入侵检测课程设计
入侵智能检测实验报告(3篇)
第1篇一、实验背景随着信息技术的飞速发展,网络安全问题日益凸显。
入侵检测技术作为网络安全的重要手段,能够实时监控网络系统的运行状态,及时发现并阻止非法入侵行为,保障网络系统的安全稳定运行。
本实验旨在通过构建一个入侵智能检测系统,验证其有效性,并分析其性能。
二、实验目的1. 理解入侵检测技术的基本原理和实现方法。
2. 掌握入侵检测系统的构建过程。
3. 评估入侵检测系统的性能,包括检测准确率、误报率和漏报率。
4. 分析实验结果,提出改进建议。
三、实验材料与工具1. 实验材料:KDD CUP 99入侵检测数据集。
2. 实验工具:Python编程语言、Scikit-learn库、Matplotlib库。
四、实验方法1. 数据预处理:对KDD CUP 99入侵检测数据集进行预处理,包括数据清洗、特征选择、归一化等操作。
2. 模型构建:选择合适的入侵检测模型,如支持向量机(SVM)、随机森林(Random Forest)等,进行训练和测试。
3. 性能评估:通过混淆矩阵、精确率、召回率等指标评估入侵检测系统的性能。
4. 实验结果分析:分析实验结果,总结经验教训,提出改进建议。
五、实验步骤1. 数据预处理(1)数据清洗:删除缺失值、异常值和重复数据。
(2)特征选择:根据相关性和重要性选择特征,如攻击类型、服务类型、协议类型等。
(3)归一化:将数据特征进行归一化处理,使其在相同的量级上。
2. 模型构建(1)选择模型:本实验选择SVM和Random Forest两种模型进行对比实验。
(2)模型训练:使用预处理后的数据对所选模型进行训练。
(3)模型测试:使用测试集对训练好的模型进行测试,评估其性能。
3. 性能评估(1)混淆矩阵:绘制混淆矩阵,分析模型的检测准确率、误报率和漏报率。
(2)精确率、召回率:计算模型的精确率和召回率,评估其性能。
4. 实验结果分析(1)对比SVM和Random Forest两种模型的性能,分析其优缺点。
入侵检测系统的代码设计与实现
入侵检测系统的代码设计与实现入侵检测系统是一种重要的网络安全工具,用于监视网络流量和系统活动,以便识别可能的入侵行为。
它可以帮助组织保护其系统和数据免受未经授权的访问和损害。
本文将介绍入侵检测系统的基本原理和设计方法,并提供一个实际的代码示例。
一、入侵检测系统的基本原理入侵检测系统的基本原理是通过监视网络流量和系统日志,识别和分析异常的活动和潜在的入侵行为。
它可以分为两种类型:网络入侵检测系统和主机入侵检测系统。
网络入侵检测系统(NIDS)通常位于网络边缘,监视整个网络的流量,以便发现入侵行为。
它使用各种技术来检测恶意流量,如基于规则的检测、基于特征的检测和基于异常的检测。
主机入侵检测系统(HIDS)安装在单个主机上,监视该主机的系统活动和日志,以便发现任何可能的入侵行为。
它可以检测到恶意软件、未经授权的访问和其他潜在的安全问题。
入侵检测系统的设计方法通常包括数据采集、特征提取、模型训练和异常检测等步骤。
在下一部分中,我们将详细介绍这些步骤,并提供一个简单的入侵检测系统的代码示例。
二、入侵检测系统的设计与实现1.数据采集入侵检测系统的第一步是数据采集,即收集网络流量和系统活动的数据。
对于网络入侵检测系统,我们可以使用抓包工具(如Wireshark)来捕获网络流量数据;对于主机入侵检测系统,我们可以监视系统日志和进程活动,以收集相关数据。
数据采集的关键是要获取到足够的有代表性的数据,以便用于训练和测试检测模型。
这可能需要大量的样本数据和时间来收集和整理。
2.特征提取一旦我们收集到了足够的数据,我们就可以进行特征提取,即从原始数据中提取出能够描述数据特征和行为的特征向量。
对于网络流量数据,我们可以提取出源IP地址、目的IP地址、端口号、协议类型等特征;对于系统日志数据,我们可以提取出进程名称、事件类型、操作用户等特征。
特征提取的目标是要将原始数据转换成可供机器学习算法处理的格式,通常是一个特征向量。
《基于Snort的工业控制系统入侵检测系统设计与实现》
《基于Snort的工业控制系统入侵检测系统设计与实现》一、引言随着工业自动化和信息技术的发展,工业控制系统(ICS)已成为现代工业生产的重要组成部分。
然而,随着ICS的广泛应用,其面临的安全威胁也日益严重。
为了保障工业控制系统的安全稳定运行,设计并实现一套高效、可靠的入侵检测系统(IDS)显得尤为重要。
本文将详细介绍基于Snort的工业控制系统入侵检测系统的设计与实现过程。
