1、 分类号:分类号:TP311 TP311 单位代码:单位代码:1042210422 密密 级:级:学学 号:号:硕士学位论文 基于基于 SNORTSNORT 的高速网络入侵检测系统的设计与实现的高速网络入侵检测系统的设计与实现 THE DESIGN AND IMPLEMENTATION OF THE HIGH-SPEED NETWORK IDS BASED ON SNORT 作作 者者 姓姓 名名 培培 养养 单单 位位 计算机科学与技术学院计算机科学与技术学院 专专 业业 名名 称称 计算机技术计算机技术 指指 导导 教教 师师 合合 作作 导导 师师 20162016 年年 4 4 月月
2、2020 日日 原原 创创 性性 声声 明明 本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本声明的法律责任由本人承担。论文作者签名:日 期:关于学位论文使用授权的声明关于学位论文使用授权的声明 本人同意学校保留或向国家有关部门或机构送交论文的印刷件和电子版,允许论文被查阅和借阅;本人授权山东大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或其他复制手段保存论文和汇编本学位论文。(保
3、密论文在解密后应遵守此规定)论文作者签名:导师签名:日 期:山东大学硕士学位论文 i 目录目录 摘要摘要.I Abstract.II 第第 1 章章 绪论绪论.1 1.1 入侵检测系统的研究背景.1 1.2 入侵检测系统的研究现状.2 1.3 论文的组织结构.4 第第 2 章章 入侵检测系统概述入侵检测系统概述.6 2.1 什么是入侵?什么是入侵检测?什么是入侵检测系统?.6 2.2 入侵检测的基本原理.6 2.3 入侵检测方法.11 2.4 入侵检测系统的分类.17 第第 3 章章 基于基于 Snort 的高速网络入侵检测系统的设计的高速网络入侵检测系统的设计.20 3.1 Snort 简介
4、.20 3.2 Snort 的体系结构.21 3.3 Snort 的总体工作流程.22 3.4 Snort 的内部工作流程.23 3.5 基于 Snort 的高速网络入侵检测系统的设计.31 第第 4 章章 数据包捕获模块设计与实现数据包捕获模块设计与实现.33 4.1 提高捕获包效率的相关技术分析.33 4.2 PF_RING 技术简介.33 4.3 PF_RING 接口函数.34 4.4 数据包捕获模块的分析与设计.34 4.5 PF_RING+SNORT 安装配置.36 4.6 PF_RING+SNORT 测试.39 第第 5 章章 入侵检测查询分析系统模块设计与实现入侵检测查询分析系统
5、模块设计与实现.41 山东大学硕士学位论文 ii 5.1 入侵检测查询分析系统的工作原理.41 5.2 入侵检测查询分析系统的主要功能模块.42 5.3 入侵检测查询分析系统安装配置.49 第第 6 章章 总结和展望总结和展望.53 6.1 总结.53 6.2 展望.53 参考文献参考文献.54 附图表附图表.56 致致 谢谢.57 山东大学硕士学位论文 iii CONTENTS Chinese Abstract.I English Abstract.II Chapter 1 Introduction.1 1.1 Research background of IDS.1 1.2 Present
6、 research of IDS.2 1.3 The paper structure.4 Chapter 2 The overview of IDS.6 2.1 What is invusion,instrusion detection and intrusion detection system?.6 2.2 The basic principle of intrusion detection.6 2.3 The method of intrusion detection.11 2.4 The classification of IDS.17 Chapter 3 The design of
7、the high-speed network IDS based on Snort.20 3.1 The introduction of Snort.20 3.2 The structure of Snort.21 3.3 The overall workflow of Snort.22 3.4 The internal work process of Snort.23 3.5 The design of the high-speed network IDS based on Snort.31 Chapter 4 The design and implementation of the cap
8、ture module.33 4.1 The related technology of improving the capture module.33 4.2 The induction of PF_RING technology.33 4.3 The API of PF_RING.34 4.4 The design and implementation of the capture module .34 4.5 The installation and configuration of PF_RING+SNORT.36 4.6 The test of PF_RING+SNORT.39 Ch
9、apter 5 The design and implementation of the Intrusion Detection Inquiry and 山东大学硕士学位论文 iv Analysis System module.41 5.1 The processing principle of the Intrusion Detection Inquiry and Analysis System.41 5.2 The main modules of the Intrusion Detection Inquiry and Analysis System.42 5.3 The installat
