基于Snort入侵检测系统研究与改进.docVIP

基于Snort入侵检测系统研究与改进 　　摘要：入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术。可以弥补防火墙的不足，帮助网络快速发现网络攻击的发生，起着主动防御的作用，为网络安全提供实时的入侵检测及采取相应的防护手段。本文对提高Snort性能的核心技术进行分析，提出一种能够有效提高匹配效率的AC—WM的模式匹配算法，并对改进后的Snort系统进行测试，显著提高了系统的性能。 　　 　　关键词：入侵检测；Snort；模式匹配 　　中图分类号：TP393.1 文献标识码：A 　　 　　Research on Instrution Detection System Based on Snort and its Improvement 　　 　　REN Ying1，LI Huawei1，2，WANG Lina1 　　（1.Naval Aeronautical and Astronautical University，Yantai264000，China； 　　2.Shan dong Businss Institute ， Shandong Yantai264001，China） 　　Abstract：Intrusion detection technology is an active safety technology to protect network resources from hacker attacks.and can make up for the lack of a firewall to help the network to quickly find the occurrence of cyber attacks，and plasys an active defense role，to provide realtime instrusion detection for network security and take appropriate protective measures.This paper to improve the performance of Snort core technology undertook an analysis， put forward a kind of can effective improve the matching efficiency of ACWM pattern matching algorithm， and the improved Snort system was tested， significantly improve the performance of system . 　　 　　Key words：instrusion detection；Snort；pattern matching 　　 　　1引言 　　随着互联网技术和信息技术的飞速发展，网络安全风险系数不断提高。有些攻击方式可以绕过防火墙，直接入侵到内部网络，使得网络安全收到威胁[1]。入侵检测技术（IDS—Intrusion Detection System）可以弥补防火墙的不足，能够帮助网络快速发现网络攻击的发生，采用探测与控制相结合的技术，起着主动防御的作用，为网络安全提供实时的入侵检测及采取相应的防护手段[2]。 　　2Snort入侵检测系统 　　2.1Snort的体系结构 　　Snort在逻辑上分成多个部件，这些部件共同工作，产生符合特定要求的输出格式。它是由以下几个主要的模块组成：包捕获器、包解码器、检测引擎、预处理插件、输出插件（日志与报警子系统）等[3]。Snort系统的数据包处理流程如图1所示。 　　图1snort的数据处理流程 　　 　　2.1.1包捕获器 　　为了将数据包输送给预处理程序以及随后的检测引擎，必须先做一些准备工作，snort需要一个外部的捕包程序库：libpcap。snort利用libpcap独立地从物理链路上进行捕包，它可以借助libpcap的平台可一致性被安装到几乎所有地方。 　　计算技术与自动化2012年9月 　　第31卷第3期任颖等：基于Snort的入侵检测系统的研究与改进 　　2.1.2包解码器 　　数据包解码器主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。由于包解码器是基于libpcap截获的链路层数据，snort通过调用不同的功能函数来处理链路层数据并对链路层协议进行解码。解码后的数据会根据需要进入到下一层的协议分析，直到满足检测引擎处理的要求为止。 　　2.1.3预处理器 　　预处理器是Snort在检测引擎做出某些操