入侵检测技术在网络安全中的应用

1、入侵检测技术在网络平安中的应用摘要：网络应用的普及在给人们带来无穷便利的同时也使网络平安问题日益凸显。对此，本文提出了基于Snort的高速网络入侵检测系统的总体设计方案。为了适应高速网络环境，本文在研究入侵检测技术的过程中，使用了PF_RING技术来实现对数据包的离速捕获，通过对多个Snort进程实现对数据包的高速处理。在设计入侵检测查询分析系统模块中，可把警告数据方便的展示在用户面前，实现警告数据的可视化显示。经过检测发现，增强了Snort对入侵攻击的检测能力。关键词：入侵检测;网络平安今天，网络通信技术已经渗透到社会经济，文化和科学等各个领域，影响着人们工作和学习。从近年来互联网用户信息泄

2、露的角度看，目前的形势在令人震惊之余也让人极为担忧，互联网的平安问题不仅影响到国家的经济开展，而且对国家平安影响很大。目前市场上已经有大量的入侵检测系统软件，但还无法针对IPv6网络数据包的特征进行检测，还无法和好的解决IPv6网络中的平安问题。1入侵检测系统1.1基于主机的入侵检测系统基于主机的入侵检测系统用于保护运行关键应用程序的效劳器。它监视和分析主机审计记录和日志文件以检测入侵。日志包含系统中发生的异常和意外行为的证据。通过这些证据，可以检测并显示、指出有人正在入侵或成功入侵系统，并会迅速启动相应的应急响应方案【2】。1.2基于网络的入侵检测系统根据待监测网络入侵检测包的内容，基于网络

3、的入侵检测系统所做的工作主要包括原始数据源、网络包，以及对可疑现象的分析等，通过监听共享网络上的通信数据收集数据，主机无需提供严格的审计，提供对网络的全面保护，而不必考虑异构主机的不同体系结构。1.3基于误用入侵检测系统误用式入侵检测系统是基于网络入侵或过去积累的系统缺陷建立的入侵规那么来的检测入侵系统。在此错误使用检测的根底上，构建基于攻击方法的攻击特征库，对所获取的数据进行处理后进行特征验证，如果验证成功那么认为是侵入性的，否那么为合法。尽管它意味着入侵行为。这种入侵检测系统开发的优点是准确性高，效率高，误报率低。检测条件可以清楚地描述。缺点是只检测模式库中现有的攻击类型，并且攻击特征库很

4、难收集和更新。因为它取决于主机平台，所以便携性较差。2.Snort与网络平安防护2.1Snort的体系结构so时主要包含五个根本功能模块，嗅探器，解码器，预处理器，检测引擎和警报输出。嗅探器是数据包的集合，是整个系统的根底，嗅探器必须保证高速数据包，并且丢包率低。这与硬件处理能力和软件效率有关。解码器和预处理插件可以预处理数据，以便检测引擎稍后可以检測数据。检测弓！擎是整个系统的核心。Snort的系统性能很大程度上取决于检测引擎的准确性和效率。警报输出插件可以使用各种方法输出警报信息。各个模块可按照Snort提供的插件接口函数完成，可以根据实际需要动态的加载或者删除某个模块，这样既能保证插件程

5、序和核心代码的紧密相关性，又具有良好模块化设计思想，使Snort整个体系结构组织非常清晰，充分表达了追求性能、简单灵活和可扩展性的设计思想【4】。2.2核心检测模块工作流程通过研究Snort2.3.3源代码，得出其核心检测流程应该分为两局部：第一步是规那么的解析流程，包括从规那么文件中读取规那么和在内存中组织规那么;第二步是使用这些规那么进行匹配的检测流程。1、规那么解析流程时，首先读取规那么文件，紧接着读取每一条规那么;然后对其进行分析，并用相应的规那么语法表示，建立规那么语法树。2、检测流程进行时，首先对收集到的数据报进行解码，然后调用预处理函数对解码后的报文进行预处理，再利用规那么树对数

