【PHP开源代码栏目提醒】:网学会员--在 PHP开源代码编辑为广大网友搜集整理了:基于snort的入侵检测系统的研究与设计 - 硕士论文绩等信息,祝愿广大网友取得需要的信息,参考学习。
合肥工业大学 硕士学位
论文基于snort的入侵检测系统的研究与设计 级别:硕士 专业:计算机应用技术 指导教师:周国祥 20100401 基于snort的入侵检测系统的研究与设计 摘要 防火墙(Firewall)与入侵检测系统(IDS)作为两种网络安全防护技术应用越来越广泛。
防火墙通常被部署在网络的边界用于不同网络间的隔离,通过访问控制策略来允许或是拒绝数据包的通过,为网络提供静态防御功能;而入侵检测系统是通过监视网络数据包、分析用户及系统活动等手段来识别入侵行为和入侵企图,是一种动态防御技术。
如何将防火墙与入侵检测系统有效结合起来协同使用,进一步提高网络系统的安全性能和防御级别,这是网络安全领域中的研究热点。
本文在分析snort入侵检测系统的基础上,研究入侵检测系统与防火墙的协同使用,
论文的主要工作如下:(1)对优秀的
开源snort系统进行了深入的分析,讨论其检测入侵行为的实现过程,并以snort为对象进行入侵检测系统与防火墙协同使用的研究。
(2)对网络中同时部署防火墙与入侵检测系统进行了讨论,分析两者在网络安全系统中各自作用和特点,并通过脚本
程序实现将IDS检测到的入侵报警信息自动生成防火墙的过滤策略,及时的阻断来自外网的入侵攻击,使IDS与Firewall能够有效的协同工作,从而提高网络的安全性。
(3)
设计了警告控制台子系统,通过WEB网页的方式对snort警告进行管理,用户可以方便地对警告进行查看、分组、删除等操作。
并可以与入侵检测与防火墙协同子系统配合使用,对生成的防火墙过滤策略进行人为控制。
目前入侵检测与防火墙协同子系统通过脚本实现自动协同,并结合警告控制台对需要进行防火墙处理的警报进行控制管理,实现系统自动协同与人为控制相结合的功能,并在小型网络实验环境中进行了测试,达到了预期的效果。
关键词:防火墙 入侵检测系统 snort系统 模式匹配算法 协同 IV Research and design on intrusion detection system based Oil snort Abstract Firewall and Intrusion detection system(IDS)are widely used as two types ofnetwork safety protection technology.Firewall is usually deployed at the networkboundary for two different networks isolation,through access control policy to intrusion actionsallow or deny packets pass,which iS static defense.IDS identifiesand intrusion attempts by monitoring network packets,analyzing user and systemactivities and other means,is a dynamic defense technology.It is a research focusin the area of network security,to makes firewall and IDS working cooperatively inorder to further improve the performance and defense level of network securitysystem. The of this dissertation is studying the combination of IDS and purposeFirewall based on the analysis of snort IDS.The main contexts are as follows: snort is depth analyzed,which is excellent open source IDS system.The(1)The anstudying in the combination of IDS and Firewall iS based on snort.(2)After that,it is proposed installing firewall and IDS in the same network.Withthe characteristics of attacks detected by IDS,the rules of firewall are using script,and the attacks can be blocked fromautomatically generated by internet in time.It makes firewall and IDS working cooperatively to ensure the safety of intranet. (3)Besides,an alert operation maintain console subsystem is designed that help observe or delete the alert information through web pages.It can be userS or group coordinated with the sub—system of Firewall and IDS to control access