10、ion and configuration of the Intrusion Detection Inquiry and Analysis System.49 Chapter 6 Conclusion and prospect.53 6.1 Conclusion.53 6.2 Prospect.53 References.54 Diagrams.56 Acknowledgements.57 山东大学硕士学位论文 I 摘要摘要 当今社会,随着网络的不断发展,网络在人们的生活中扮演着越来越重要的角色。网络在带给人们便利的同时,它的安全问题也越来越突出。在传统的网络安全解决方案中,防火墙等工具扮演着
11、重要的角色。而防火墙不能抵御来自网络内部的攻击。在这种情况下,入侵检测系统出现了,它可以在防火墙的基础上为网络提供进一步的安全保障,成为网络安全领域的研究热点。高速网络环境对入侵检测系统的处理能力和分析能力都是一个严峻的考验。Snort 作为一个典型的开源网络入侵检测系统具有可移植性好、功能强大、扩展性好、遵循公共通用许可证 GPL 等特点,目前在全世界已经得到广泛应用。基于此,本文选择了基于 Snort 的高速网络入侵检测系统作为研究方向。本文首先分析了本课题的理论基础入侵检测系统。然后提出了基于 Snort 的高速网络入侵检测系统的总体设计方案。针对高速的网络环境,我们把 Snort 的数
12、据捕获模块进行了改进,使用 PF_RING 技术实现对数据包的高速捕获,并且开启多个 Snort 进程实现对数据包的高速处理。另外还基于 BASE 设计了入侵检测查询分析系统模块。主要进行了首页布局重新设计、增加警告数据时间统计和增加警告数据绘图统计。在数据包捕获模块设计与实现的章节中首先分析了提高捕获包效率的相关技术,然后介绍了 PF_RING 技术和接口函数。针对 Snort 的数据包捕获模块提出了新的基于 PF_RING 技术的数据包捕获模块并且介绍了 PF_RING+SNORT 的安装配置。在入侵检测查询分析系统模块设计与实现中首先介绍了入侵检测查询分析系统的工作原理。它是基于 BAS
13、E 用 PHP 语言编写的对网络安全数据库进行查询和处理的系统模块。然后介绍了它的主要功能模块:首页设计、创建警报群组、搜索功能和生成图表等。最后介绍了入侵检测查询分析系统的安装配置。最后提出总结与展望。关键词关键词:入侵检测系统;Snort;PF_RING;BASE 山东大学硕士学位论文 II AbstractAbstract Nowadays,with the continuous development of network,the network plays a more and more important role in peoples life.Network brings pe
14、ople convenience,at the same time its security problem is becoming more and more important.In the traditional network security solution,the firewall tools play an important role.But firewall cant resist attacks from within the network.In this case,the intrusion detection system appears.It can provid
15、e further security to the network on the basis of the firewall and has become a hot research topic in the field of network security.High-speed network environment challenges the processing ability and analysis ability of the intrusion detection system.Snort,as a typical open source network intrusion
16、 detection system,has a good portability,powerful functions,a good scalability and follows the public general license etc.At present it has been widely used all over the world.Based on this,this paper chooses the Snort-based high-speed network intrusion detection system as the research direction.Thi
17、s paper first analyze the IDS which is the theory basis of this project.Then I propose the overall design of the high-speed network IDS based on Snort.For the high speed network environment,we improved the Snort data capturing module,using PF_RING technology to realize the high speed of data packet
