关于Snort的网络入侵防御功能研究_第1页
关于Snort的网络入侵防御功能研究_第2页
关于Snort的网络入侵防御功能研究_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

关于Snort的网络入侵防御功能研究

作者:蒋玉国杨明欣郭文东[摘要]当前,入侵检测系统已经成为安全解决方案的一个必要条件,然而,入侵检测不能主动地阻断具有攻击特征的数据流。它往往是被动的监视局域网,让网络管理员对攻击行为采取相应的措施。本文讨论了入侵防御系统(IPS)的概念、优点和弱点,并根据著名的开放源代码网络入侵检测系统Snort的内部组织特点,提出了一种让Snort实现主动阻断攻击数据流的方法。

[关键词]网络入侵检测系统网络入侵防御系统Snort

一、让Snort实现主动防御功能

1.设计思路。通过分析Snort的整体结构可知,它充分利用了插件机制,这种特点使它更灵活,更容易系统功能的增加,使程序具有很强的可扩展性。IPS与IDS的主要区别就是IPS实现了主动的阻断攻击。利用Snort的这种内部组织结构和IPS的特点,可以设想,只要为Snort增加一个能够阻断数据包的模块(假设称该模块为“在线处理模块”),并把Snort置于在线的位置,当Snort检测到某种入侵行为时,通过对该模块的调用,就可以达到阻断含有入侵倾向数据流的目的。

Snort的检测引擎主要是基于规则的匹配。Snort规则类型(规则行为)包括:alert、log、pass、activate和dynamic。我们就让Snort做拒绝与该规则匹配的数据包的处理。剩余的任务就是,当Snort找到了和被捕获的数据包相匹配的规则时,Snort通过什么条件来判断该数据包是否符合做拒绝处理,在Snort源文件rules.h中定义了OptTreeNode的数据结构。为该结构中增加标志位。当Snort进行规则解析时,通过判断规则的类型和priority、classtype参数的值,当符合一定的条件时,给相应的标志位置“1”。这样,当检测引擎触发了某条规则,则通过判断这些标志位,决定是否阻断相对应的数据包。

为了使Snort更具有灵活性,还可以为之增加一个可选的功能:通过用户的选择,即可使Snort以IDS方式工作,也可以使其以IPS方式工作。

2.实现阻断数据包的条件。为了实现Snort的IPS功能,需要特定的底层库Iptables来代替原有的Libpcap(Libpcap是Snort的底层库)。Iptables用于计算和控制在Linux平台上的外部连接。netfilter/iptables支持Linux2.4内核,能够进行数据包过滤,网络地址转换及其它的数据包处理。3.实现方法。(1)给Snort源文件snort.h中定义的pv结构增加标志位。在PV结构中增加一个标志位:inline。如果期望Snort以在线的(IPS)方式工作,则设该标志被置“1”,否则Snort工作在普通的IDS工作方式。(2)在OptTreeNode(规则选项)结构中增加两个标志位:reject和drop。当某规则的规则类型为alert,且classtype关键字属于1级优先级,或者priority大于9,则当程序进行规则解析时,为属于该规则的OptTreeNode结构标志位reject置“1”。当某规则的规则类型为alert,且classtype关键字属于2级优先级,或者priority为7或8,则当程序进行规则解析时,为属于该规则的OptTreeNode结构标志位drop置“1”。4.如果被捕获的数据包与某规则相匹配,这时说明Snort已经发现攻击行为。此时判断该规则的OptTreeNode结构中两个标志位的值,如果drop为1,调用在线处理模块,对该包做阻断处理并输出报警信息。如果reject为1,调用在线处理模块,阻断该包、输出报警信息,如果该包协议类型为TCP,向数据源发送RESET报文,终止该连接;如果协议类型是UDP,向数据源发送ICMP端口不可达报文,终止该连接。图1是Snort以在线方式运行的响应处理过程。二、结束语

本文提出的使Snort增加主动阻断攻击数据流功能的方法具有以下优点:

1.该方法简单、灵活,不需要改动整体结构和Snort原有的规则,只需在其原有的系统和规则的基础上给PV结构和OptTreeNode结构增加了几个标志位,为之添加现有的Iptables底层库和Libnet,增加一些函数即可实现。

2.只有符合某种严重级别的数据流才对之采取阻断处理的策

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论