control policy rules of firewall by users. At sub.system of Firewall and IDS is able to automatically present,the console combined by script,further Firewall can help the alert operation maintain administer the alert if.needed.It achieves the cooperation of subsystem automatic in tests of lab combination and man.made control,and reaches predictive effect small network. Keywords:Firewall;Intrusion detection system;snort;pattern matching al gorithm;working cooperatively V 插图清单图2.1 CIDF模型结构……………………………………………………………………………6图3-1 snort的数据处理流程………………………………………………………………….13图3-2包解码器的解码流程……………………………………………………….15图3.3 snort规则树结构图…………………………………………………………………….1 8图3-4坏字符规则……………………………………………………………………………一20图3.5好后缀规则……………………………………………………………………………….20图3-6 BM算法的匹配过程……………………………………………………………2l图3.7依据Aho.Corasick算法构建的goto图…………………………………………一22图3.8 Wu.Manber算法的扫描匹配………………………………………………….24图4.1控制台子系统的功能结构图…………………………………………………26图4.2 snort提供的表结构…………………………………………………………………….27图4.3警告控制台主页面…………………………………………………………….28图4.4警告的详细信息的查看………………………………………………………29图4.5警告管理…一………………………………………………………………….30图4-6条件
查询界面…………………………………………………………………………….30图4.7警告组的管理…………………………………………………………………………..3 1图5.1 iptables对数据包处理流程……………………………………………………34图5.2网络部署模型图…………………………………………….:……………………….36图5.3协同子系统功能模型…………………………………………………………………..36 IX 独创性声明 本人声明所呈交的学位
论文是本人在导师指导下进行的研究工作及取得的研究成果。
据我所知,除了文中特别加以标志和致谢的地方外,
论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得 盒墨王业太堂 或其他教育机构的学位或证书而使用过的材料。
与我一同工作的同志对本研究所做的任何贡献均已在
论文中作了明确的说明并表示谢意。
……酶信五岛 签字日期:加f、年9月少角 学位
论文版权使用授权书 本学位
论文作者完全了解 金墼王些太堂 有关保留、使用学位
论文的规定,有权保留并向国家有关部门或机构送交
论文的复印件和磁盘,允许
论文被查阅或借阅。
本人授权 金目巴工些太堂 可以将学位
论文的全部或部分
论文内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位
论文。
(保密的学位
论文在解密后适用本授权书)学位
论文者签名: 徐烧(一J …名:同闱7千 签字日期:2护,‖年华月纩日签字日期:M萨够月插学位
论文作者
毕业后去向:工作单位: 电话:
通讯地址: 邮编: 致 谢 本
论文是在我的导师周国祥教授的悉心指导下完成的。
周老师渊博的专业知识、深厚的理论功底、严谨的治学态度、敏锐的学术思想以及不断创新进取的学术态度,是我以后学习和
工作的楷模。
周老师在学术方面给予了我无私的指导和帮助,为我们提供了良好的学习环境和丰富的实践机会。
此外,周老师在日常生活中还向我们传授了如何为人处事的很多道理,对我们严格要求,努力培养我们的综合素质。
这些教育让我终身受益,在此谨向周老师致以衷心的感谢和崇高的敬意! 感谢指导和帮助过我的师长,感谢帮助过我的同学们,从你们身上我学到了很多。
深深感谢我的父母和亲人,感谢你们二十多年来一直对我无微不至的关怀,在我遇到困难的时候开导我,在我取得进步的时候鼓励我。
你们无私的爱和深切的希望是我求学路上最大的精神动力! 作者:余志高 2010年4月1日 VI 第一章绪论1.1课题背景及意义 计算机网络技术的普及,给人类社会的方方面面都带来了及其深远的影响,极大地丰富和方便了人们的日常生活。
根据中国互联网络信息中心(CNNIC)发布的《第25次中国互联网络发展状况统计
报告》数据显示,截至2009年12月31日,中国网民规模达到3.84亿人,普及率达到28.9%。
网民规模较2008年底增长8600万人,年增长率为28.9%t11。
在人们享受网络提供的各种信息化服务的同时,网络安全已成为一个严重的问题并越来越受到重视。
黑客通过各种手段攻击计算机和网络中的薄弱环节,非法获取用户的机密信息,或是破坏系统与网络的正常使用,从而达到其特定的目的,使用户的隐私和利益受到侵害。