18、capturing,opening the multiple Snort processes to achieve the high-speed processing of data packets.In addition,based on BASE we designed the Snort analyzing and querying system.The main improvement includes the redesigning of the front page layout,adding the warning time statistics model and the wa
19、rning data mapping statistics model.In the chapter of the design and implementation of the capture module,I first analyze the related technology of the improvement of the capture module,then I introduce the PF_RING technology and the API of PF_RING.I propose the capture module based on 山东大学硕士学位论文 II
20、I PF_RING technology to improve the capture module of Snort and introduce the installation and configuration of PF_RING+SNORT.In the chapter of the design and implementation of the Intrusion Detection Inquiry and Analysis System module,I first introduce the processing principle of the Intrusion Dete
21、ction Inquiry and Analysis System.It is written in the PHP language to query and process the database of the web security based on BASE.Then I introduce its main modules,including the design of the front page,the creation of the alert group,the inquiry module and the module of creating the tables an
22、d graphs.In the end of this chapter,I introduce the installation and configuration of the Intrusion Detection Inquiry and Analysis System.At the end,I propose the conclusion and the prospect.Keywords:IDS(Intrusion Detection System);Snort;PF_RING;BASE 山东大学硕士学位论文 IV 山东大学硕士学位论文 1 第第 1 1 章章 绪论绪论 1.1 1.1
23、 入侵检测系统的研究背景入侵检测系统的研究背景 在现代社会中,互联网的应用已经渗透到社会政治、经济和文化等各个领域,它对人类社会的发展和进步产生越来越大的影响,也改变了我们的工作,生活和学习方式。互联网的发展和应用水平成为衡量一个国家国力的重要标志。互联网使得信息的获取、共享和传递变得越来越方便。网络在给人们提供便利的同时,也带来了网络安全的问题。随着网络的普及,信息安全问题也越来越突出。2015 年 6 月份,臭名昭著的 Hacking Team 发生了一起严重的数据泄漏事件。有一名匿名黑客对该团队的服务器进行了攻击,并将其数据库、内部邮件、以及该团队在 GitHub 上的网络间谍工具源代码
24、等数据泄漏了出来1。2015 年 7 月份,黑客成功入侵了网络约会交友的门户网站“Ashley Madison”。黑客随后将该网站的数据泄漏了出来,这些数据包括该网站的数据库信息、内部电子邮件、以及该公司内部 app 应用程序的源代码2。2015 年 10月 19 日,乌云漏洞报告平台接到一起惊人的数据泄密报告后发布新漏洞,漏洞显示网易用户数据库疑似泄露,影响到网易 163、126 邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录 IP 以及用户生日等3。目前,各个国家在信息安全问题上都面临着共同的问题:防御的成本越来越高,而攻击的成本越来越低。如果防御体系缺乏震慑力,它必然是低效的
25、,而且其成本会越来越高。当成本的增长超过经济承受力的时候,如何保证信息的安全将是一个大问题。因此,低成本的防御系统的构建变得越来越迫切。目前的信息安全领域的产品各种各样,例如计算机查毒软件、防火墙、网关、身份识别、可信服务、安全备份系统、安全加密软件、统一威胁安全管理系统等。这些产品大多是被动防御的。其中最典型的产品是防火墙。防火墙可以保护防火墙内的网络抵御来自外部的攻击,是一种应用广泛的网络安全产品。在传统的网山东大学硕士学位论文 2 络安全解决方案中,防火墙是一道主要防线。防火墙通过安全策略,例如过滤特定类型的数据包,确保只能是授权的流量数据才能够通过,在可信网络(如内网)和不可信网络(如
