Windows下构建基于Snort的入侵检测系统

来源 :硅谷 | 被引量 : 0次 | 上传用户:lsydyn
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  [摘要]设计一种Windows下的入侵检测系统,将入侵检测系统的工作流程和工作模式进行描述,并将Snort与其他工具进行比较。
  [关键词]Snort 入侵检测 系统
  中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0320022-01
  
  目前,我国的局域网建设发展迅速,它已经成为信息交流、信息共享和通信联络不可缺少的有力工具,但随之而来的是局域网的安全问题越来越突出,如果无法解决好这一问题,局域网的积极作用将会受到极大的影响。而Snort作为目前较为成熟的轻量级网络入侵检测系统,能够较好的满足网络安全的需要。
  
  一、系统工作流程
  
  系统在Windows 2000 Server平台下,以Snort为核心和基础,在MySQL、Apache、ACID等相关组件的共同支持下组建起来。基于Snort的入侵检测系统可以分为三部分:网络入侵检测模块主要实现对网络数据包的实时捕获、监控和对数据进行分析以找出可能存在的入侵;数据存储模块主要是从入侵检测系统中收集报警数据并把它存入关系数据库中,便于用户日后查询;分析员控制台是IDS分析员的专用工作站,用来对报警日志信息进行管理和查询,它提供了很好的人机交互界面。
  Snort首先利用winpcap组件捕获并分析数据,然后用output插件将数据储存在MySQL数据库中,Apache服务器在ACID等组件的帮助下使连接到服务器的用户能够通过浏览器查看数据,用户还可以在网页上应用不同的查询来分析、备份、删除数据或者显示图表。
  
  二、Snort三种工作模式的应用
  
  Snort共有三种工作模式:嗅探器模式、数据包记录器模式、网络入侵检测模式,而这三种模式均是通过不同的命
  令来实现的。结合网中基于Snort的系统,对以上三种模式分别进行应用与描述。
  (一)利用Snort作为数据包嗅探器
  利用Snort作为数据包嗅探器就是从网络上读出数据包然后显示在你的控制台上。从最基本的用法入手,如果只要把TCP/IP包头信息打印在屏幕上,只需要在命令提示符的c:\snort\bin路径下输入以下命令:snort-v
  使用这个命令将使Snort只输出IP和TCP/UDP/ICMP的包头信息。如果要看到应用层的数据,可以使用命令:snort -vd
  这条命令使Snort在输出包头信息的同时显示包的数据信息。如果还要显示数据链路层的信息,就使用命令:snort -vde
  (二)利用Snort作为数据包记录器
  如果要把所有的数据包记录到硬盘上,使用以下命令指定一个日志目录,Snort就会自动记录数据包:snort -dev -l c:\snort\log
  当然,c:\snort\log目录必须存在,否则Snort就会报告错误信息并退出。当Snort在这种模式下运行时,它会记录所有捕获到的包并将其放到一个目录中,这个目录以数据包目的主机的IP地址命名。
  如果只指定了命令选项,而没有设置目录名,Snort也可使用远程主机的IP地址作为目录,或者会使用本地主机 IP地址作为目录名。为了对子网进行日志,需要给出本地网络:snort -dev -l c:\snort\log -h 10.3.2.0/24
  这条命令告诉Snort把进入其重要子网10.3.2.0/24的所有数据包的数据链路层、TCP/IP以及应用层的数据记录到目录c:\snort\log中。
  如果网络速度很快,或者想使日志更加紧凑,方便以后的分析,那么应该使用二进制的日志文件格式,即Tcpdump程序使用的格式。使用下面的命令可以把所有的数据包信息记录到一个单一的二进制文件中:snort -l c:\snort\log-b
  注意此处的命令行和上面的命令有很大不同。不需要指定本地网络,也不必使用-dev等功能选项,因为数据包中的所有内容都会被记录到单一的二进制日志文件中。可以使用支持Tcpdump二进制格式的嗅探器程序从该文件中读出数据包相关信息,例如Tcpdump或者Etherea1。
  (三)利用Snort作为网络入侵检测系统
  Snort最重要也是最常用的用途是作为网络入侵检测系统(NIDS),可以使用以下命令行启动这种工作模式:
  snort -dev -l c:\snort\log -h 10.3.2.0/24 -c c:\snort\etc\snort.conf
  snort.conf是Snort的规则集文件,Snort会将每一个数据包与规则集文件进行匹配,匹配成功便根据规则采取相应的行动,同时将日志文件输出到指定的目录中。
  由于准备长期使用Snort作为重要子网入侵检测系统,为了提高Snort的处理速度,以免在向显示器输出的过程中丢弃某些数据包,可以不必使用功能选项-ve,因此可在c:\snort\bin目录下新增runsnort.bat文件并运行。
  
