1、1 网络入侵检测系统网络入侵检测系统(Snort)(Snort)研究研究 摘 要;互联网络的蓬勃发展给人们的工作生活带来极大的便利,然而,随着现代化网络应 用的普及, 伴随而来的网络不安全因素也给网络信息安全带来了严峻挑战, 传统的网络安全 技术已经很难对付这些日益严重的安全威胁, 所以我们就有必要去开发专门的工具去避免这 些不安全因素的攻击,而入侵检测技术便可以作为一种很重要的技术为我们所用。 入侵检测是网络安全领域中一个较新的课题,检测引擎作为入侵检测系统的核心模块, 其检测速度快慢直接影响网络入侵检测系统的效率, 模式匹配是入侵检测系统的重要检测方 法,其性能对入侵检测系统至关重要。入侵
2、检测系统按照数据分析模式来分,可以分为异常 入侵检测和误用入侵检测, 对于当前基于模式匹配的误用入侵检测系统来说, 入侵检测的检 测效率主要体现在模式匹配的速度,好的模式匹配算法是提高入侵检测速度的关键所在。 本论文首先介绍研究了网络入侵检测的概况,然后深入的研究了snort的详细信息,包 括其特点,结构和其检测流程等,论文较重点的配置了snort在windows下的工作环境,做了 简单的实验,来展现snort的DOS下的工作过程和与php,acid等可图形显示下的数据浏览与 操作。 关键词:网络安全;snort;入侵检测;模式匹配 1 绪 论 1.1 研究的目的与意义 随着网络技术的飞速发展
3、, 其应用领域也在不断地扩展, 网络技术的应用已经从传统的 小型业务系统逐渐扩展到大型的关键业务系统中, 比如说金融业务系统、 电子商务系统等等, 政府门户信息系统等。然而,随着网络技术的迅速发展,网络安全问题也日益突出。比如说 金融系统、 政府信息系统受到外界的攻击与破坏, 信息容易被窃取和修改等网络安全问题越 来越严重。 所以说, 网络安全问题已成为各国政府、 企业以及广大网络用户关心的问题之一。 任何试图破坏网络活动的正常化都可以称为网络安全问题,过去保护网络安全的最常 用、最传统的方法就是防火墙,但是防火墙只是一种被动防御性的网络安全工具,随着科学 技术的不断发展, 网络日趋复杂化,
4、传统防火墙是不足以满足如今复杂多变的网络安全问题, 在这种情况下, 逐渐产生了入侵检测系统, 入侵检测系统不仅能够为网络安全提供实时的入 侵检测及采取响应的防护手段, 它还可以识别针对计算机或网络资源的恶意企图和行为, 并 2 对此做出反应,它提供了对系统受到内部攻击、外部攻击和误操作的实时保护,能够帮助系 统对付网络攻击。入侵检测系统能很好的弥补防火墙的不足,是防火墙的合理完善。 入侵检测系统具有以下几个特点: 1)从系统的不同环节收集各种信息; 2)分析收集到的信息并试图寻找入侵信息活动的特征; 3)自动对检测到的行为做出响应; 4)记录并报告检测结果; 入侵检测系统的主要功能有: 1)监
5、测并分析用户和系统的活动; 2)核查系统配置及其漏洞; 3)评估系统重要资源和数据文件是否完整; 4)识别己知的入侵行为; 5)统计分析不正常行为; 6)根据操作系统的管理日志,识别违反安全策略的用户活动; 入侵检测技术是一种积极主动地安全防护技术, 其核心在于它的检测引擎, 如何实现高 效快速的检测,是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类, 分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻 击, 因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包, 使用相应的软件来提取 入侵者所发出的攻击包的特征, 然后将这些特征攻击包和入侵检测系
6、统的特征库进行对比匹 配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。在与特征库进行匹配的过程 中, 用到的最主要的技术就是模式匹配, 所以说在入侵检测系统中模式匹配是一个研究重点。 在国内, 随着网络应用的日益增长, 特别是那些关键部门对网络的应用使得网络安全问题至 关重要,迫切需要高效的入侵检测产品来确保网络安全,但是,由于我国的入侵检测技术在 网络安全领域的研究起步较晚, 还不够成熟和完善, 需要投入较多的精力来对这方面进行探 索研究, 特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域, 这对抑制 黑客攻击和网络病毒的传播,提高网络安全具有重要意义 1.2 入侵检测技术的不足与发展趋势 入侵检测技术作为安全技术的一个重要领域, 正在成为网络安全研究的热点, 对入侵检 测的理论研究和实际应用中还存在着许多问题,需要我们继续深入研究和探索,具体来说, 入侵检测在以下方面有待继续发展: 3 1)如何提高入侵检测的安全性和准确性 目前商用领域的入侵检测系统主要是基于模式匹配的入侵检测引擎。 这种基于模式匹配 的入侵检测引擎是将入侵数据与攻击模式特征库进行匹配,
