基于Snort的主动式入侵检测系统的研究

袭雅　薛俊凯

摘要：本文主要研究一种基于Snort的主动式入侵防御系统，利用协议分析的方法，有效解决了当前主流入侵防御系统中准确性不足、实时性较差的问题，提高了系统检测效率和便捷性，有效增强了网络入侵防御系统的性能和安全性，更好地满足了复杂网络环境中入侵行为检测的需要。

关键词：入侵检测；网络安全；Snort

中图分类号：TP3 文献标识码：A 文章编号：1009-3044（2018）19-0038-02

本文主要研究一种基于Snort的主动式入侵检测防御系统，通过构建通用的软件漏洞检测防御系统，提升软件系统安全检测的效率和便捷性，并从网络安全角度为网络应用提供可靠服务。该系统能够利用高度规则的网络协议，采用协议分析的方法，有效提高检测判断的准确性与实时性等问题，更加准确地检测出网络中的攻击行为，并进行实时、主动的防护，提高系统的性能和网络的安全性，有效地防止黑客入侵。

1 研究背景

入侵检测系统（IDS）是一种主动式防入侵工具，通过抓取并分析流量数据，检测相关入侵行为，并利用警报响应系统拒绝入侵攻击；同时，IDS在对网络进行监控时不会为用户的网络性能造成负担。因此，IDS运用脆弱性评估技术以及扫描手段，能够在保证高效的网络传输速率的情况下，减轻网络管理人员负担，提高网络安全性。

入侵检测系统的数据源提取是由Data模块来实现，在IDS获得数据源的数据之后，此模块能够实现对数据的简单分析处理，再将经过处理的数据交给Data分析模块；Data分析模块可以对数据进行深层次的分析，嗅探攻击并根据分析的结果产生事件，再传递给事件响应处理模块；事件响应模块用于警告与具体的反应操作[1]。

当前主流的入侵检测系统是开源的Snort，但Snort检测规则的准确率和匹配效率限制了自身的检测能力，若出现规则检测的准确率和匹配效率不能满足IDS的使用，就无法及时发现入侵攻击行为，而且会影响计算机系统性能。为了解决Snort出现的这些问题，需要改进和优化Snort系统的检测规则，以加快其匹配速度，有效提高Snort的检测效率。

2 基于Snort的入侵检测防御系统研究

Snort系统是一个开源的、轻量级的、由C语言编写的网络入侵检测系统。采用规则的搜索机制以及模式检测技术，能够针对不同方式的入侵行为，提炼出入侵行为的特征码，再根据要求规范输出检测规则，最终形成一个有规则数据库，将其与捕获的数据包进行比对分析，判断入侵行为是否成立[2]。其优点为对OS依赖性较低，能够在多种硬件平台稳定运行；模块化结构的设计，以及文本文件方式存储的检测规则，使得Snort具有良好的可扩展性；Snort的警报机制的设置，能够提供实时的安全服务，功能性强，有较广的使用范围。不足在于构成组件较多，所以无法保证任意安装的Snort系统能够稳定运行；自我适应能力差，在检测入侵行为时，系统内部的特征匹配算法不能很好地适应一些意外情况；BM算法没能发挥其最大作用，造成检测速度相对较慢；过程中不排除有误报的情况，对于正常程序产生的部分数据流量也会发出警报[3]。

Snort入侵检测系统主要由解码器、预处理器、检测引擎、日志报警系统等模块组成。解码器用于监听网络上传输的数据包，进行协议分析，为检测引擎提供备检数据；预处理器模块用相应的插件来检查原始数据包，发现数据的端口扫描、IP碎片等，组装数据分片，提高检测效率；检测引擎模块是Snort系统的核心模块，当接收到数据包时，该模块根据预先设置的规则检查数据包，一旦发现有匹配的内容和规则，就通知报警模块，最终将结果记录在日志数据库中。

3 Snort系统规则的改进设计

由于规则检测引擎模块是Snort系统的核心模块，因此若要实现基于Snort的主动式入侵检测系统的功能必须改进检测引擎模块的性能，以提高检测效率，其方法主要由如下3种。

1） 使用K-means聚类算法

K-means聚类算法生成系统的行为模式库，过滤大量数据、添加异常检测功能，以减少Snort系统误报的次数，提高系统的检测速率和正确度。

K-means算法在数学上可以描述为如下几个公式：

[D=?Ci]

[Ci≠?i=1，2，…，k]

[Ci?Cj=?i，j=1，2，…，k；i≠j]

其中，[D=Xi，i=1，2，…，n]，[Xi]表示待處理的某一个数据对象，[D]是所有数据对象的集合，[n]代表数据集合[D]中数据对象的总数，[k]为要划分的聚类个数；[Ci]表示其中的一个聚类。针对K-means聚类算法来说，保证划分的聚类非空是首要前提，每个聚类集合中至少要包含一个数据对象；其次，要求类与类之间不允许相交，每个数据元素能且只能被划分在一个聚类中，不会在类与类之间有相同的元素存在。此外，算法中还需使用误差平方和准则函数对聚类结果的准确性进行评测。利用K-means算法，从聚类中心选取的优化、值的选取和聚类准则函数等方面对Snort系统进行改进，提高了系统算法的聚类性能[4]。

2） 在检测引擎中加入快速链表

添加一个快速链表到Snort检测引擎模块的第二维链表和第三维链表间，能够缩短检测链的长度，提高检测速度，减少数据包被覆盖的问题。

一般情况下，针对计算机对内存和CPU速度不匹配的问题，大多数选择在两者之间加入Cache。由于Cache容量小，存取速度快，对CPU使用频率较高的部分指令和数据进行缓存，以提高运行速度。因此，将Cache加入Snort系统中，能够提高入侵检测时数据包的匹配，提高工作效率。

3） 改进Snort系统的BM算法

通过将模式往后移动的方法进行字符匹配是BM算法的主要思想，所以关键问题就是移动多少位。移动一个字符位置是最简单的做法，从理论上来说，模式串算法移动的位数越多，效率越高。因此，需要在保证数据包匹配正确的前提下，找出一种新方法使模式的移动位数尽可能的多[5]。本文提出一种改进方式，即通过减少比较次数和移动次数以达到提高匹配速度的目的。当文本串与模式串不匹配的时候，对比文本串中与模式串最右段对齐位的下一位，当模式串在遇到不匹配情况时，能跳过更多位，达到提高Snort检测引擎的工作性能的效果。

4 结束语

本文通过对入侵检测系统以及Snort系统的分析，提出了改进Snort入侵检测系统的几种方案，能够主动检测防御网络入侵行为、网络漏洞以及信息安全问题，保证网络的安全性和可靠性。基于Snort的主动式入侵检测防御系统的各个模块，能够相互链接，数据共享，并且能适用于较为广泛和复杂的网络环境，但是面对一些新的攻击手段，Snort仍需在异常检测和入侵防御方面继续改进。

参考文献：

[1] 黄娟. 网络入侵检测系统模式匹配算法的研究与实现[D].四川师范大学，2008.

[2] 孙立媛，朱亦宁，孙锐轩.Snort规则的分析与实现[J].计算机安全，2009（9）：45-48.

[3] Syed Ali Raza Shah， Biju Issac.Performance comparison of intrusion detection systems and application of machine learning to Snort system[J].Future Generation Computer Systems，2017.

[4] 雷鹏玮.基于Snort的入侵检测系统的改进与实现[D]. 北京邮电大学， 2015.

[5] 王培凤，李莉.一种改进的多模式匹配算法在Snort中的应用[J].计算机科学， 2012， 39（2）： 72-74+79.