二、系统设计1. 设计目标本系统设计的主要目标是实现高效、准确的入侵检测,及时发现并阻断工业控制系统中的安全威胁,保障系统正常运行。
同时,系统应具备较低的误报率,以及友好的用户界面和可扩展性。
2. 系统架构本系统采用基于Snort的入侵检测架构,主要包括数据包捕获模块、预处理模块、规则引擎模块和报警输出模块。
数据包捕获模块负责捕获网络中的数据包,预处理模块对捕获的数据包进行解析和预处理,规则引擎模块根据预设的规则对数据包进行分析判断,最后报警输出模块将检测结果以报警信息的形式输出。
3. 关键技术(1)Snort规则定制:根据工业控制系统的特点和安全需求,定制适用于本系统的Snort规则。
(2)数据包解析与预处理:采用网络协议栈技术对捕获的数据包进行解析和预处理,提取出有用的信息以供后续分析。
(3)模式匹配算法:采用高效的模式匹配算法,如正则表达式匹配、布隆过滤器等,提高入侵检测的准确性和效率。
三、系统实现1. 数据包捕获与预处理(1)使用Snort的libpcap库实现数据包捕获功能,可设置过滤器以捕获特定类型的数据包。
(2)对捕获的数据包进行解析和预处理,提取出源/目的IP 地址、端口号、协议类型、负载内容等关键信息。
2. 规则引擎实现(1)根据工业控制系统的特点和安全需求,编写Snort规则,并加载到规则引擎中。
(2)规则引擎采用模式匹配算法对预处理后的数据包进行分析判断,判断是否为攻击行为。
3. 报警输出与响应(1)当检测到攻击行为时,系统将报警信息以日志、邮件或短信等形式输出。
电子商务安全实务课件7-入侵检测技术
服务器 基于主机的IDS
实训七:入侵检测技术
3.1 基于主机的入侵检测HIDS
HIDS的主要优点:
1)信息源完备,IDS对信息源的处理简单、一致; 2)它对某些特定的攻击十分有效,如缓冲区溢出攻击。
HIDS的不足:
会占用主机的系统资源,增加系统负荷;全面部署HIDS代 价较大;它依赖于主机固有的日志与监视能力,故能检测 到的攻击类型受到限制,而且主机审计信息易受攻击,入 侵这可设法逃避审计。
实训七:入侵检测技术
1.2 入侵检测系统的功能
2、入侵检测系统基本功能
一个入侵检测系统至少包括信息收集、信息分析、入侵响应和 管理三大功能。 (1)数据收集与提取。入侵检测第一步就是在网络系统中的 若干不同关键点收集数据,入侵检测很大程度上依赖于收集数 据的准确性与可靠性。 数据的收集主要来源:1)系统和网络日志文件;2)目录和文 件不期望的改变;3)程序不期望的行为;4)物理形式的入侵 数据。
实训七:入侵检测技术
衡量一个入侵检测系统的性能,主要有两个 关键参数:误报和漏报
误报:误报是指实际上无害的事件却被IDS检测
为攻击事件的情况。
漏报:漏报是指一个攻击事件未被IDS检测到或
被分析人员认为是无害的情况。
对于一个性能良好的IDS来说,要求误报率和 漏报率越小越好
实训七:入侵检测技术
实训七:入侵检测技术
3.5 集中式IDS
集中式结构的IDS可能有多个分布于不同主机上的 审计程序,但只有一个中央入侵检测服务器。审计 程序把当地收集到的数据踪迹发送给中央服务器进 行分析处理。 这种结构在可伸缩性、可配置性方面存在致命缺陷。
实训七:入侵检测技术
3.6 分布式IDS
主机入侵检测实验报告(3篇)
第1篇一、实验目的1. 理解主机入侵检测系统的基本原理和组成。
2. 掌握主机入侵检测系统的搭建过程。
3. 学习如何使用主机入侵检测系统进行入侵检测。
4. 提高网络安全意识和防护能力。
二、实验环境1. 操作系统:Windows 102. 主机入侵检测系统:OSSEC3. 实验网络拓扑:单主机局域网三、实验步骤1. 系统环境准备(1)安装操作系统:在实验主机上安装Windows 10操作系统。
(2)安装OSSEC:从OSSEC官网下载最新版本的OSSEC安装包,按照安装向导完成安装。
2. 配置OSSEC(1)配置OSSEC服务器:- 编辑`/etc/ossec.conf`文件,设置OSSEC服务器的基本参数,如服务器地址、日志路径等。
- 配置OSSEC服务器与客户端的通信方式,如SSH、SSL等。
- 配置OSSEC服务器接收客户端发送的日志数据。
(2)配置OSSEC客户端:- 在客户端主机上安装OSSEC客户端。
- 编辑`/etc/ossec.conf`文件,设置客户端的基本参数,如服务器地址、日志路径等。
- 配置客户端与服务器之间的通信方式。
3. 启动OSSEC服务(1)在服务器端,启动OSSEC守护进程:```bashsudo ossec-control start```(2)在客户端,启动OSSEC守护进程:```bashsudo ossec-control start```4. 模拟入侵行为(1)在客户端主机上,执行以下命令模拟入侵行为:```bashecho "test" >> /etc/passwd```(2)在客户端主机上,修改系统配置文件:```bashecho "test" >> /etc/hosts```5. 检查OSSEC日志(1)在服务器端,查看OSSEC日志文件:```bashcat /var/log/ossec/logs/alerts.log```(2)分析日志文件,查找与入侵行为相关的报警信息。
基于深度学习的网络安全入侵检测系统的设计与实现
基于深度学习的网络安全入侵检测系统的设计与实现深度学习已经成为了当前科技发展的一个热门领域,而在互联网时代的背景下,网络安全就显得尤为重要。
在这个背景下,基于深度学习的网络安全入侵检测系统的设计与实现成为了一个颇具挑战性的研究课题。
本文将从网络安全入侵检测的概念、深度学习技术的应用、系统设计和实现等方面展开论述。
一、网络安全入侵检测的概念网络安全入侵检测就是通过对网络流量数据进行监测和分析,来检测网络中的攻击行为,并及时做出相应的响应。
在网络攻击越来越普遍的环境下,通过网络入侵检测系统进行即时监控和反应是非常必要的。
传统的网络入侵检测系统主要依靠人工规则的设计和制定,这样的系统需要人为地更新规则,并及时处理由于规则变化或者升级带来的分析变化。
同时这种方法的缺点是存在一定的误报和漏报的问题,其精度和效率有一定限制。
二、深度学习技术在入侵检测中的应用深度学习作为一种人工智能技术,它模拟人类神经网络的学习方式。
通过架构深度神经网络和大数据的结合,可以有效解决传统方法所面临的局限性和问题。
这种技术可以按照特定的结构和过程,在监测和分析网络数据的同时,建立网络隐含规律和特征,实现自动分类和识别,达到自适应检测网络入侵的目的。
与传统方法相比,使用深度学习技术的入侵检测系统,具有较高的准确度和稳定性。
随着深度学习技术在计算机视觉、自然语言处理等领域的广泛应用,它在网络入侵检测系统中的应用也逐渐成为了一个热门领域。
三、系统设计基于深度学习的网络安全入侵检测系统可以分为三个部分:数据预处理、特征提取和分类识别。
1. 数据预处理数据预处理是将原始的网络流量数据进行过滤、清洗和归一化处理,提取出有效的特征,为后续的特征提取和分类识别提供数据基础。
2. 特征提取在对归一化后的数据进行预处理后,可以通过卷积神经网络等深度学习模型进行特征提取,这个过程是通过分析网络数据的每个细节和特征,将它们转化为具有代表性的向量形式,从而为分类识别提供基础。
分布式入侵检测系统结构设计案例
分布式入侵检测系统结构设计案例一、前言随着网络技术的不断发展和网络攻击手段的不断升级,传统的入侵检测系统已经难以满足当今网络环境下的入侵检测需求。
分布式入侵检测系统因其具有高可靠性、高可扩展性、高效能和高灵活性等特点,逐渐成为当前网络安全领域的研究热点之一、本文将介绍一个基于分布式架构的入侵检测系统设计案例,通过将系统分解为多个节点,每个节点分别负责不同的任务,实现对网络入侵行为的监测和检测。
二、系统架构设计1.系统整体架构分布式入侵检测系统由三个主要组成部分构成,包括传感器节点、分析节点和管理节点。
传感器节点负责收集网络流量数据、系统日志和其他相关信息,然后将这些数据发送给分析节点进行分析。
分析节点根据预先定义的规则和模型对接收到的数据进行检测,发现异常活动或可能的入侵,并生成报警信息。
管理节点用于管理整个系统,包括配置传感器节点和分析节点、集中收集和展示报警信息等。
2.传感器节点传感器节点位于网络中的边缘位置,通过网络监测设备、防火墙、IDS/IPS等设备收集流量数据、日志数据,并将这些数据发送给分析节点。
传感器节点负责对数据进行采集、处理和预处理,然后将处理后的数据传输给分析节点。
传感器节点可部署在网络边缘的各个关键位置,以实现对整个网络的全面监测和检测。
3.分析节点分析节点负责接收来自传感器节点的数据,然后对数据进行实时分析和检测。
分析节点根据事先定义的规则和模型对数据进行处理,发现可能的入侵行为并生成相应的报警信息。
分析节点可部署在集中的服务器上,以实现对大规模网络的监测和检测。
4.管理节点管理节点负责整个系统的管理和监控,包括配置传感器节点和分析节点、集中收集和展示报警信息等。
管理节点提供用户界面,方便管理员对系统进行管理和配置。
管理节点还可以通过集中管理多个传感器节点和分析节点,实现对整个系统的统一管理和监控。
三、系统设计方案1.数据传输协议系统采用灵活可靠的数据传输协议,保证传感器节点和分析节点之间的数据传输稳定和高效。
课程设计snort
课程设计snort一、教学目标本课程的教学目标是使学生掌握Snort的基本概念、原理和配置方法。
通过本课程的学习,学生将能够:1.理解Snort的工作原理和功能特点;2.掌握Snort的安装和配置方法;3.学会使用Snort进行网络监控和入侵检测;4.了解Snort在网络安全领域的应用和价值。
二、教学内容本课程的教学内容主要包括以下几个部分:1.Snort概述:介绍Snort的起源、发展历程和版本信息,使学生对Snort有一个整体的认识。
2.Snort的工作原理:讲解Snort的工作原理,包括工作模式、检测引擎和规则匹配等,帮助学生理解Snort的内部机制。
3.Snort的安装与配置:详细介绍Snort的安装过程,以及如何在不同操作系统下配置Snort,让学生掌握实际操作能力。
4.Snort规则编写:讲解Snort规则的语法和编写方法,引导学生学会自定义规则,以满足不同场景的需求。
5.Snort应用案例:通过实际案例分析,使学生了解Snort在网络安全监测、入侵检测等方面的应用。
三、教学方法为了提高教学效果,本课程将采用以下教学方法:1.讲授法:教师讲解Snort的基本概念、原理和配置方法,引导学生掌握知识点。
2.案例分析法:通过分析实际案例,使学生了解Snort在网络安全领域的应用,提高学生的实践能力。
3.实验法:安排实验室实践环节,让学生动手配置和调试Snort,增强学生的实际操作能力。
4.讨论法:学生进行小组讨论,分享学习心得和经验,提高学生的沟通和协作能力。
四、教学资源为了支持本课程的教学,我们将提供以下教学资源:1.教材:选用权威、实用的教材,为学生提供系统、全面的学习资料。
2.参考书:推荐相关的参考书籍,拓展学生的知识视野。
3.多媒体资料:制作课件、视频等多媒体资料,丰富教学手段,提高学生的学习兴趣。
4.实验设备:提供实验室环境和相关设备,让学生能够进行实际操作练习。
五、教学评估本课程的教学评估将采用多元化的评价方式,以全面、客观地评估学生的学习成果。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机科学学院 入侵检测技术期末课程设计
题 目 snort入侵检测系统 学 号 xxx 班 级 xxx 姓 名 xxx 指导教师 xxx 成 绩 完成时间 2012 年 6 月 1
snort入侵检测系统 一、课程设计目的 (1)通过实验深入理解入侵检测系统的原理和工作方式。 (2)熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法 二、课程设计的原理 1 引言 snort是一个免费的基于libpcap的轻量级网络入侵检测系统。它能够跨系统平台操作,自带轻量级的入侵检测工具可以用于监视小型的TCP/IP网络,在进行网络监视时snort能够把网络数据和规则进行模式匹配,从而检测出可能的入侵企图,同时它也可以使用SPADE插件,使用统计学方法对网络数据进行异常检测,这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足够的信息。 snort使用一种易于扩展的模块化体系结构,开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括:HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。 同时snort还是一个自由、简洁、快速、易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和Win98,Win2000上。它也是目前安全领域中,最活跃的开放源码工程之一。在Snort.org上几乎每天都提供了最新的规则库以供下载,由于snort本身是自由的源码开放工程所以在使用snort时除了必要的硬件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系统来说,无疑是最好的替代产品之一。 本文主要论述了snort的背景知识以及它的基于规则的入侵检测机制,同时对于如何使用也作了概括说明。 2 入侵检测技术简介 入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。入侵检测系统的原理如图A所示:
入侵检测监测
作出响应攻击?用户的历史操作数据用户当前操作的数据否是
图A入侵检测的原理图 大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。基于主机的入侵检测系统是一种早期的IDS设计模型,它主要设计用来监视 2
单一的服务器,因为DNS、Email和web服务器是多数网络攻击的目标,这些攻击大约占据全部网络攻击事件的1/3以上,基于主机的入侵检测系统就是为了解决这些问题而设计的,它能够监视针对主机的活动(用户的命令、登录/退出过程,使用数据等等),它的特点就是针对性好而且,效果明显,误报率低。基于网络的入侵检测系统是后于基于主机入侵检测系统而出现的,它主要用于集中用于监控通过网络互连的多个服务器和客户机,能够监视网络数据发现入侵或者攻击的蛛丝马迹。分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。 在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系统根据检测结果采取相应的行动。入侵检测的过程是一个机器(检测工具)与人(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能的相关技术。 各种入侵检测系统使用的检测方法可以分为两类:基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知的攻击特征。例如:在某些URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。此外各种模式匹配技术的应用,提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较,检测这些数据是否异常。例如:如果一个雇员的工作时间是上9点到下午5点,但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器,这就是一个异常事件,需要深入调查。现在,大量的统计学方法用于这个领域。 3 Snort简介 snort是一个基于libpcap的轻量级网络入侵检测系统。根据snort.org,轻量级入侵检测系统是这样定义的:首先它能够方便地安装和配置在网络的任何一个节点上,而且不会对网络运行产生太大的影响,同时轻量级入侵检测系统还应该具有跨系统平台操作,最小的系统要求以及易于部署和配置等特征,并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。 Snort是一个典型的轻量级入侵检测系统,首先可以运行在多种操作系统平台,例如UNIX系列和Win9X,Win2000(需要libpcap for Win32的支持),与很多商业产品相比,它对操作系统的依赖性比较低。它的分发源码文件压缩包大约只有100KB,在一台一般性能的计算机上编译安装时大约只需几分钟的时间,另外配置激活也大约只需要十几分钟的时间,安装以后即便不对它进行维护也能长时间稳定运行。其次用户可以根据自己的需要及时在短时间内调整检测策略。就检测攻击的种类来说,据最新的规则包文件snortrules-stable.tar.gz(Sep 4 02:15:18 2002)snort共有33类,1867条检测规则,其中包括对缓冲区溢出,端口扫描和CGI攻击等等。 3.1 Snort规则 Snort是基于规则的模式匹配的,这种体系结构非常灵活,用户可以到http://www.snort.org/dl/signatures/下载最新的规则,在snort.org上几乎每几天就会有新的规则被更新,同时用户也可以自己书写新的规则,Snort规则文件是一个ASCII文本文件,可以用常用的文本编辑器对其进行编辑。规则文件的内容由以 下几部分组成: 变量定义:在这里定义的变量可以在创建Snort规则时使用。 3
