返回
基于Snort入侵检测系统探究和改进

基于Snort入侵检测系统探究和改进

ID:46419648

大小:66.00 KB

页数:5页

时间:2019-11-23

基于Snort入侵检测系统探究和改进_第1页
基于Snort入侵检测系统探究和改进_第2页
基于Snort入侵检测系统探究和改进_第3页
基于Snort入侵检测系统探究和改进_第4页
基于Snort入侵检测系统探究和改进_第5页
资源描述:

《基于Snort入侵检测系统探究和改进》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、an基于Snort入侵检测系统探究和改进摘要:入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术。可以弥补防火墙的不足,帮助网络快速发现网络攻击的发生,起着主动防御的作用,为网络安全提供实时的入侵检测及采取相应的防护手段。本文对提高Snort性能的核心技术进行分析,提出一种能够有效提高匹配效率的AC—WM的模式匹配算法,并对改进后的Snort系统进行测试,显著提高了系统的性能。关键词:入侵检测;Snort;模式匹配中图分类号:TP393.1文献标识码:AResearchonInstrutionDetectionSystemBasedonSno

2、rtanditsImprovementRENYing1,LIHuawei1,2,WANGLina1(1.NavalAeronauticalandAstronauticalUniversity,Yantai264000,China;Yantai264001,China)Abstract:Intrusiondetectiontechnologyisanactivesafetytechnologytoprotectnetworkresourcesfromhackerattacks,andcanmakeupforthelackofafirewalltohe

3、lpthenetworktoquicklyfindtheoccurrenceofcyberattacks,andplasysanactivedefenserole,toproviderealtimeinstrusiondetectionfornetworksecurityandtakeappropriateprotectivemeasures.ThispapertoimprovetheperformaneeofSnortcoretechnologyundertookananalysis,putforwardakindofcaneffectiveim

4、provethematchingefficiencyofACWMpatternmatchingalgorithm,andtheimprovedSnortsystemwastested,significantlyimprovetheperformanceofsystem・Keywords:instrusiondetection;Snort;patternmatching1引言随着互联网技术和信息技术的飞速发展,网络安全风险系数不断提高。有些攻击方式可以绕过防火墙,直接入侵到内部网络,使得网络安全收到威胁口]o入侵检测技术(IDS—IntrusionD

5、etectionSystem)可以弥补防火墙的不足,能够帮助网络快速发现网络攻击的发生,采用探测与控制相结合的技术,起着主动防御的作用,为网络安全提供实时的入侵检测及采取相应的防护手段[2]o2Snort入侵检测系统2.1Snort的体系结构Snort在逻辑上分成多个部件,这些部件共同工作,产生符合特定要求的输出格式。它是由以下几个主要的模块组成:包捕获器、包解码器、检测引擎、预处理插件、输出插件(日志与报警子系统)等[3]。Snort系统的数据包处理流程如图1所示。图1snort的数据处理流程2.1.1包捕获器为了将数据包输送给预处理程序以及随后

6、的检测引擎,必须先做一些准备工作,snort需要一个外部的捕包程序库:libpcaposnort利用libpcap独立地从物理链路上进行捕包,它可以借助libpcap的平台可一致性被安装到几乎所有地方。计算技术与自动化2012年9月第31卷第3期任颖等:基于Snort的入侵检测系统的研究与改进2.1.2包解码器数据包解码器主要是对各种协议栈上的数据包进行解析、预处理,以便提交给检测引擎进行规则匹配。由于包解码器是基于libpcap截获的链路层数据,snort通过调用不同的功能函数来处理链路层数据并对链路层协议进行解码。解码后的数据会根据需要进入到下

7、一层的协议分析,直到满足检测引擎处理的要求为止。2.1.3预处理器预处理器是Snort在检测引擎做出某些操作来发现数据包是否用来入侵或者修改数据包的组件或者插件。它的作用就是针对当前截获的数据包进行预处理,可以根据实际环境的需要启动或停止预处理器插件。244检测引擎检测引擎是Snort的核心模块。它的作用是探测数据包中是否包含着入侵行为。检测引擎通过Snort规则来达到目的,规则被读入到内部的数据结构或者链表中。并与所以的数据包对比。如果一个数据包与某一规则匹配,就会有相应的动作(记录日志或报警等)产生,否则数据包就会被丢弃。2.1.5报警日志模块

8、检测引擎检查后的Snort数据需要以某种方式输出。如检测引擎中的某条规则被匹配,则会出发一条报警,这条报警信息会通过网络、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。