  三、Snort与其他工具的比较
  
  Snort的主要用途就是网络监视、数据包的记录和检测入侵行为,经过实际应用,将Snort分别与具有上述两种功能的典型工具进行比较。
  (一)Snort与Tcpdump的比较
  Tcpdump是一种经典的网络嗅探工具,主要用于记录网络数据、网络故障的探测诊断工具。Snort与它的最大的共同之处在于都是基于libpcap并且支持BPF过滤机制,所以本质上都是调用数据包捕获库函数,但是Snort的目的不仅仅在于记录某个数据包,而是从安全的角度出发去解析它,同时Tcpdump主要通过分析第二层或者第三层的报文来进行网络故障诊断,而Snort则主要针对应用层的数据进行分析从而实现入侵检测行为。除此之外,由于Tcpdump旨在快速完整地记录流量,所以它制定了特殊的输出格式,速度快但是不易读懂,而Snort提供了更为友好的输出格式,有利于系统管理员的直接分析。
  (二)Snort与NFR的比较
  NFR作为一种商用网络入侵检测工具,其综合性能指数高于ISS公司的RealSecure和CA公司的SessionWall,代表了目前国际上IDS的最高水准,是一个比较成熟的商业产品。Snort的许多设计思想类似于NFR,当然作为轻量级入侵检测系统,必然在某些方面会有不足之处,但是Snort的最大优势在于它是源代码公开的软件,全世界的爱好者都可以参与它的开发与升级工作,其发展前景是不可估量的。
  
  参考文献:
  [1]金卫,入侵检测技术的研究[J].山东师范大学学报(自然科学版),2005.4.
  [2]迟向阳、张华忠、杨玉鹏,税务网络安全系统的设计[J].计算机工程与设计,2007.2.
  [3]娄志刚、张同光,Snort及其在网络入侵检测中的应用[J].软件导刊,2007.13.
  