众多的企业、组织与政府部门为了保证网络资源的安全,一般采用防火墙作为安全保障体系的第一道防线,通过访问控制,防御黑客攻击,提供静态防御。
但是随着越来越多的系统与应用软件的漏洞被发现,以及攻击者的入侵方式更加隐蔽,新的攻击方式层出不穷,所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生,部署了防火墙的安全保障体系还有进一步完善的需要。
传统的防火墙主要有以下的不足:防火墙作为访问控制设备,无法检测或拦截隐藏到普通流量中的恶意攻击
代码,比如针对WEB服务的SOL注入攻击等。
防火墙无法发现内部网络中的攻击行为。
因此,网络的安全不能只依靠单一的安全防御技术和防御机制。
为了迅速、有效地发现各类入侵行为,保证系统和网络资源的安全,很多组织和研究机构正致力于提出各种安全防护策略和方案,包括VPN、防火墙、防病毒、访问控制等。
只有在对网络安全防御体系和各种安全技术和工具的研究的基础上,制定具体的系统安全策略,通过设立多道安全防线、集成各种可靠的安全机制(例如,防火墙、存取控制和身份认证机制、安全监控工具、漏洞扫描工具、入侵检测系统以及进行有效的安全管理、培训等)建立完善的多层安全防御体系,才能有效地抵御来自系统内、外的入侵攻击,确保网络系统的安全心3。
入侵检测是从上世纪九十年发展起来的一种动态地监控、预防或抵御系统入侵行为的安全机制。
主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。
和传统的预防性安全机制相比,入侵检测是一种事后处理
方案,具有智能监控、实时探测、动态响应、易于配置等特点。
入侵检测技术的引入,使得网络、系统的安全性得到进一步的提高。
例如,可检测出内部人员偶然或故意提高他们的用户权限的行为,避免系统内部人员对系统的越权使用。
显然,入侵检测是对传统计算机安全机制的一种补充,它的开发应用加强了网络与系统安全的保护,成为目前关于动态安全工具的研究和开发的主要方向。
入侵检测系统作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时拦截,在网络系统受到危害之前拦截和响应入侵。
随着
网络通信技术安全性要求越来越高,为给电子商务等网络应用提供可靠服务,能够从网络安全的立体纵深、多层次防御的角度提供安全服务的入侵检测系统,必将进一步受到人们的高度重视p,4j。
本课题选自于《淮北市人民医院网络系统改造项目》,该项目为了适应医院信息化的发展,对原有的平台与网络进行升级改造。
在网络方面添加了性能更好的防火墙与防病毒
软件及内网的安全审计软件,目标是构建一个纵深的安全防护体系,保护内部网络的安全。
正是在如何提高网络的安全性的需求下,选取了“基于snort的入侵检测系统的研究与设计”作为研究的课题。
在使用snort的检测内外网的入侵行为的同时,重点研究如何使用入侵检测系统与防火墙的系统协同配合使用的
问题,通过入侵检测系统检测到入侵事件,由入侵事件的日志信息自动生成适用于防火墙的过滤规则,在内外网络的出入口通过防火墙对外网的入侵行为进行自动响应。
现在,入侵检测与其他安全产品之间的协同工作是对入侵检测研究的热点之一,所以本文中对基于snort入侵检测系统的研究具有一定的现实意义。
1.2国内外研究现状 入侵检测系统(IDS)的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念。
他将入侵定义为: “潜在的、有预谋的、未经授权的访问操作。
入侵是致使系统不可靠或无法使用的企图”。
1987年,Dorothy.E.Denning首次给出了入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。
1988年,Teresa Lunt等人进一步改进了Denning提出的入侵检测模型,并提出了入侵检测专家系统(IDES)模型16J,该系统用于检测单一主机的入侵企图,提出了与系统平台无关的实时检测思想。
1995年开发的IDES的改进版本NIDES可以检测出多个主机上的入侵¨j。
1988年的Morris蠕虫病毒事件,网络安全才真正引起了各界的高度重视,许多机构开始了IDS系统的研究开发工作。
‘ 早期的IDS都是基于主机的系统。
1990年是入侵检测系统发展史上的一个分水岭。
这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM (Network Security Monitor)。
NSM与此前的基于主机的IDS系统相比,最大的不同在于它并不检测主机系统的审计记录,而是通过在局域网上主动地监视网络信息流量来追踪可疑行为。
1991年,提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。
1994年,使用自治代理来提高IDS的可伸缩性、可维护性、效率和容错性。
1996年,提出基于
图形的入侵检测系 2统GRIDS(Graph—Based Intrusion Detection System),主要考虑网络中大规模的攻击行为,采用图的形式表示攻击标识,其目的在于解决当前绝大数入侵检测
系统的可伸缩性不足问题。
NSM系统能够在以太网中通过网络数据分析进行入侵检测,分布式入侵检测系统(DIDS)【8】则是对NSM的发展,把网络中主机系统的审计机制收集到的事件数据通过网络进行综合处理,但数据分析仍是局限在单链路的局域网中,而事件的处理是集中式的。
目前,基于网络的入侵检测系统已逐步扩大到能够检测大型的、具有复杂拓扑结构的网络中的入侵行为。
现在比较有代表性的入侵检测系统有Cisco公司的IDS 4200系列,ISS(InternetSecurity Systems)RealSecure,和Symantec ManHunt等。
