1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 学术论文
  5. 自然科学论文

基于Snort的边界数据包安全性检测.docx

基于Snort的边界数据包安全性检测.docx

    1. 1、本文档共7页,可阅读全部内容。
    2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    ??

    ?

    ??

    基于Snort的边界数据包安全性检测

    ?

    ??

    ?

    ?

    ?

    ?

    ?

    ?

    ?

    ???

    ?

    ?

    ?

    ?

    ?

    池水明孙斌

    金华利诚信息技术有限公司浙江321000

    摘要:无论是蠕虫病毒、木马或是其他的网络攻击行为,无不向目标网络发送恶意数据包,以达到恶意攻击的目的。网络监控成为检测来自外部网络的数据包安全性的重要手段,Snort作为防火墙的补充广泛应用于网络内部,监控网络流量、数据包安全等。将SnortIDS部署在网络边界,基于CVE漏洞库建立本地Snort特征库,以检测所有通过边界的数据包,保护内网安全。

    关键词:SnortIDS;数据包安全;规则库

    前言

    监控网络数据包安全性的网络监听技术在网络安全领域是一把双刃剑,除了提供黑客截获网络数据的功能外,还可以帮助网管人员监视网络状态和数据流动、分析网络的流量以及排除网络故障。边界数据包的安全一般而言,是利用网络监听技术对从外部网络进入内部网络的所有数据包进行安全性的检查,匹配已建立的恶意数据包规则库,分析数据包的异常情况,对特征匹配和有异常的数据包进行特殊处理,以杜绝恶意数据包的入侵,保证内网的安全。

    网络入侵检测系统是提供对网络传输进行实时监控,在发现可疑传输时即时发出警报或采取实际措施解决的设备。网管人员可以利用入侵检测系统主动、实时的发现、防范网络上各种攻击行为,维系网络的正常使用。

    在入侵检测系统中,根据分析方法可分为误用检测和异常检测,Snort属于基于网络的误用IDS。它是基于规则的网络有哪些信誉好的足球投注网站机制,对数据包进行基于内容的模式匹配,以发现入侵和攻击行为。目前Snort能够检测出诸如缓冲区溢出、端口扫描、CGI攻击、拒绝服务攻击等多种常见攻击类型。

    1Snort

    Snort是一款功能强大的轻量级IDS自由软件,提供实时数据流量分析和检测lP网络数据包的能力,能够进行协议分析,对数据包内容进行有哪些信誉好的足球投注网站/匹配,还可以检测各种不同的攻击方式,对攻击进行实时报警等强大功能。此外,Snort可以使用简单、可扩展的规则描述语言进行软件的移植和功能的扩展。

    从Snort官网上可以进行规则库的升级或更改,也可以根据实际网络环境自定义检测规则,通过测试成功后,加入到规则库中使用。当出现新的入侵行为或蠕虫病毒时,Snori官网没有及时提供新规则,这时管理员就可以自行提取新人侵行为或蠕虫病毒的特征码,建立自己的新规则加入本地规则库。

    Snort的工作原理是对已知各类攻击的特征模式进行不同方式的匹配,包括利用将网卡设置在混杂模式下的嗅探器被动地进行协议分析,以及对数据报文进行解释分析其特征。Snort是基于规则检测的入侵检测工具,它针对每一种攻击行为,都提取出它的特征值并利用规则描述语言按照规范写成检测规[来自WW]则,从而形成一个规则库。另外还将捕获的数据包按照一定的算法在规则库中进行逐一匹配,若匹配成功,则认为该数据包具有与之匹配规则的攻击行为,应对其进行特殊处理。

    整个Snort系统架构的着眼于性能、简洁和灵活性3个方面。Snort系统结构由以下模块构成:数据包解析器、预处理器、检测引擎、日志/报警模块、输出模块。Snort的体系结构如图1所示。

    2网络部署

    对于IDS的部署可以根据内部网络的拓扑结构和实际需要而定。可以根据需要监控的具体需求在一个或多个位置部署,根据攻击的来源(内部入侵、外部入侵、或者两个都要检测)和所要监控的网段等多方面因素来决定IDS放置的位置。为了低成本而又高效的对进入内部网络的数据包进行检测,并利用Snort入侵检测系统作为边界数据包安全性检测工具,需要将Snort部署在网络的边界位置。

    结合我公司的实际网络情况,将SnortIDS部署在网通线路的边界位置,以检测所有来自网通主干网络的数据包安全性,达到保护内部网络免受外来恶意数据包的攻击。如图2是我公司网通线路下的含有DMZ区域的简单局域拓扑结构,为了实现对所有进入内部网络的数据包进行检查,而无论数据包是访问DMZ区域的服务器,或者是企业内部网络,可以将SnortIDS部署在防火墙内部的核心交换机上,通过核心交换机的镜像功能将DMZ端口和内部网络端口的数据镜像给SnortIDS所在的端口,这样即可实现对来自网络线路的数据包的监控。

    另外对于交换网络需要监控一些特殊的网段时,还可以将SnortIDS部署在该网段所在的网段中心交换机的某个端口上,通过交换机的镜像功能将需要监控的网段镜像到Snort监控的端口,可以实现对内部特定网段的监控,以保证重要网段的安全运行。当然,也可以接入特定的部门中心交换机,以对重要的部门网段进行监控。

    3数据包检测方案

    数据包安全性的检测归根到底就是对现已知的攻击行为、蠕虫病毒、木马等网络入侵行为的特征进行提取,按照特定的IDS描述语言,建立基于本地IDS的

    您可能关注的文档

    最近下载

    文档评论(0)

    134****4691 + 关注
    实名认证
    内容提供者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >