浅谈Snort入侵检测在信息系统安全防护作用.docVIP

浅谈Snort入侵检测在信息系统安全防护作用 　　摘要:只有将计算机网络作为一个单独系统的整体系统进行管理和控制,才更加有利于其运行,及时的发现入侵行为并进行报警。本文通过开发以snort为核心的入侵检测系统,完成了系统结构设计、探测器的设计与实现以及数据控制中心、管理控制中心的部署。 　　关键词:入侵检测;信息系统;安全防护 　　中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02 　　一、引言 　　随着互联网的应用逐步走向深入,如何防范计算机系统被入侵的事件的发生是当前信息系统研究的热点问题。计算机软件的漏洞、计算机病毒以及外部黑客的入侵、攻击等需要实时监控,从而实现对计算机网络安全运行的宏观掌控,并结合实际情况对安全技术进行必要的调整。为了保证信息系统能够安全稳定运行,需要开发一个发现入侵行为并进行报警的平台,实现对系统的实时监测。Snort是一个轻量级网络入侵检测系统,本文通过开发以snort为核心的入侵检测系统,完成了系统结构设计、探测器的设计与实现以及数据控制中心、管理控制中心的部署,对保证计算机网络系统的安全稳定运行具有很好的理论价值与实践意义。 　　二、入侵检测系统的设计思路 　　为了能够使计算机网络系统微电网保持安全稳定的状态,就必须保持分布在网内的控制及保护装置可以结合网络的实时状态迅捷地调整配置,进行安全报警和控制。Snort是基于规则匹配的入侵检测工具,因此,网络入侵检测保护与控制信息平台首要的目标是能够快速获取实时的系统数据,监控网中的各类入侵攻击或威胁的发生和存在,进行快速的检测与划分,及时探测异常状态并产生告警,对告警信息数据进行记录、存储及备份,从而实现对网络系统的控制。系统的模块设计均遵循CIDF标准,以Snort构建入侵检测的引擎,通过协议分析和模式匹配,一方面提升入侵检测效率,另一方面增强准确率和俘获率。 　　三、入侵检测系统的具体设计 　　(一)系统架构设计 　　本文所设计的网络安全入侵检测系统,是一个三层体系结构,具体的层次部署如下图。 　　由图可知,在网络系统中重要的节点部署安全探测器,截取数据包并对其进行协议分析和安全检测,???把必要的分析结果传输至数据存储中心,并按照一定的规则存储在入侵数据库中。系统用户通过管理控制中心对系统进行设置和管理。系统设计为分布检测、集中管理的模式,在安全管理平台上引入windows系统,以.NET C#开发管理程序。主要是由于C#程序拥有较好的扩展性,对系统将来的升级有所帮助。在系统开发中,充分利用程序的多线程模式。编写之后的系统能够和与其他网内的保护设备实现互联互通。本文引入Winpcap开发包进行流量数据包的获取,数据库选用MYSQL,管理控制台使用ACID。 　　(二)入侵检测探测器的设计 　　探测器是入侵检测系统的核心部件,其主要功能为从被监控网段获取数据并简单处理后,结合入侵检测规则来发现其中是否蕴藏了入侵行为。本文所设计的探测器由五个模块组成,如下图。 　　下面阐述模块的设计与实现过程: 　　1.数据包捕获模块 　　入侵检测的前提便是对数据包进行捕获,数据包捕获模块的功能是将网络上的院直属举报抓取下来,传输给数据包解码器进行解析。 　　考虑到Snort并未向用户提供捕获数据包的工具,且本文所设计的入侵检测系统是基于windows环境,因此本文引入了Winpcap作为捕获数据包的工具。在Winpcap捕获工具中,开发了一系列遵循相关标准的抓包接口,因此结合Winpcap的功能便能够抓取被监测的网路上流经所有主要节点的不同类别的数据包,在Winpcap抓包工具中,还预设了方便使用者进行自定义的规则,利用这些规则,在所抓取的数据包被送去检测之前,可以对其进行必要的处理和过滤。 　　2.数据包解码器模块 　　使用Winpcap捕获到数据包之后,入侵检测探测器必须以相关的协议和规约对这些数据包进行解码操作。因此,数据包解码模块可以看做是结合具体的网络协议对数据流解码的模块。解码的流程为如下图所示,首先为Winpcap捕获的数据包构建一个堆栈数据结构,然后从下到上,分别历经解码传输协议、解码网络协议以及解码数据连接协议,对流经的每一个数据包进行解码操作。解码完成后,所有的数据被存入数据结构中,传输至预处理器进行分析。 　　3.预处理器 　　预处理组件是入侵检测探测器单元的核心组成部分,预处理组件的主要功能是进行当前捕获的数据包进行预处理。在本设计中,其具体操作包括数据包检查、数据包丢弃或修改数据包,目的是解析数据包,提升系统的实时响应能力。基于Snort的预处理过程主要由不同功能的插件完成,包括数据分片重组及数据流重组、协议解码以及异常检测三个类别的功能。为了获取完整的数据,预处理组件必