论文部分内容阅读
【摘 要】本文分析了Snort的系统结构,校园网环境下的部署过程,通过规则设置检测访问敏感站点及阻止跨站攻击,并对Snort在匹配速度上的缺陷提出了改进的方案。
【关键词】IDS;Snort;校园网;网络安全
1.入侵检测系统简介
网络硬件和软件资源的增加,给网络用户带来了便利的同时,也给网络增加了安全的压力,并且日益危胁到网络设备、网络用户的正常工作甚至隐私,据CNCERT数据显示,2013年9月境内感染网络病毒的终端数为226万[1]。路由器、交换机、防火墙中使用了端口保护、ACL、VPN等技术,作为常用的应对手段,这些技术的缺陷比较明显:以被动的形式过滤通过设备的数据,而不是主动检测出潜在的恶意行为、系统入侵;主要过滤局域网或网段内部与外部通信时发生的数据包,缺乏有效机制实现对网络内部的恶意行为进行检测、建立日志、追查来源、网络取证。因此,入侵检测系统(Intrusion Detection System,IDS)作为收集网络内数据包,发现潜在渗透、攻击行为,进行预警和日志记录的设备,它和防火墙主动检测和定点过滤、内部和外部相结合共同来提高网络安全。
IDS通过分布在网络中各处的数据收集点采集数据包,利用设定的判断规则,对数据包进行分析,检测出符合规则定义的恶意行为,提交预警报告,它可以连接在网络设备的镜像端口上,不对网络带宽产生影响。IDS按照保护对象不同,分为基于主机和基于网络的两种,分别以收集主机日志信息和网络数据通信流量为来源;按照检测分类可以分为误用检测和异常检测,误用检测通过比对收集的数据和设定规则发现违规的行为,异常检测通过数据源和建立的数学模型的差异发现问题。
2. Snort原理和结构
Snort是一种以源代码形式发布的轻型的IDS,它可以添加定制的误用判断规则来提高检测特性。目前,在校园网中各种网络安全事故频繁发生,网络安全隐患日益突出,已经成为高校教育信息化发展进程中的一个瓶颈,对正常的网络教育构成了严重的安全威胁[2],在校园网中采用Snort可以在不降低带宽、影响教学和行政工作的前提下,对可能发生的网络安全事件提前预警。
Snort从最初的数据包嗅探器发展到了包括数据包解码器,预处理器,检测引擎和报警输出四大模块(如图1所示),以误用检测为主要手段的入侵检测系统[3]。
图1 Snort系统结构
数据包解码器使用通用抓包模块Libpcap,对来自数据链路层的数据帧进行解码,然后重新构建网络通信数据包。预处理器对构建的数据包进行纠错,并将数据包整理成可以识别网络特征的数据,提供给检测引擎。检测引擎通过内置的规则数据建立规则判断的数据结构,启动检测组件对比对预处理器提交的数据。报警输出产生日志,或保存到数据库中,同时实现和路由或防火墙的联动。
3. Snort部署
在具体实施Snort时,通常采用三层结构的形式进行部署图2所示,以传感器层捕捉网络数据帧,IDS服务器实现分析和处理数据帧并提供报警输出。它部署灵活可以依据安全和稳定方面的要求选择多种系统,在校园网环境中,常采用Linux平台进行Snort架设。
在Snort系统的搭建过程中,需要使用大量的开源软件如表1所示:
Snort在使用的缺陷在于检出速度是瓶颈、存在误报问题。为了较好的处理上述问题可以采用以下的方法:
1)改进系统模式,以多进程或线程的方式并发执行封包识别和检测线程。
2)改进多模式匹配算法,提高错误检出率。
5.结束语
Snort作为轻量级的入侵检测系统,提供了开源代码,提供接口接入定制模块,它具备了实时的网络数据包分析和日志登录、分析功能[4],目前规则库可以对多种协议和流量进行检测。在校园网环境下,使用Snort可以在节省信息化建设费用的同时,定制规则及模块,提升网络安全管理的水平应对安全威胁。
参考文献:
[1]中国互联网应急响应中心. CNCERT互联网安全威胁报告,2013,9.
http://www.cert.org.cn/publish/main/upload/File/CNCERT2013monthly9.pdf
[2]张新刚,王燕.数字化校园主动安全防御体系分析[J].实验室研究与探索,2012,1:197-200.
[3]陈伟,周继军,许德武. Snort轻量级入侵检测系统全攻略[M].北京:邮电大学出版社,2009.
[4]鲜永菊.入侵检测[M].西安:西安电子科技大学出版社,2009,8.