26、互联网)之间建立一道防线,从而达到保护内部网络的目的。但是在应用中,防火墙存在许多问题,例如防火墙暴露给外部网络,因此本身就容易受到攻击,很多攻击者可能会绕过防火墙,从而使防火墙形同虚设。另外不是所有的攻击都来自防火墙外部,研究表明有大约 65%攻击来自网络内部。因此单纯依靠防火墙已经无法满足网络安全的要求4。入侵检测系统可以弥补这方面的不足,它可以在防火墙的基础上为网络提供进一步的保护,从而更好地保护网络信息系统的安全。作为保障网络安全的重要手段之一,入侵检测系统不可避免的受到高速网络的影响。高速网络环境对入侵检测系统的处理能力和分析能力都是一个严峻的考验。Snort 作为一个典型的开源网络
27、入侵检测系统具有可移植性好、功能强大、扩展性好、遵循公共通用许可证 GPL 等特点,目前在全世界已经得到广泛应用。基于此,本课题选择了基于SNORT 的高速网络入侵检测系统的设计与实现。1.2 1.2 入侵检测系统的研究现状入侵检测系统的研究现状 现有的入侵检测系统中,其中有一些是大学或者研究机构的实验室设计的。这些系统体现了他们的研究理念,下面几种是具有代表性的:1.NIDES 系统。1987 年,乔治敦大学的 Dorothy E.Denning 提出了实时入侵检测系统抽象模型IDES,即 Intrusion Detection Expert System,入侵检测专家系统。1995 年,I
28、DES 升级后的版本NIDES 通过收集一台或者多台主机的审计数据来检测计算机系统中的活动,然后用统计或者基于规则的方式对这些审计数据进行分析,从而实时检测计算机系统中的可疑和入侵活动。2.AAFID 系统。AAFID(Autonomous Agents For Intrusion Detection)是一种分布式入侵检测系统。它能够分布到网络系统中的所有主机,采用分布式部件采集数据,各个分布式部件按照不同的层次结构进行组织,并且在各自所在的主机进行检测,当检测到入侵时就会响应。它首次在入侵检测中提出了自治代理的概念。山东大学硕士学位论文 3 3.NetSTAT 系统。该系统将 STAT(St
29、ate Transition Analysis Technique,状态迁移分析技术)扩展到网络环境中。它用状态图描述攻击过程。整个系统由网络事实库、状态迁移脚本数据库、分析器和探测器构成。分析器决定需要监视哪些事件,需要在哪里监测事件,必须保留哪些网络状态信息等。探测器按照分析器的配置,监测相应的网络流量,然后把监测到网络状态迁徙图和攻击状态网络迁徙脚本数据库进行匹配,最后得出检测结果。4.GrIDS 系统。GrIDS(Graph Based Intrusion Detection System,基于图形的网络入侵检测系统)是在基于 TCP/IP 的大型网络环境中,分析具有多达数千台主机网络
30、的网络活动5。它主要解决大规模分布式入侵检测方面的问题。其主要特点是通过对受保护的组织及其网络进行分层分解,并将时间和网络通信的报告集中到图像中,在高层次的分层结构中被集成为形式更为简单的图像,从而减少上层结构中处理的信息量6。除了实验室里的入侵检测系统,国内外的许多厂家也开发了自己的入侵检测系统产品,并且得到了广泛的应用。下面简要介绍一下。1.NFR 公司的 NID 系统。NFR(Network Flight Recorder)公司成立于 1996 年。公司创始人 Marcus Ranumb 被认为是入侵检测技术的开创者之一。这个公司的入侵检测产品被命名为 NID。它基本上是一种基于规则检测
31、的网络入侵检测技术,它的全系列探测器覆盖了从 100Mbps 到 1000Mbps 的以太网。NFR 创建了强大的N-Code 脚本语言,可以被用来创建入侵检测的特征库。N-Code 脚本语言具有强大的数据包分析能力。它可以完成复杂的数据包分析工作,可以用于复杂攻击的检测,减少漏报率和误报率。分析员可以编写代码收集特定模式的字符串或者信息,还可以选择特定的警告方式。NFR NID 的灵活性是其它入侵检测产品所无法比拟的。2.ISS 公司的 RealSecure。RealSecure 是 ISS(Internet Security System)公司的一种实时监控软件,它包括网络引擎、系统代理和
32、控制台三个部分。网络引擎基于C 类网段,安装在一台单独的计算机上,通过捕捉网段上的数据包,分析包头和数据段的内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作;系统代理基于主机,安装在受保护的主机上,通过捕捉访问主机的数据包,山东大学硕士学位论文 4 分析包头和数据段的内容,与模板中定义的事件手法进行匹配,发现攻击后采取相应的安全动作;控制台是安全管理员的管理界面,它可同时与多个网络引擎和系统代理连接,实时获取安全信息。3.Cisco 公司的 Cisco Secure IDS。Cisco 公司的 Cisco Secure IDS 是 NetRanger的升级版本。它是一个实时的
33、网络入侵检测系统,可以检测、报告和终止网络中未授权的可疑活动,由控制器,传感器和入侵检测三大模块组成。传感器分为主机传感器和网络传感器,分别实现对主机信息和网络信息的收集和分析。控制器则汇总各个传感器的报告,并且配置和管理各个传感器。Cisco Secure IDS 的一个强项是在入侵检测时不仅检测单个包的内容,而且还能够根据上下文,获取多个包的线索信息。4.冰之眼。国内的网络入侵检测系统中的冰之眼网络入侵检测系统是绿盟科技入侵保护解决方案的核心。冰之眼网络入侵保护系统的体系架构包括三个主要组件:控制台、网络引擎和升级站点,方便各种网络环境的灵活部署和管理。冰之眼网络入侵保护系统提供“虚拟补丁”,为企业提供了时间缓冲,在厂商就新漏洞提供补丁和更新之前确保企业的安全。冰之眼 NIPS 提供准确和智能的检测和防护,以预防已知和未知的攻击,使需要管理人员干预的程度最小化,有效减轻攻击报警处理的压