6、据报进行匹配。在规那么树匹配过程中，Snort要对规那么树从上到下依次进行匹配判断，一直到规那么选项节点。具体步骤如下：数字数据报解码：主要在decode.c中调用各种解码函数并分析获取的消息。这些消息解码函数是DecodeEthPkt，DeeodeFDDIPkt，DecodeICMP，DecodeTCP等等。预处理器预处理器：在匹配解码数据报之前，主要调用预处理功能列表中的函数。这些功能包括数据片段重构，流重组，代码转换周。规那么匹配规那么：在Snort中，它被称为“二维空间函数指针链的递归检测机制，它主要通过使用先前构建的规那么语法树来递归检查数据报，并入侵发现的。它分为三个步骤：链的第一

7、次查找，规那么头的匹配以及规那么选项的匹配。TAG列表匹配：调用CheckTagList进行TAG相关检查，记录必要的信息。通过分析，可以理解整个误用检测方法。3.基于Snort入侵检测系统的设计与实现3.1系统体系结构本系统采用三次结构，包括：网络入侵检测层、数据库效劳层和数据分析控制层。3.1.1网络入侵检测层Snort通过传感器对捕获的数据包进行入侵检测，网络入侵检测层又叫传感器层，传感器可能有多个。传感器安装在需要监控的网段中，传感器上由两块网卡构成，一块用于捕获接口，一块用于管理接口。捕获接口没有IP地址，需要设置成混杂模式接受所有的数据包。管理接口需要与数据库层直接通信，传递入侵报

8、警的信息。3.1.2数据库效劳层网络入侵检测层的管理接口的传感器传递入侵报警信息会存储在数据库中。用户可以对数据库中的数据查询、组织和管理。需要注意的是，用于管理接口的传感器一定要能够连接到数据库，翻开防火墙的相关端口，防止和防火墙的平安策略冲突。3.1.3数据分析控制层数据分析控制层显示数据，图形化显示使用了图形类库，数据分析控制功能更全面，更易于管理使用。用户可通过浏览器如IE、GoogleChrome等浏览器访问查看管理。3.2系统实现3.2.1软件配置与安装WinPcap：WinPcap的安装简单，只需按照提示安装即可，无需其他设置。Snort将编译好的Snort部署到C盘目录下，然后

9、添加配置规那么库，将snortrules中的rules等规那么文件夹复制到C：Snort目录下。修改Snort配置文件，设置规那么库的位置、检测的网段、需要加载的引擎和预处理、数据库的配置等，还需要将snortrules中的动态规那么参加到c：snortVib目录下的新建文件夹snort_dynamicrules中。运行命令C：Snortbin>snort.exe.W可查看安装是否成功。Mysql：本系统采用Mysql数据库，Mysq数据库的安装方便，使用靈活，选择典型安装，按照提示即可，为方便起见，用户名密码均设置为了Snort。3.2.2系统实现界面系统搭建完成，通过BASE登录，S

10、nort入侵检测搭建配置完成后，将实时监控网络数据包，并通过数据库输出接口将入侵日志传送到Mysql数据库中，数据分析控制台那么可以通过数据库接口读取数据，并显示在base上。显示的信息有：报警事件的总数量、每日新增加报警数量、攻击源IP地址、对应的端口号、不同协议类型异常入侵所占的比例等。点击链接，可以查看具体的报警日志数据，如图3.2所示具体局部报警日志数据。参考文献【1】朱琨，张琪一机器学习在网络入侵检测中的应用J.数据采集与处理，2021，3203：479-488.【2】于源源.基于模糊聚类分析的网络入侵检测研究D.中国地质大学北京，2021.【3】孙琦麟.墓于免疫克隆选择加权朴素贝叶斯分类器的网络入侵检测D.兰州理工大学，2021.【4】胡威.一种改进的K-means算法在网络入侵检测中的应用研究D.合肥工业大学，2021.【5】王战红.特征和分类器参数组合优化的网络入侵检测J.南京理工大学学报，2021，4101：59-64.【6】袁琴琴，吕林涛.基于改