基于SNORT的高速網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、當(dāng)今社會，網(wǎng)絡(luò)在人們的生活中扮演著越來越重要的角色。網(wǎng)絡(luò)給人們帶來了便利，但是它的安全問題也凸顯的越來越重要。在傳統(tǒng)的網(wǎng)絡(luò)安全解決方案中，防火墻等工具扮演著重要的角色。而防火墻不能抵御來自網(wǎng)絡(luò)內(nèi)部的攻擊。在這種情況下，入侵檢測系統(tǒng)出現(xiàn)了，它可以在防火墻的基礎(chǔ)上為網(wǎng)絡(luò)提供進(jìn)一步的安全保障，成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。在高速網(wǎng)絡(luò)環(huán)境下，如何實(shí)現(xiàn)入侵檢測的高速處理和分析能力對入侵檢測來說是一個挑戰(zhàn)。Snort作為一個典型的開源網(wǎng)絡(luò)入侵檢測系統(tǒng)

2、目前在全世界已經(jīng)得到廣泛應(yīng)用?；诖耍疚倪x擇了基于Snort的高速網(wǎng)絡(luò)入侵檢測系統(tǒng)作為研究方向。
　　本文首先分析了本課題的理論基礎(chǔ)入侵檢測。入侵檢測是用于檢測網(wǎng)絡(luò)和主機(jī)系統(tǒng)上的惡意行為的技術(shù)和方法。入侵者的特征，就像計(jì)算機(jī)病毒一樣，可以被軟件檢測到。如果數(shù)據(jù)包中含有和入侵有關(guān)的特征或者和互聯(lián)網(wǎng)協(xié)議有關(guān)的異常行為，就可以判斷這是入侵行為。入侵檢測系統(tǒng)根據(jù)特征或者規(guī)則就能夠發(fā)現(xiàn)可疑行為，記錄下來，并且生成警告通知用戶?；诋惓５娜?/p>

3、侵檢測系統(tǒng)通常依靠協(xié)議頭部的異常來判斷入侵。在某些情況下，基于異常的入侵檢測系統(tǒng)比基于特征的入侵檢測系統(tǒng)的效果要好。入侵檢測系統(tǒng)通常從網(wǎng)絡(luò)捕獲數(shù)據(jù)，應(yīng)用規(guī)則或者檢測其中的異常。
　　本文提出了基于Snort的高速網(wǎng)絡(luò)入侵檢測系統(tǒng)的總體設(shè)計(jì)方案。為了適應(yīng)高速網(wǎng)絡(luò)環(huán)境，我們改造了Snort的數(shù)據(jù)包捕獲模塊，使用了PF_RING技術(shù)來實(shí)現(xiàn)對數(shù)據(jù)包的高速捕獲，通過開啟多個Snort進(jìn)程實(shí)現(xiàn)對數(shù)據(jù)包的高速處理。另外一個重要工作是設(shè)計(jì)和實(shí)現(xiàn)了

4、入侵檢測查詢分析系統(tǒng)模塊，它可以把警告數(shù)據(jù)方便的展示在用戶面前，實(shí)現(xiàn)警告數(shù)據(jù)的可視化顯示。它主要包括查詢模塊、繪圖模塊、統(tǒng)計(jì)模塊和警報(bào)群組模塊。
　　在數(shù)據(jù)包捕獲模塊設(shè)計(jì)與實(shí)現(xiàn)的章節(jié)中首先分析了提高捕獲包效率的相關(guān)技術(shù)，然后介紹了PF_RING技術(shù)和接口函數(shù)，以及PF_RING的內(nèi)部工作流程。我們用PF_RING技術(shù)實(shí)現(xiàn)對數(shù)據(jù)包的高速捕獲。并且對PF_RING+SNORT進(jìn)行了安裝配置和測試。在入侵檢測查詢分析系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn)中