Windows平台下基于Snort的入侵防御系统的研究与实现

摘要

在计算机网络技术的发展过程中,随着网络用户数量的激增,以及网络中高速的数据交换和海量的数据流,所带来的网络安全问题也越来越受到人们的关注。由于攻击者攻击技术的不断提高以及攻击手段的多样化,传统的静态网络安全技术已经不能够保护用户的安全,人们亟需一种动态的纵深防护体系,于是本文在对入侵检测系统进行改进的基础上,将入侵检测系统与防火墙进行联动来建立一套动态防御系统。
　　 本文首先对Snort中的检测算法进行了改进。匹配算法是入侵检测系统中费时较多的一个过程,现有的匹配算法有单模式和多模式两种,每种算法都各有利弊,在长期的研究过程中,人们提出了各种改进算法来提高检测算法的匹配速度,本文对Snort中采用的单模式匹配算法—BM算法进行了改进,以两个字符为一个单元进行跳转,并从下一个字符开始比较,从而加大了滑动距离,减少了匹配次数,提高了模式匹配的效率,进而提高了Snort的检测速度。
　　 在改进的Snort的基础上,本文采用联动技术来建立一套动态的入侵防御系统。本系统是建立在Windows平台下,在联动的实现上,充分利用了Snort的开源特性,对其插件机制进行了扩展,加入了联动插件alert ifw,并新增了关键字用于在联动规则中向防火墙发送信息,进而完成入侵检测系统与防火墙之间的联动。在防火墙端本系统采用了Windows系统自带的IPSec筛选器,它在收到相关的阻断信息后可以根据IP地址和端口阻断特定通信一定时间,这样就可以对攻击行为达到实时防御的目的,有效的保护了主机系统。因为技术限制,目前很少有基于Windows平台的联动系统,本系统的建立为Windows平台下实现联动提供了一个新思路。
　　 最后,通过模拟的实验环境对系统进行了测试,实验结果表明本系统在匹配数据时速度有了明显提升,而且在发现入侵行为时能及时进行响应,保护了主机系统的安全。整个系统的功能实现达到了预期目的。