作者简介:
张俊(1975年-),男,汉族,江苏扬州人,硕士,讲师,研究方向:计算机应用技术。
基金项目:
南京工业职业技术学院基金(201050610YK213)
【关键词】IDS;Snort;校园网;网络安全
1.入侵检测系统简介
网络硬件和软件资源的增加,给网络用户带来了便利的同时,也给网络增加了安全的压力,并且日益危胁到网络设备、网络用户的正常工作甚至隐私,据CNCERT数据显示,2013年9月境内感染网络病毒的终端数为226万[1]。路由器、交换机、防火墙中使用了端口保护、ACL、VPN等技术,作为常用的应对手段,这些技术的缺陷比较明显:以被动的形式过滤通过设备的数据,而不是主动检测出潜在的恶意行为、系统入侵;主要过滤局域网或网段内部与外部通信时发生的数据包,缺乏有效机制实现对网络内部的恶意行为进行检测、建立日志、追查来源、网络取证。因此,入侵检测系统(Intrusion Detection System,IDS)作为收集网络内数据包,发现潜在渗透、攻击行为,进行预警和日志记录的设备,它和防火墙主动检测和定点过滤、内部和外部相结合共同来提高网络安全。
IDS通过分布在网络中各处的数据收集点采集数据包,利用设定的判断规则,对数据包进行分析,检测出符合规则定义的恶意行为,提交预警报告,它可以连接在网络设备的镜像端口上,不对网络带宽产生影响。IDS按照保护对象不同,分为基于主机和基于网络的两种,分别以收集主机日志信息和网络数据通信流量为来源;按照检测分类可以分为误用检测和异常检测,误用检测通过比对收集的数据和设定规则发现违规的行为,异常检测通过数据源和建立的数学模型的差异发现问题。
2. Snort原理和结构
Snort是一种以源代码形式发布的轻型的IDS,它可以添加定制的误用判断规则来提高检测特性。目前,在校园网中各种网络安全事故频繁发生,网络安全隐患日益突出,已经成为高校教育信息化发展进程中的一个瓶颈,对正常的网络教育构成了严重的安全威胁[2],在校园网中采用Snort可以在不降低带宽、影响教学和行政工作的前提下,对可能发生的网络安全事件提前预警。
Snort从最初的数据包嗅探器发展到了包括数据包解码器,预处理器,检测引擎和报警输出四大模块(如图1所示),以误用检测为主要手段的入侵检测系统[3]。
图1 Snort系统结构
数据包解码器使用通用抓包模块Libpcap,对来自数据链路层的数据帧进行解码,然后重新构建网络通信数据包。预处理器对构建的数据包进行纠错,并将数据包整理成可以识别网络特征的数据,提供给检测引擎。检测引擎通过内置的规则数据建立规则判断的数据结构,启动检测组件对比对预处理器提交的数据。报警输出产生日志,或保存到数据库中,同时实现和路由或防火墙的联动。
3. Snort部署
在具体实施Snort时,通常采用三层结构的形式进行部署图2所示,以传感器层捕捉网络数据帧,IDS服务器实现分析和处理数据帧并提供报警输出。它部署灵活可以依据安全和稳定方面的要求选择多种系统,在校园网环境中,常采用Linux平台进行Snort架设。
在Snort系统的搭建过程中,需要使用大量的开源软件如表1所示:
Snort在使用的缺陷在于检出速度是瓶颈、存在误报问题。为了较好的处理上述问题可以采用以下的方法:
1)改进系统模式,以多进程或线程的方式并发执行封包识别和检测线程。
2)改进多模式匹配算法,提高错误检出率。
5.结束语
Snort作为轻量级的入侵检测系统,提供了开源代码,提供接口接入定制模块,它具备了实时的网络数据包分析和日志登录、分析功能[4],目前规则库可以对多种协议和流量进行检测。在校园网环境下,使用Snort可以在节省信息化建设费用的同时,定制规则及模块,提升网络安全管理的水平应对安全威胁。
参考文献:
[1]中国互联网应急响应中心. CNCERT互联网安全威胁报告,2013,9.
http://www.cert.org.cn/publish/main/upload/File/CNCERT2013monthly9.pdf
[2]张新刚,王燕.数字化校园主动安全防御体系分析[J].实验室研究与探索,2012,1:197-200.
[3]陈伟,周继军,许德武. Snort轻量级入侵检测系统全攻略[M].北京:邮电大学出版社,2009.
[4]鲜永菊.入侵检测[M].西安:西安电子科技大学出版社,2009,8.
作者简介:
张俊(1975年-),男,汉族,江苏扬州人,硕士,讲师,研究方向:计算机应用技术。
基金项目:
南京工业职业技术学院基金(201050610YK213)