Snort体系结构的优化.pdf

2010年9月 西 安 邮 电 学 院 学 报 Sept．2010 第 15卷 第 5期 JOURNALOFXI’ANUNIVERSITYOFPOSTSANDTELECOMMUNICATIONS Vo1．15No．5 Snort体系结构的优化 张晓彦 ，朱志祥 (西安邮电学院通信技术研究所，陕西 西安 710061) 摘要：针对入侵检测系统Snort在网络流量较大时不能处理数据而产生丢包的问题 ，可在该系统原有的基础上采用 分流技术，即在数据包检测模块前添加协议分流模块和负载分流模块。实验表明，所设计的体系结构分流后，系统 能够有效检测出包含在网络数据包中的入侵行为，避免丢包漏报现象，从而提高系统对网络流量检测的可靠性。 关键词 ：网络安全 ；入侵检测 ；Snort；分流 中图分类号：TP302．1 文献标识码：A 文章编号：1007—32642【010)05—0099—05 0 引言 1 入侵检测技术 计算机网络正在各个领域迅速普及，整个网络 1．1 入侵检测技术的发展 对计算机的依赖程度越来越大。互联网作为一个面 入侵检测的研究最早可追溯到 1980年 4月， 向大众的开放系统，对系统的安全和信息的必威体育官网网址考 JamesP．Anderson为美国空军作的题为{Computer 虑得并不完备，由此导致了网络安全问题 日益严重。 SecurityThreatMonitoringandSurveillance}的技术 传统的安全技术防火墙、加密软件、杀毒软件等，只 报告，报告中首次详细阐述了入侵检测的基本概念。 能被动地保护数据，缺乏主动的响应能力…。入侵 他提出了一种对计算机系统风险和威胁的分类方 检测技术则是用于检测损害或企图损害系统的必威体育官网网址 法，并将威胁分为外部渗透、内部渗透和不法行为三 性与可用性 的一种动态 的安全技术_2J。它主动收 种。他的理论成为入侵检测系统设计及开发的基 集原始数据，利用适当的检测方法对这些数据进行 础 [3，。 分析检测，从而发现这些数据中是否存在破坏系统 1990年是 IDS发展史上的一个分水岭，加州大 必威体育官网网址性、完整性的入侵行为，并对该行为做出响应 ； 学戴维斯分校 的 LT．Heberlein等人开发 出了 同时，入侵检测系统通过对大量数据进行统计分析， NSM (网络安全检测系统)。该系统第一次监视网 及时发现系统存在的漏洞并主动进行弥补。入侵检 络流量，并直接将流量作为主要数据源 ，故可以监控 测的动态性弥补了传统安全措施的不足，为被保护 异种主机[5l。NSM之后，入侵检测系统正式形成两 的信息系统提供了实时、主动的防护，在网络安全中 大阵营：基于网络的IDS和基于主机的IDS。 具有重要意义。但是随着网络技术的发展与网络带 在国内，绿盟科技的 “冰之眼”网络入侵检测系 宽的迅速增长，入侵检测系统也面临着与大规模网 统有效地为防火墙提供了补充，它可以实时检测网 络流量难 以适应的问题，如何处理这些大规模 的网 络流量，提供了事前警告、事中防护、事后取证的一 络流量成为本文研究的重点。 体化解决方案；启明星辰的 “泰和信息安全中心”依 托安全知识库和工作流程驱动对威胁进行响应和处 理，从而实现了对安全事件的有效管理。 收稿 日期：2010—05—27 作者简介：张晓彦(1985一)，女，山西临县人 ，西安邮电学院通信技术研究所硕士研究生 ；