基于SNORT的入侵防御系统的实现---毕业论文.doc

1、 本 科 毕 业 论 文 基于 SNORT的入侵防御系统的实现 The Implementation of SNORT-Based Intrusion Prevention System 姓 名： 学 号： 学 院：软件学院 系：软件工程 专 业：软件工程 年 级： 指导教师： 年 月 摘 要 在网络化高度发达的今天 ,从网络中获取信息已经成为人们日常生活中不可分割的一部分 。 网络已经成为经济、文化、军事和社会活动中无处不在的工具。在带来发展的同时，网络安全问题也随之突显出来 。 在这样的环境下，网络安全技术不得不与时俱进，以增强网络安全的保障。传统的入侵检测系统，防火墙等在保障信息安全上都

2、发挥着巨大的应用，但是他们的作用单一，无法应对复杂多变的网络环境。入侵检测系统具有发现入侵、记录事件的功能，其重点在于入侵行为的检测上，缺乏对于入侵的应 对和阻断能力。防火墙对流经的网络流量进行检测 ， 拦截不符合安全策略的数据包 。 但是防火墙的访问规则是静态的，不能动态地响应入侵行为的变化。本文将入侵检测和防火墙相结合，来实现一个简单的入侵防御系统 IPS。论文主要研究了以下三方面的问题： 第一、对入侵检测系统 Snort 的工作原理和报警信息的内容进行研究， 并 在代码中实现 调用 Snort 的工作 。 第二、实现一个基于 API 的 包 滤器式的防火墙，能够限制一台指定 IP 地址、

3、端口号的客户机，对本机发送 TCP、 UDP 或者 ICMP 的数据包。 第三、实时获取 Snort 报警信息，解读警 报中的关键字段，动态地对防火墙进行设置。从而在发现恶意行为的伊始，阻断 产生 威胁的连接，达到防御入侵的效果。 关键词 ： 入侵防御系统 ；入侵检测技术 ； Snort；防火墙；过滤器 Abstract With rapid development of the Internet nowadays, obtaining information from the network has become an inseparable part of our daily life.

4、The Internet has been widely used as a ubiquitous tool in our economic, cultural, military and social activities. In addition to benefits of development, the security problem of network is being highlighted. In such an environment, network security technology is required to keep pace with the times

5、so as to improve the level of network security. Although traditional IDS (Intrusion Detection System), firewall and so on are playing a significant role in information security, they are unable to cope with the complex and changeable network environment. For instance, IDS has the ability of detectin

6、g and recording events. It focuses on detecting intrusion behavior, but can not fulfill the function of blocking and responding to intrusion; firewall has the capability of detecting network traffic and intercepting the packets which do not conform to the safety strategy. But the access rules of fir

7、ewall are static, they can not respond to changeable invasion behavior in a dynamic way. In this thesis, the author combines IDS and firewall to implement a simple IPS (Intrusion Prevention System). The whole work mainly focuses on the following three aspects: Firstly, the thesis researches the work

8、ing principle and the alert information of Snort so as to prepare for calling the detection function of Snort. Secondly, the thesis aims to implement a firewall based on API packet filter. It is expected to restrict a client with a certain IP address and port number to sending packets to the host by

9、 TCP, UDP or ICMP protocol. Thirdly, the thesis analyzes how to gain real-time Snort alerts, read the key fields of it, and configure the firewall dynamically so as to block the potential threatening connection at the beginning of malicious behavior and realize invasion defense. Key words: Intrusion

10、 Prevention System; Intrusion Detection Technology; Snort; Firewall; filter 目录 第一章 绪论 . 1 1.1 选题背景和研究意义 . 1 1.2 入侵防御软件的发展历程 . 2 1.3 国内外发展现状 . 4 1.4 本文的主要工作和论文结构 . 5 第二章 背景知识 . 6 2.1 入侵检测的概念 . 6 2.1.1 基本术语 .6 2.1.2 IDS 基本结构 .7 2.1.3 入侵检测的分类 .7 2.1.4 入侵检测性能关键参数 .8 2.1.5 入侵诱骗技术、蜜罐技术与入侵响应技术 .8 2.2 入侵防 御

11、的核心思想和模型 . 9 2.3 Snort 介绍 . 10 2.3.1 Snort 原理 .10 2.3.2 Snort 系统组成 .11 2.4 防火墙的类别与特点 . 12 2.4.1 包过滤防火墙 .12 2.4.2 应用代理防火墙 .12 2.4.3 复合型防火墙 .13 2.4.4 防火墙操作系统 .14 2.4.5 防火墙的抗攻击能力与局限性 .14 2.4.6 防火墙术语 .14 2.5 本章小结 . 15 第三章 Snort 的部署与分析 . 16 3.1 Snort 的配置 . 16 3.1.1 Snort 的安装 .16 3.1.2 Snort 配置文件的修改 .17 3

12、.1.2 Snort 连接数据库 .17 3.2 Snort 的使用 . 18 3.2.1 Snort 的运行 .18 3.2.2 BASE 分析引擎 .20 3.3 SNORT 报警信息分析 . 21 3.3.1 从数据库中还原警报信息 .22 3.3.2 警报的具体含义 .22 3.3.3 报警信息处理方案 .24 3.4 本章小节 . 25 第四章 包过滤式防火墙的实现 . 26 4.1 简介 . 26 4.2 MyFirewall 的结构 . 26 4.3 MyFirewall 的工作流程 . 27 4.4 核心代码分析 . 29 4.5 本章小结 . 30 第五章 MyIPS 的设计

