 network security;detecting system;firewall 　　 　　 　　0 引言 　　近年来，随着校园网的高速发展，它已经成为是一个庞大的计算机网络群，网络的用户越来越多、负载巨大、时刻面对着诸如黑客攻击，病毒对计算机资源的破坏，网络资源的滥用等安全方面的威胁，因此，将入侵检测技术应用于校园网，将成为了保护校园网的一道重要的屏障。 　　Snort 是一个杰出的开源的轻量级入侵检测系统，这种系统可以很好地发现网络中存在的入侵情况。在校园网中布置安装 Snort 服务器和软件，根据实际需求配置入侵检测系统，设计开发基于 Snort 的网络安全检测系统，可以很好地保护校园网的安全。 　　1 Snort 入侵检测系统框架 　　1.1 设计思路 　　网络中流动的数据对于一个系统而言，可以分为正常数据、已知攻击数据和未分类数据三种，其中未分类的数据可能为攻击数据也可能为正常数据。网络上的数据大都为正常数据，里面掺杂着一些非正常数据。为了提高检测的效率，应该尽可能地减少正常数据，因此要建立一定的模式，而通过数据挖掘正好可以达到这一点。将 Snort 与数据挖掘相结合，通过 Snort 的检测引擎把正常数据排除在外，对异常数据进行检测。基于上述思想，我们构建将数据挖掘和 Snort 相结合的新的入侵检测系统，如图 1所示。 　　1.2 模块功能简述 　　Snort 优秀的插件模式是本系统的基础，我们在 Snort 添加了聚类分析的插件模块，预检测引擎插件和特征提取插件。聚类分析插件可以按照规则找到网络流量中的正常数据流；预检测插件在聚类分析插件之上对数据包进行过滤；特征提取插件的工作是从日志中提取关联规则，添加到 Snort 规则库中。各模块功能如下： 　　1) 嗅探器：从网路中获得数据包； 　　2) 解码器：分析获得的数据包，并将其转化为制定的数据结构。 　　3) 数据预处理器：对数据进行预处理； 　　4) 聚类分析模块：基于聚类算法构造网络正常行为模式类； 　　5) 预检测引擎：从数据包中发现正常的网络数据； 　　6) Snort 检测引擎：按照规则库中的规则进行匹配，判断是否发生了入侵； 　　7) 规则库：保存入侵检测规则，为误用检测提供依据； 　　8) 特征提取器：从日志中提取相应的规则，并将其添加到规则库中。 　　2 核心模块设计 　　2.1 聚类分析模块 　　该模块主要采取数据挖掘中聚类分析的方法，将数据分成若干类，同类之间的相似度较高，不同类之间相似度较低，这是一个自适应的过程。通过聚类，将网络数据分为正常数据和非正常数据，以此作为预检测模块的检测依据，其工作过程可分以下几步