基于Snort改进入侵检测系统.pdf

基于Snort的改进入侵检测系统

【摘要】本文研究了snort入侵检测系统的特点和工作原理，

通过实验证明入侵在时间上的连续性，并基于该特征提出了一个数

据包采样算法，对snort系统的数据采集模块的数据源进行采样，

并用实验证明该算法可以显著提高入侵检测的效率。

【关键词】snort；入侵检测；数据包采样

一、snort简介

snort利用库函数libpcap截取报文，对报文进行协议分析，内

容搜索/匹配，可以用来检测缓冲区溢出、隐秘端口扫描、cgi攻击、

smb探测、os指纹特征检测等等各种攻击和探测。snort具有较强

的学习能力，它使用灵活的规则语言来描述网络数据报文，可以对

新的攻击作出快速地翻译。snort能实时报警同时支持多种报警信

息处理，包括写到syslog、指定的文件、unix套接字或者使用

winpopup消息。snort支持插件体系，扩展能力强。snort的现实

意义作为开源软件填补了只有商业入侵检测系统的空白，可以帮助

中小网络的系统管理员有效地监视网络流量和检测入侵行为。

snort作为一个基于网络的入侵检测系统（nids），其工作过程

为：①snort系统的启动和初始化；②解析命令行；③读入规则库，

生成入侵规则链表；④通过libpcap库函数抓取一个网络数据包；

⑤根据抓取的包的网络协议层次及包的协议类型，对数据包进行解

析；⑥启动检测引擎，将解析好的数据包和入侵规则链表进行逐一

匹配，直至找到匹配的规则转⑦或所有规则均不匹配转⑧；⑦对应

匹配规则的入侵行为发生，记录攻击并报警；⑧重复第④至⑦步，

直至系统停止。

二、基于采样的入侵检测

入侵攻击特征分析实验

利用snort对mitlincon实验室的两份公开数据集进行离线检

测统计实验，实验过程及结果如下：

①入口数据集攻击分析：数据共包778484个，攻击包40245个，

攻击包占0.05%；根据实验数据表1和表2分析可得，基于tcp协

议的攻击，15%的攻击出现了连续性；基于udp协议的攻击，99%

的攻击在给定时间间隔内出现，表现出了极强的攻击连续性。

②出口数据集攻击分析：数据包共166011个，攻击包195个，

攻击包占0.001%；根据实验结果表3，分析可得：基于tcp协议的

攻击包占总包数的0.001%，网络工作正常，在上，攻击分布较均衡，

有11%的攻击出现了连续性。

（2）实验结论

攻击包在时间上具有连续性。

（3）基于采样的入侵检测算法

基于攻击包在时间上的连续性，金庆辉提出了一种入侵检测的采

样方法，其算法的设计思想是：若某源ip流中发现入侵，则认为

在下一时间中它的包有很大概率也是入侵；若某源ip流在一个时

间段中无入侵，则认为下一时间段中同源包有很大概率是正常流。

算法流程图见图5至图7所示。

金庆辉提出的算法缺点分析：根据算法思想假设第一点进行黑名

单检测，有选择性的直接对部份包标记为异常包，这样将导致误警

率提高；根据算法思想假设第二点进行数据包采样，将采样后的包

标记为正常包是不准确的，同时也会导致漏警率的增加。

改良的入侵检测采样算法：改良算法的基本思想：设置一个白名

单记录，包括源ip地址、port端口号、协议、生命值及生存周期；

算法过程：数据包进行白名单匹配，对属于白名单且生命期大于固

定值i则进行采样送