基于Snort的分布式入侵檢測系統研究

魏 晉

(長治醫學院計算機中心，山西 長治 046000)

基于Snort的分布式入侵檢測系統研究

魏 晉

(長治醫學院計算機中心，山西 長治 046000)

由于分布式入侵檢測系統能夠解決傳統集中式入侵檢測系統存在的問題，因而目前該系統成為計算機網絡安全領域的研究熱點。設計和實現了基于Snort的分布式入侵檢測系統，并對系統進行了模擬攻擊試驗。測試結果表明，該系統能夠提高實時檢測的準確率，對加強網絡安全性具有重要作用。

網絡防護；入侵檢測；傳感器；規則配置

入侵檢測技術是指對計算機網絡的惡意攻擊行為進行檢測、判斷、做出結論、發出警報并觸發應對策略方案的網絡防護技術［1］。入侵檢測系統作為防火墻的重要補充，現已成為計算機網絡安全體系中一個不可或缺的組成部分。傳統的集中式入侵檢測系統只安裝在網絡的出口處，由于網絡攻擊技術趨向于多樣化，如果攻擊者對該系統進行攻擊并使其癱瘓，那么整個網絡環境將失去保護。同時，在實際應用中發現該系統存在數據瓶頸、實時性差、漏報率偏高、單點失效等不足［2］。分布式入侵檢測系統可以解決上述問題，該系統采用管理服務器/探測器的架構，將多個小的、獨立的入侵檢測系統分散在網絡的不同地理位置來捕獲網絡中的數據包并進行分析，一旦發現有惡意行為，就會立即發出警報和啟動應對處理策略。由于該系統有多個探測點，因而能夠監視整個網絡環境的安全狀態，這樣不僅提高了網絡管理員管理網絡的能力，同時也加強了網絡信息安全基礎結構的完整性。下面，筆者以Snort系統為核心，設計并實現了分布式入侵檢測系統，并在搭建的網絡環境中對該系統進行了模擬攻擊試驗測試分析。

1 Snort簡述

Snort是一個小體積、開源、功能全、性能優秀的入侵檢測系統，其不僅能夠進行實時流量分析、監視網絡數據流、分析數據包、檢測安全事件日志等工作，還能進行協議分析、數據內容過濾、規則匹配等［3］。Snort由數據包嗅探器、預處理器、檢測引擎、日志與報警4個子系統組成［4］，其中數據包嗅探器的功能是依靠Libpcap函數庫來捕獲網絡中的數據包，預處理器的功能是對分析后的數據包按照規則再進行轉化和加工，檢測引擎是Snort的核心部分，主要負責規則分析與特征檢測，而檢測引擎會按照啟動時加載的規則對每個數據包進行分析和判斷，如果發現數據包中的內容與某條規則相匹配，就會發出警報并觸發相應的處理策略。Snort的工作流程如下：①從主函數Snort.h開始執行，完成網絡接口設備、預處理插件、讀入規則等準備工作；②通過Libpcap/Winpcap 庫中的pcap_loop( )進程，在數據鏈路層中對數據包開始進行捕獲；③將捕獲的數據包送入ProcessPacket( )包解碼的進程中，對數據包進行解析并加工和轉換格式，以便進行規則匹配運算工作［5］；④對來自數據包解碼模塊和預處理模塊的數據，調用檢測引擎模塊通過遍歷規則鏈表對每個數據包進行匹配項的查找，如發現匹配項則進入警報模塊；⑤啟動日志事件并對警報信息進行處理。

2 分布式入侵檢測系統的設計和實現

基于Snort的分布式入侵檢測系統采用3層體系結構，分別為入侵檢測層、服務器層和分析控制層(見圖1)。由于在傳感器中運行了Snort系統，所以每個傳感器都具有對數據包進行捕獲、分析、查找惡意攻擊行為和發出警報的功能，把這些獨立的傳感器分散到網絡中的不同區域，這樣就可以對整個網絡環境進行監控。

圖1 基于Snort的分布式入侵檢測系統架構

2.1入侵檢測層

入侵檢測層的主要任務是傳感器對數據包進行捕獲、分析與匹配計算，一旦發現有規則匹配，則認為存在入侵行為，并將警報信息傳遞給服務器進行對應處理。所以，傳感器是入侵檢測層的主要構成部分。傳感器由安裝了數據包捕獲工具Winpcap和Snort應用程序的計算機組成，在傳感器中需要配備2塊網絡適配器，其中一塊用于網絡數據包的采集，而另一塊用于連接服務器通信接口。傳感器的硬件與軟件配置分別如表1和表2所示。