在国内,随着接入互联网的政府和金融机构等关键部门、关键业务日益增多,更需要自主知识产权的入侵检测产品。
进入2l世纪后,国内对入侵检测系统的研究与开发也加快了脚步,在国内市场上占有相当大的份额。
具有代表性的国内入侵检测系统产品有:启明星辰的“天阗入侵检测与
管理系统”, 海峡信息的“黑盾一网络入侵检测系统”,中联绿盟信息技术有限公司的“绿盟网络入侵检测系统(NSFOCUS NIDS)”;东软集团开发的“NetEye入侵检测系统”盘蟹—口o1.3研究内容 本文在对snort系统进行分析的基础上,重点是研究如何利用iptables防火墙来处理snort所检测出的报警信息,以达到及时地响应和阻断所检测出的入侵行为。
主要研究内容如下: (1)深入地对轻量级入侵检测系统snort的总体结构与各功能模块进行了分析,并介绍了snort规则结构与规则的解析流程,以及检测模块所采用的模式匹配算法。
(2)在基于snort的基础上,使用PHP开发设计了可视化的WEB界面,方便用户对入侵系统的日志与警报的维护,并对警报进行分组及提取出符合过滤条件 的警报,防火墙将对这些警报信息进行处理,而避免所有的警报都被防火墙生成过滤规则(虚警和过期的警报将不会被防火墙处理)。
(3)利用snort的后台数据库中报警数据,对入侵行为的报警信息进行处理, 生成符合iptables防火墙的规则策略,在网络的边界防火墙处对来自外网的入 侵行为进行过滤与阻断,使入侵检测与iptables防火墙协同地运行。
1.4
论文的组织结构 ’
论文共分为六个部分,内容组织如下: 第一章是绪论,阐述了本课题的研究背景和意义,并详细介绍了入侵检测 系统在国内外的研究现状,指出了本文的主要研究内容; 第二章介绍了入侵检测的相关技术。
包括入侵检测的定义、体系结构、常见的分类及现状与发展趋势等,并详细描述了CIDF(公共入侵检测框架); 第三章是对snort入侵检测系统进行分析。
对snort的总体结构和规则的解析流程作了说明,并对各个功能模块进行了详细的分析,最后对snort所使用的模式匹配算法进行了介绍: 第四章设计了方便对报警进行查看与维护的报警控制台。
给出了控制台的功能结构图及数据库表结构,并说明了实现的主要功能; 第五章是实现了利用iptables防火墙自动响应snort检测到的入侵报警。
首先介绍了iptables防火墙原理,给出了入侵检测与防火墙自动协同子系统的模型。
并介绍如何从snort数据库中获取信息,并最终通过脚本的执行实现防火墙与snort的协同工作; 第六章是结束语。
总结本文的研究成果、创新点,并给出本课题下一步研究工作的方向。
4 第二章入侵检测系统的相关技术 入侵检测系统作为重要的网络安全工具,被认为是防火墙之后的第二道安全闸门,提供对内部攻击、外部攻击和误操作的实时监控,实现对网络的动态保护,大大提高了网络的安全性。
入侵检测从上世纪八十年代的概念模型的提出到现在经历了近30年的发展,从最初的基于主机的入侵检测系统,到简单的网络入侵检测系统,发展到现在的融合多种技术的大规模分布式入侵检测系统。
检测分析技术也由统计分析、简单的模式匹配发展为协议分析、多模式匹配、数据融合及专家系统等多种技术相结合,使检测系统的效率速度及检测的成功率等都有很大的提升。
2.1入侵检测系统概述 “入侵”主要是指对系统资源的非授权操作,它可以造成系统数据的丢失和破坏,甚至会造成系统拒绝对合法用户服务等后果。
入侵者可分为两类:外部入侵者和内部入侵者。
美国国际
计算机安全协会(ICSA)对入侵检测的定义是:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象的一种安全技术。
违反安全策略的行为有入侵(非法用户的违规行为)和滥用(合法用户的违规行为)。
入侵检测的目标就是通过检测操作系统的安全日志或网络数据包信息来发现系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受入侵者的攻击,防止系统数据的泄露、篡改和破坏。
入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护措施阻止入侵行为。
在入侵攻击过程中,能减少入侵攻击所造成的损失;在入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,以增强系统的防范能力。
入侵检测的研究涉及计算机、网络以及安全等多个领域的知识。
目前,最基本的入侵检测方法主要是基于已知入侵行为模式的特征检测和基于统计行为的异常入侵检测。
(1)入侵检测系统的主要功能 上面对入侵检测系统的有了概念性的叙述,然而对于入侵检测系统的发展过程中的不同阶段和不同的侧重点,入侵检测的功能也不尽相同。
现阶段入侵检测系统的主要功能大致为: ①监测并分析用户和系统的活动; ②核查系统配置和漏洞; ③评估系统关键资源和数据文件的完整性: ④识别已知的攻击行为; ⑤统计分析异常行为; ⑥对操作系统日志进行管理,并识别违反安全策略的用户活动。
(2)如何评估入侵检测系统的性能 对于一个入侵检测系统的性能的好坏,需要从不同的角度考虑,不能片面的进行评价。
评估入侵检测系统性能的主要指标包括: ①可靠性一系统具有容错能力且可连续运行; ②可用性一系统开销要最小,不会严重降低网络系统性能; ③适应性一对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;对于用户而言,要求操作简单,易于部署和管理; @实时性一系统能尽快地察觉入侵企图并实时报警,以便制止和限制破坏; ⑤准确性一报警的准确率高,误报和漏报率低; @安全性一检测系统必须具有良好的自身安全性,不易遭受攻击。
2.2入侵检测系统的体系结构 入侵检测是检测网络数据流和计算机系统以发.