  作者简介:
  谭宁,男,汉族,淄博职业学院信息工程系,副教授,研究方向:计算机网络。
其他文献
摘要 改性沥青是指在原沥青中添加一定外加剂后得到的沥青。就SMA路面沥青的一些新技术展开讨论。  关键词 混合料 沥青玛蹄脂碎石 SMA 新技术  中图分类号:TU4 文献标识码:A 文章编号:1671—7597(2009)0410094—01    改革开放以来,我国的公路交通进入了快速发展时期。近年来,建设公路主骨架系统的高潮方兴未艾。自1998年起我国每年公路建设投资规模均超过2000亿元。
期刊
摘要 我国高等院校计算机Java编程语言教学尚存在很多问题,针对Java语言程序设计,提出项目教学法,以此来解决学生的计算机技能难题,提高学生对Java语言的学习掌握与编程的综合素质能力。  关键词 项目教学 编程 应用  中图分类号:B42 文献标识码:A 文章编号:1671—7597(2009)0410170-01    Jarab20世纪90年代初由SUN公司推出的一种纯面向对象编程语言工具
期刊
摘要 对案例教学进行实践和研究,并在Excel的教学过程中通过具体的案例阐述案例教学法的实现步骤及关健问题。实践证明,该教学法能调动学生主动参与的积极性,提高他们的逻辑思维能力、分析能力,帮助学生深入理解所学内容,锻炼、提高学生利用Excel分析和解决实际问题的能力。  关键词 案例教学法 Excel教学 函数
期刊
[摘要]2/3G共站建设是低成本快速建设3G网络的主要思路。依据共站天线空间隔离模型,对WCDMA和GSM1800系统间的杂散干扰、阻塞干扰、互调干扰进行较为深入的研究,给出测算结论并提出工程上消除干扰的解决方法。  [关键词]干扰 天线空间隔离  中图分类号:TM7文献标识码:A文章编号:1671-7597(2009)0320008-01    一、前言    近年来,随着我国移动通信市场的迅速
期刊
“简单、完美、科学”是爱因斯坦在构建“统一科学”理论中一生所追求的至高理念。一种科学理论的成功发现与建立,首先需要一种独到的、哲学的、科学的“认知理念”做支撑,严谨而超脱的理性思维是指引科学走向成功的前提。    一、对“质量”的认识    新观点:宇宙空间主要由巨量的、相对静止的“无质量”物质所填充,这就是“磁物质”,它们也就是我们一直寻找的“暗物质”。  物理学中的质量定义是:物体所含物质的多
期刊
[摘要]在介绍GPS高程测量原理的基础上,分析GPS高程测量中的影响因素,如天线高、卫星分布不对称、基线起算点的坐标误差、多路径效应等,并分析相应处理措施。  [关键词]GPS高程测量 影响因素 处理措施  中图分类号:TG8文献标识码:A文章编号:1671-7597(2009)0320006-01    GPS凭借其高精度、全天候、全天时、无需通视等优点,在大地测量与工程测量等领域已被广泛应用。
期刊
摘要 在市场营销的道路上企业要正确认识竞争环境,选择恰当的营销战略,发挥自己的优势,只有这样才能在竞争日趋激烈的市场经济大潮中实现我1门可持续营销。  关键词 营销 战略 创新  中图分类号:F27 文献标识码:A 文章编号:1671—7597(2009)0410195—01    一、营销战略的重要性    面对激烈的竞争市场,我们的企业家如果不想让我们的企业在竞争中失败的话,就必须注重企业营销
期刊
中图分类号:TP2文献标识码:A文章编号:1671-7597(2009)0320010-01    一、引言  城市建设的迅速发展对供水质量的要求也越来越高。供水系统实现运行、控制和管理综合自动化已势在必行。近年来由于我市地表水源日趋紧张,且受到不同程度的污染,严重影响城市的经济发展和市民的生活。于是我设计新建一座利用河水的侧渗补给开发地下水源的洗煤厂。  在水源地内,多眼井星罗棋布在水库上。为了
期刊
中图分类号:TN92文献标识码:A文章编号:1671-7597(2009)0320021-01    一般来说,4G是集3G与WLAN于一体,并能够传输高质量视频图像,它的图像传输质量与高清晰度电视不相上下。4G系统能够以100Mb/s的速率下载,比目前的拨号上网快2000倍,上传的速度也能达到20Mb/s,并能够满足几乎所有用户对于无线服务的要求。  4G与3G之间的主要区别在于终端设备的类型、
期刊
摘要 在全球化的背景下,生产要素的国际流动和国际产业分工,使得基于“产地原则”的传统贸易统计体系已经不能真实反映国际经济活动的实际情况。拿中美贸易来说,目前的双边贸易差额,在很大程度上反映两国在国际分工链条上的层级关系,即美国处于高端,中国处于低端。说明在新的国际经济环境下传统贸易统计体系所面临的问题以及建立新型贸易统计体系的必要性。
期刊