表1 傳感器硬件配置

表2 傳感器的軟件配置

2.2服務器層

表3 Snort服務器硬件配置

構成服務器層的主要部分是Snort服務器，其任務是與入侵檢測層進行通信，把從各個傳感器中獲取的警報信息進行分析并做出相應的處理策略。Snort服務器的硬件與軟件配置分別如表3和表4所示。

2.3分析控制層

分析控制層是面向管理員的控制管理層，安裝有ACID圖形界面的計算機是分析控制層的主要部分。通過安裝有ACID圖形界面的計算機對傳感器的規則進行配置，對控制消息進行編碼和發送，還可以查看警報信息和生成詳細的結論報告視圖。安裝有ACID圖形界面計算機的軟件配置如表5所示。

表4 Snort服務器軟件配置

表5 安裝有ACID圖形界面計算機的軟件配置

3 Snort的規則配置

3.1Snort規則數據庫的配置

配置Snort規則數據庫的方法如下［6］：①從Snort官方網站上升級Snort規則數據庫；②根據自身條件定制和修改Snort規則數據庫［6］。

3.2Snort預處理插件的配置

在Snort中有一些預處理插件在默認情況下是不啟動的，比如用于檢測ARP報文異常的arpspoof插件，管理員可以根據實際需求來配置相關預處理插件。

3.3配置行為警報的優先級

在同一時刻檢測到多個具有不同攻擊方式的攻擊源時，系統應根據Snort攻擊方式優先級別的設定，對不同順序的攻擊源發出警報。設置DDOS攻擊方式具有較高優先級，緩沖區溢出攻擊方式相對具有較低優先級的配置如下：

Config classification:successful-dos,denial of service,1;

//將DDOS攻擊的優先級設置為1；

Config classification:shellcode-detect,executable code was detected,2;

//將緩沖區溢出攻擊優先級設置為2；

和資源消耗。

4 系統測試分析

在搭建的網絡環境中，對基于Snort的分布式入侵檢測系統進行了模擬攻擊測試，攻擊方式如下。

1)Ping 攻擊測試:

Ping-l 65500-t IP

//循環發送大小為65500byt的數據包。

2)DDOS攻擊測試：

Xdos IP-t 5-s *

//對80和139端口進行攻擊，使用線程為5，隨即生成源地址。

3)Arp欺騙測試：

Arpcheat IP

//Arp欺騙攻擊

4)Nmap端口掃描測試：

表6 模擬攻擊測試結果統計表

Nmap-ps-pu-p IP

//使用TCP和UDP協議對端口掃描

模擬攻擊測試如表6所示。從表6可以看出，該系統不僅能對采用TCP、UDP、ICMP、Arp協議的攻擊方式進行準確檢測，還能夠對端口掃描的行為進行準確檢測，因而對加強網絡安全性具有重要作用。

5 結 語

基于Snort的分布式入侵檢測系統突破了傳統的入侵檢測系統的局限性，其中各個傳感器能獨立完成相關任務，這樣可以充分利用各個Snort傳感器的資源，從而節省了網絡帶寬的消耗。在安全性方面，由于各個Snort傳感器各自獨立進行工作，所以當任何一臺Snort傳感器遭到攻擊或出現故障的時候，不會對整個網絡造成嚴重影響。測試結果表明，該系統能夠提高實時檢測的準確率，對加強網絡安全性具有重要意義。

［1］李濤.網絡安全概論［M］.北京：電子工業出版社，2004.

［2］柴平渲，龔向陽，程時瑞.分布式入侵檢測技術的研究［J］.北京郵電大學學報，2002，25(2)：72-74.

［3］薛靜鋒,祝烈煌,閻慧.入侵檢測技術［M］.北京：人民郵電出版社,2007.

［4］陳偉,周繼軍,許德武.Snort輕量級入侵檢測系統全攻略［M］.北京：北京郵電大學出版社,2009.

［5］岳成剛.基于Snort平臺的網絡入侵檢測系統研究［D］. 合肥：合肥工業大學,2009.

［6］王建忠.分布式入侵檢測系統的研究與設計［D］. 蘭州：蘭州理工大學,2007.

10.3969/j.issn.1673-1409(N).2012.07.042

TP393.1

A

1673-1409(2012)07-N124-03

2012-04-25

魏晉 (1975-)，男，2003年大學畢業，助教，現主要從事計算機網絡與軟件工程等方面的教學與研究工作。

［編輯］ 李啟棟