基于Snort入侵检测系统规则解析及改进研究.docVIP

基于Snort入侵检测系统规则解析及改进研究 　　摘 要 　　信息技术日新月异的迅猛发展，使得社会对计算机及网络的依赖越来越强，人们对其的使用也日益频繁，网络中的数据越来越庞杂。为保证信息安全的同时又不降低数据的吞吐率，因此，人们对网络安全产品的处理速度、效率和检测准确性上的要求越来越高。本文在分析和研究网络安全及模型和入侵检测技术的基础上，选取最为常用的轻量级入侵检测系统――Snort为具体的研究对象，通过对Snort系统规则的研究和改进，在保证系统安全性能不降低的前提下，实现系统入侵检测能力和效率的提升。 　　【关键词】Snort 入侵检测 规则 　　计算机网络技术的快速发展促使网络信息成为社会发展的重要组成部分，但是由于计算机网络的组成形式具有多样性和开放性等特点，使得网络上传输的信息容极易受到各种人为攻击，这就是所谓的入侵，即：潜在的、有预谋、未经授权访问信息、操作信息，致使系统不可靠或无法使用的企图，具体的入侵行为分为外部渗透、内部渗透和不法行为三种。 　　在国内，绝大多数计算机用户的防护技术还停留在杀毒软件、加密软件、防火墙等，被动保护技术，而在现实中仅仅依赖防火墙等被动保护方法建立起来的网络往往是“外紧内松”，从外面看似乎非常安全，但内部的安全措施却十分的不足，一旦防火墙被成功渗透，就会造成无法挽回的损失。入侵检测系统（Intrusion Detection System， IDS），是一种主动防御的工具，就是在入侵攻击发生之前，检测入侵行为，并利用报警与响应系统消除入侵攻击，这样，就能在入侵发生之前，避免入侵事件造成的损失；另一方面，IDS在监听网络时不会为网络的性能带来额外的负担，这样就使得在保证网络的传输速率的同时，提高了网络的安全性。目前最常用的IDS就是开源的Snort，但是其检测能力依赖于其检测规则的匹配速度和准确性，如果规则匹配速度和效率不足，就会对系统性能造成影响或者发现不了入侵行为。针对Snort存在的问题，本文在对Snort检测规则进行解析的基础上，对其进行优化和改进，以增强Snort的检测效率。 　　1 相关工作 　　1.1 网络安全 　　通常情况下，网络入侵是威胁网络安全的最重要一环，针对日益严重和突出的网络安全问题，人们提出了多种网络安全模型以应对新的网络安全建设的环境，指导网络安全工作的部署和管理。在众多网络安全模型中，最典型，也最广泛为人接受和使用的是PPDR模型，PPDR模型是策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）四个方面，PPDR四方面之间原关系如图1所示。 　　模型中，安全策略处于核心的地位，其它三个方面围绕着策略进行；防护是保证系统安全的第一步，但具有一定的滞后性，只有在对相应的入侵行为进行检测和响应之后才能制定出具体的防护措施；检测是一种主动的防御，也是动态响应的依据，其应用的主要技术就是入侵检测；响应是在发现攻击企图或者攻击行为之后，系统所实施的具体应对措施。模型是一个螺旋上升的过程，经过一个PDR循环后，安全防护的水平就应该上升到一个新层次，具有更强的安全保障能力。入侵检测系统则是对模型的具体的应用和实施的载体，对模型的使用使得系统的安全性设计方面更具系统性和全面性。 　　1.2 入侵检测技术 　　入侵就是对目标主机信息的完整性、保密性、可用性、可控性企图恶意破坏的一种行为，而入侵检测（Intrusion Detection，ID）即对入侵行为发现和响应的行为，它从计算机网络或者计算机系统中的关键节点中收取信息并对之进行分析，从而发现入侵行为。用于事入侵检测的软件与和硬件的组合就是入侵检测系统。适当的IDS能够极大的简化管理人员的安全方面的负担，保证网络安全的运行。 　　入侵检测系统的通用结构图，IDS系统主要包含数据提取，数据分析和数据处理结果或响应三个主要功能模块。关于入侵检测的技术模型，最早由Dorothy Denning提出，他提出的模型与具体系统和具体的输入无关，对此后的大多数实用系统都有很好的借鉴价值。通用的技术模型的结构，模型包含事件产生器，行为特征模块和规则模块三个主要功能部件。IDS可分为基于异常的检测和基于误用的检测。基于异常的入侵检测的方法主要是建立在计算机系统中正常行为的模式库；基于误用的入侵检测是建立系统的非正常操作的行为特征库，通过监测用户或系统的行为，将收集到的数据与特征库里的各种攻击模式进行比对，如果能够匹配，则判断有攻击。 　　2 Snort系统规则的解析与改进 　　2.1 Snort系统介绍 　　Snort是用C语言编写的，开源的网络入侵检测系统，与其他昂贵且大型的商用检测系统相比，Snort系统具有易安装，易配置，规模小，功能强，使用灵