Snort规则:在入侵检测时起作用的规则,这些规则应包括了总体的入侵检测策略。 预处理器:即插件,用来扩展Snort的功能。如用portscan来检测端口扫描。 包含文件Include Files:可以包括其它Snort规则文件。 输出模块:Snort管理员通过它来指定记录日志和警告的输出。当Snort调用告警及日志子系统时会执行输出模块。 规则具体的书写不再做说明,如果想想进行更进一步了解可以到snort.org的文档中心去下载snort的官方文档《Snort Users Manual》中的Writing Snort Rules章节(其链接是http://www.snort.org/docs/writing_rules/chap2.html#tth_chAp2)。 3.2 Snort与tcpdump的比较 如果用尽量简单的话来定义tcpdump,就是:Dump the traffic on a network.,即根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的系统管理员必备工具,tcpdump以其强大的功能,灵活的截取策略,成为每个高级的系统管理员分析网络,排查问题等所必备的工具之一。顾名思义,tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 从表面上看来,Snort与tcpdump是非常相似的,Snort与它的最大的共同之处在于都是基于libpcap的并且支持BPF过滤机制,所以本质上都是调用的捕获数据包的库函数,但是snort的目的不仅仅是在于记录这个数据包而是从安全的角度考虑出发来解析它,并且tcpdump主要是分析第二层或者第三层的报文来进行网络故障诊断,而snort则主要针对于应用层的数据进行分析从而实现检测入侵行为。除此之外,由于tcpdump旨在快速完整地记录流量,所以它制定了特殊的输出格式,速度快,但是不易看懂,而snort就提供了更为友好的输出格式,有利于系统管理员的直接分析。 4 snort的体系结构
数据包解码器检测引擎日志
报警 图B snort的体系结构 4.1 数据包捕获和解码子系统(Decoder) 该子系统的功能为捕获网络得传输数据并按照TCP/IP协议的不同层次将数据包进行解析。Snort利用libpcap库函数进行采集数据, 该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数并可以设置数据包的过滤器以来捕获指定的数据。网络数据采集和解析机制是整个NIDS实现的基础,其中关键的是要保证高速和低的丢包率,这不仅仅取决于软件的效率还同硬件的处理能力相关。对于解析机制来说,能够处理数据包的类型的多样性也同样非常重要,目前,snort可以处理以太网,令牌环以及SLIP等多种类型的包。 4.2 检测引擎(the detect engine) 4
检测引擎是snort的核心,准确和快速是衡量其性能的重要指标,前者主要取决于对入侵行为特征码的提取的精确性和规则撰写的简洁实用性,由于网络入侵检测系统是被动防御的——只能被动的检测流经本网络的数据,而不能主动发送数据包去探测,所以只有将入侵行为的特征码归结为协议的不同字段的特征值,通过检测该特征值来决定入侵行为是否发生。后者主要取决于引擎的组织结构,是否能够快速地进行规则匹配。 为了能够快速准确地进行检测,snort将检测规则利用链表的形式进行组织,分为两部分:规则头和规则选项。前者是所有规则共有的包括IP地址、端口号等,后者根据不同规则包括相应的字段关键字。下图C是Snort的创始人Martin Roesch所作的检测规则的示意图。
规则链表头源端口号目的IP地址源IP地址目的端口号规则链表头源端口号目的IP地址源IP地址目的端口号规则链表头
源端口号目的IP地址源IP地址
目的端口号
规则链表选项ICMP类型码TCP标志位规则内容有效大小....规则链表选项ICMP类型码TCP标志位规则内容
有效大小....
规则链表选项ICMP类型码TCP标志位规则内容
有效大小....
......
......
............
图C 检测规则的结构示意图 当进行规则的匹配时,在链表的两个方向同时进行,检测引擎只检测那些在一开始在规则解析器中设置好了的规则选项。当检测引擎检测到第一个与被解码的包相匹配的规则时,检测引擎触发相应的动作并返回。 4.3 日志/报警子系统 snort对每个被检测的数据包都定义了如下的三种处理方式:alert(发送报警信息),log(记录该数据包)和pass(忽略该数据包)。这其实是具体定义在检测规则中的。其具体的完成是在日志/报警子系统中完成的,日志子系统允许你将包解码收集到的信息以可读的格式或以tcpdump格式记录下来。报警子系统使其将报警信息发送到syslog、flat文件、Unix套接字或数据库中。