基于SNORT的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、當(dāng)今社會(huì)，網(wǎng)絡(luò)在人們的生活中扮演著越來(lái)越重要的角色。網(wǎng)絡(luò)給人們帶來(lái)了便利，但是它的安全問題也凸顯的越來(lái)越重要。在傳統(tǒng)的網(wǎng)絡(luò)安全解決方案中，防火墻等工具扮演著重要的角色。而防火墻不能抵御來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊。在這種情況下，入侵檢測(cè)系統(tǒng)出現(xiàn)了，它可以在防火墻的基礎(chǔ)上為網(wǎng)絡(luò)提供進(jìn)一步的安全保障，成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。在高速網(wǎng)絡(luò)環(huán)境下，如何實(shí)現(xiàn)入侵檢測(cè)的高速處理和分析能力對(duì)入侵檢測(cè)來(lái)說(shuō)是一個(gè)挑戰(zhàn)。Snort作為一個(gè)典型的開源網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

2、目前在全世界已經(jīng)得到廣泛應(yīng)用。基于此，本文選擇了基于Snort的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為研究方向。
　　本文首先分析了本課題的理論基礎(chǔ)入侵檢測(cè)。入侵檢測(cè)是用于檢測(cè)網(wǎng)絡(luò)和主機(jī)系統(tǒng)上的惡意行為的技術(shù)和方法。入侵者的特征，就像計(jì)算機(jī)病毒一樣，可以被軟件檢測(cè)到。如果數(shù)據(jù)包中含有和入侵有關(guān)的特征或者和互聯(lián)網(wǎng)協(xié)議有關(guān)的異常行為，就可以判斷這是入侵行為。入侵檢測(cè)系統(tǒng)根據(jù)特征或者規(guī)則就能夠發(fā)現(xiàn)可疑行為，記錄下來(lái)，并且生成警告通知用戶?；诋惓５娜?/p>

3、侵檢測(cè)系統(tǒng)通常依靠協(xié)議頭部的異常來(lái)判斷入侵。在某些情況下，基于異常的入侵檢測(cè)系統(tǒng)比基于特征的入侵檢測(cè)系統(tǒng)的效果要好。入侵檢測(cè)系統(tǒng)通常從網(wǎng)絡(luò)捕獲數(shù)據(jù)，應(yīng)用規(guī)則或者檢測(cè)其中的異常。
　　本文提出了基于Snort的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的總體設(shè)計(jì)方案。為了適應(yīng)高速網(wǎng)絡(luò)環(huán)境，我們改造了Snort的數(shù)據(jù)包捕獲模塊，使用了PF_RING技術(shù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的高速捕獲，通過開啟多個(gè)Snort進(jìn)程實(shí)現(xiàn)對(duì)數(shù)據(jù)包的高速處理。另外一個(gè)重要工作是設(shè)計(jì)和實(shí)現(xiàn)了

4、入侵檢測(cè)查詢分析系統(tǒng)模塊，它可以把警告數(shù)據(jù)方便的展示在用戶面前，實(shí)現(xiàn)警告數(shù)據(jù)的可視化顯示。它主要包括查詢模塊、繪圖模塊、統(tǒng)計(jì)模塊和警報(bào)群組模塊。
　　在數(shù)據(jù)包捕獲模塊設(shè)計(jì)與實(shí)現(xiàn)的章節(jié)中首先分析了提高捕獲包效率的相關(guān)技術(shù)，然后介紹了PF_RING技術(shù)和接口函數(shù)，以及PF_RING的內(nèi)部工作流程。我們用PF_RING技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)包的高速捕獲。并且對(duì)PF_RING+SNORT進(jìn)行了安裝配置和測(cè)試。在入侵檢測(cè)查詢分析系統(tǒng)模塊設(shè)計(jì)與實(shí)現(xiàn)中