13、与实现 . 31 5.1 MyIPS 系统设计 . 31 5.1.1 UI 界面设计 .31 5.1.2 系统结构设计 .32 5.1.3 数据库设计 .33 5.2 MyIPS 详细设计说明 . 34 5.2.1 入侵检测模块 .34 5.2.2 监听报警模块 .36 5.2.3 入侵响应模块和包过滤器模块 .38 5.2.4 界面美化工作 .42 5.3 实验 结果和相关问题的讨论 . 42 5.4 本章小结 . 45 第六章 总结 . 46 参考文献 . 48 致谢 . 49 Contents Chapter 1 Introduction.1 1.1 Research Topics Ba

14、ckground and Significance . 1 1.2 Intrusion Prevention System s Developing Process . 2 1.3 The Status Quo at Home and Abroad . 4 1.4 The Main Work and Structure of This Thesis . 5 Chapter 2 Background Knowledge .6 2.1 The Concept of Intrusion Detection . 6 2.1.1 Basic Terms. 6 2.1.2 The Basic Struct

15、ure of Intrusion Detection System . 7 2.1.3 Types of Intrusion Detection. 7 2.1.4 Key Parameter of Intrusion Detections Performance . 8 2.1.5 Intrusion Deception Technology， Honeypot and Intrusion response Technology . 8 2.2 The Kernel and Model of Intrusion Prevention System . 9 2.3 Snort s Introdu

16、ction . 10 2.3.1 Snorts Elements . 10 2.3.2 Snorts Structure. 11 2.4 The Category and Characteristics of Firewall . 12 2.4.1 Packet Filter Firewall . 12 2.4.2 Application Gateway Firewall . 12 2.4.3 Compound Firewall. 13 2.4.4 Operation System with Firewall. 14 2.4.5 Firewalls anti-attack ability an

17、d Limitations. 14 2.4.6 Basic Terms . 14 2.5 Chapter Summary . 15 Chapter 3 Snorts Deployment and Analysis .16 3.1 Snort s Deployment . 16 3.1.1 Snorts Installation . 16 3.1.2 Configure with Snort Files. 17 3.1.2 Snorts Connection with Database . 17 3.2 Make Use of Snort. 18 3.2.1 Operation Snort .

18、18 3.2.2 Cooperate with BASE . 20 3.3 Analysis Snort s Alert Information . 21 3.3.1 Rebuild Alert Information from Database . 22 3.3.2 Alerts Detail . 22 3.3.3 Solution about How to deal with Alert Information . 24 3.4 Chapter Summary . 25 Chapter 4 Implement of Packet Filter Firewall .26 4.1 Introd

19、uction . 26 4.2 MyFirewall Structure . 26 4.3 MyFirewall s Work Flow . 27 4.4 Analysis of Core Code . 29 4.5 Chapter Summary . 30 Chapter 5 MyIPSs Design and Implement .31 5.1 System Design . 31 5.1.1 UI Design. 31 5.1.2 Structure Design . 32 5.1.3 Database Design . 33 5.2 Detailed Design . 34 5.2.1

20、 Intrusion Detection Module. 34 5.2.2 Alert Listen Module . 36 5.2.3 Intrusion Deception Module and Packet Filter Module . 38 5.2.4 UI Beautification . 42 5.3 The Experimental Results and Discuss Related Issues . 42 5.4 Chapter Summary . 45 Chapter 6 Summary.46 References .48 Acknowledgement .49 基于

21、Snort 的入侵防御系统实现 1 第一章 绪论 1.1 选题背景和研究意义 信息化高度发达的今天，数据通信网络日益普及，信息的获取和交换日趋便利。与此同时，它也为网络攻击提供了新的途径与平台，网络安全因此受到了极大的 威胁， 但是 ,传统的防火墙和 IDS 有着自身的明显不足。根据 Vandyke Software (美国网络安全软件开发商 ) 2003 年的调查显示 ,在目前网络安全事件的受害者中 , 86%的用户使用了防火墙 , 42%的用户使用了入侵检测系统 1( Intrusion Detection System, IDS)。 目前的问题是，安全模 型在变化 ： 在越来越多可以穿越

22、防火墙的流量中，夹带着攻击，即面向应用的攻击。 大部分防火墙检查的层次主要集中在传输层以下，即使是优秀的防火墙也只能提供一小部分深度检测能力 2。 当企业服务器接受了这些 糖衣炮弹 后，攻击者就可以此为跳板，向企业内网发送大量的攻击性报文。一旦这些人在服务器上留下 rootkit、 back door等后门 ，那么它就可以在任何时间、任何地点无限制的访问企业整个信息系统 。 而 IDS 系统是作为一个旁观者监控网络中 的流量信息，同时记录下可疑的流量。 IDS 相当于一个安装在轿车上的报警 器，每天会产生大量的报警信息， 然而 ，大多数是误报。虽然如此，却又不能对其置之不理，因为真正的攻击信息

23、可能夹杂其中。所以需要专门有富有专业知识的人员对大量的信息进行分析，然后人工采取响应措施。在整个过程中，一但有一环节出错，就给了入侵者可乘之机。 在这种情况下 ， 入侵防御系统 ( Intrusion Prevention System, IPS)作为一种全新的技术 应运而生 。 IPS 技术可以 深入分析各种协议报文 ， 从中找出隐藏的攻击数据， 对恶意报文进行丢弃以阻断攻击， 并且通过报警、联动、阻断等手段直接或间接的保护网络 3。 和传统技术相比，IPS 的优点是 当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。 IPS 智能响应的特质可以即时有效地处理攻击信息，这对于目前复杂多变的网络环境是十分重要的 。随着时代发展， IPS 在网络安全领域意义越来越大，政府、学校和银行机构都逐渐开始部署 IPS。可以说，谁能在 IPS 技术上占据优势，谁就