基于Snort校园网入侵检测系统研究与应用

【摘 要】本文分析了Snort的系统结构，校园网环境下的部署过程，通过规则设置检测访问敏感站点及阻止跨站攻击，并对Snort在匹配速度上的缺陷提出了改进的方案。

【关键词】IDS；Snort；校园网；网络安全

1.入侵检测系统简介

网络硬件和软件资源的增加，给网络用户带来了便利的同时，也给网络增加了安全的压力，并且日益危胁到网络设备、网络用户的正常工作甚至隐私，据CNCERT数据显示，2013年9月境内感染网络病毒的终端数为226万[1]。路由器、交换机、防火墙中使用了端口保护、ACL、VPN等技术，作为常用的应对手段，这些技术的缺陷比较明显：以被动的形式过滤通过设备的数据，而不是主动检测出潜在的恶意行为、系统入侵；主要过滤局域网或网段内部与外部通信时发生的数据包，缺乏有效机制实现对网络内部的恶意行为进行检测、建立日志、追查来源、网络取证。因此，入侵检测系统（Intrusion Detection System，IDS）作为收集网络内数据包，发现潜在渗透、攻击行为，进行预警和日志记录的设备，它和防火墙主动检测和定点过滤、内部和外部相结合共同来提高网络安全。

IDS通过分布在网络中各处的数据收集点采集数据包，利用设定的判断规则，对数据包进行分析，检测出符合规则定义的恶意行为，提交预警报告，它可以连接在网络设备的镜像端口上，不对网络带宽产生影响。IDS按照保护对象不同，分为基于主机和基于网络的两种，分别以收集主机日志信息和网络数据通信流量为来源；按照检测分类可以分为误用检测和异常检测，误用检测通过比对收集的数据和设定规则发现违规的行为，异常检测通过数据源和建立的数学模型的差异发现问题。

2. Snort原理和结构

Snort是一种以源代码形式的轻型的IDS，它可以添加定制的误用判断规则来提高检测特性。目前，在校园网中各种网络安全事故频繁发生，网络安全隐患日益突出，已经成为高校教育信息化发展进程中的一个瓶颈，对正常的网络教育构成了严重的安全威胁[2]，在校园网中采用Snort可以在不降低带宽、影响教学和行政工作的前提下，对可能发生的网络安全事件提前预警。

Snort从最初的数据包嗅探器发展到了包括数据包解码器，预处理器，检测引擎和报警输出四大模块（如图1所示），以误用检测为主要手段的入侵检测系统[3]。

图1 Snort系统结构

数据包解码器使用通用抓包模块Libpcap，对来自数据链路层的数据帧进行解码，然后重新构建网络通信数据包。预处理器对构建的数据包进行纠错，并将数据包整理成可以识别网络特征的数据，提供给检测引擎。检测引擎通过内置的规则数据建立规则判断的数据结构，启动检测组件对比对预处理器提交的数据。报警输出产生日志，或保存到数据库中，同时实现和路由或防火墙的联动。

3. Snort部署

在具体实施Snort时，通常采用三层结构的形式进行部署图2所示，以传感器层捕捉网络数据帧，IDS服务器实现分析和处理数据帧并提供报警输出。它部署灵活可以依据安全和稳定方面的要求选择多种系统，在校园网环境中，常采用Linux平台进行Snort架设。

在Snort系统的搭建过程中，需要使用大量的开源软件如表1所示：

Snort在使用的缺陷在于检出速度是瓶颈、存在误报问题。为了较好的处理上述问题可以采用以下的方法：

1）改进系统模式，以多进程或线程的方式并发执行封包识别和检测线程。

2）改进多模式匹配算法，提高错误检出率。

5.结束语

Snort作为轻量级的入侵检测系统，提供了开源代码，提供接口接入定制模块，它具备了实时的网络数据包分析和日志登录、分析功能[4]，目前规则库可以对多种协议和流量进行检测。在校园网环境下，使用Snort可以在节省信息化建设费用的同时，定制规则及模块，提升网络安全管理的水平应对安全威胁。

参考文献：

[1]中国互联网应急响应中心. CNCERT互联网安全威胁报告，2013，9.

http：//.cn/publish/main/upload/File/CNCERT2013monthly9.pdf

[2]张新刚，王燕.数字化校园主动安全防御体系分析[J].实验室研究与探索，2012，1：197-200.

[3]陈伟，周继军，许德武. Snort轻量级入侵检测系统全攻略[M].北京：邮电大学出版社，2009.

[4]鲜永菊.入侵检测[M].西安：西安电子科技大学出版社，2009，8.

作者简介：

张俊（1975年-），男，汉族，江苏扬州人，硕士，讲师，研究方向：计算机应用技术。

基金项目：

南京工业职业技术学院基金（201050610YK213）