基于Snort 的入侵检测分层结构设计与
实现#
商可旻，武小年，杨丽**
基金项目：广西研究生教育创新计划项目(2010105950810M18)；国家自然科学基金项目(60862001)
作者简介：商可旻，(1986-)，男，湖南常德人，硕士研究生，主要研究方向为入侵检测技术
通信联系人：武小年，(1972-)，男，湖北监利人，副教授，主要研究方向为信息安全、分布式计算. E-mail:
ekson@qq.com
5 （桂林电子科技大学信息与通信学院，广西 桂林 541004）
摘要：现有的入侵检测系统缺乏对自身安全性的考虑，且系统配置和调试复杂，严重影响了
入侵检测技术的应用与发展。针对该问题，采用分层的思想，构造了一种基于Snort 的分层
入侵检测系统，在系统的传感器和服务器间采用防火墙将主动防御和被动防御进行了结合，
并采用OpenSSL 组件实现端到端的加密传输。实验结果表明，与原始的系统相比，该系统较
10 大程度地提高了系统的安全性。同时，各层次的独立部署和配置，也极大地简化系统的调试
工作。
关键词：入侵检测；分层结构；Snort
中图分类号：TP393
15 A Snort-based layered intrusion detection system designing
and implementation
SHANG Kemin, WU Xiaonian, YANG Li
(Department of Communications and Information Engineering, Guilin University of Electronic
Technology, GuangXi GuiLin 541004)
20 Abstract: The existing intrusion detection system lacks of security guarding for itself, and it is
very complex to configure and debug the system, which seriously impede the development and
application of the intrusion detection technology. Aiming at the above issue, this paper designs a
Snort-based layered Intrusion Detection System, in which a firewall was adopted between snort
sensor and server combining active defense with passive defense. Also, OpenSSL was adopted to
25 implement end-to-end encryption transmission. The experiment results show that the security of
the system was greatly improved comparing with the original system. Meanwhile, it was
simplified for administrator to configure and debug the system attributing to the independence of
system components.
Keywords: Intrusion detection; layered structure; snort
30
0 引言
入侵检测技术[1~3]是继防火墙[4]等传统的安全防护技术之后的新一代网络安全技术，其
不仅能检测并防御来自网络或系统外部的入侵行为，还能够随时监控网络或系统内部的未授
权用户的行为，弥补了传统网络安全技术的不足。但现有的入侵检测系统存在如下问题：（1）
35 缺乏对自身安全性的考虑；（2）在系统配置和调试时非常复杂。这些问题严重影响了入侵
检测系统的应用和发展。针对上述问题，本文采用分层设计的思想，构造一种基于Snort[5~6]
的分层入侵检测系统，通过在系统不同层次实现主动防御和被动防御的结合，加强入侵检测
系统自身的安全性。同时，分层设计使得系统的各个部分能够彼此独立地部署和配置，系统
调试被极大地简化。
 40 1 基于snort 的分层入侵检测系统设计
Snort 是一个著名的轻量级开源网络入侵检测系统，它具有实时数据流量和日志分析的
能力，能够检测各种不同的攻击方式并进行实时报警。Snort 是一种轻量级NIDS(Network
Intrusion Detection System)，占用系统资源非常少，其本身不提供包括图形界面在内的辅助
处理模块，其它分析工具需要以插件的形式与Snort 协同工作。但Snort 系统同样存在上述
45 问题。
为了加强对系统的安全保护，并便于系统部署、配置和调试，本文采用分层设计的思想，
构造一种基于Snort 的分层入侵检测系统，系统包括三个部分：传感器、服务器和管理员控
制台，系统结构如图1 所示。
50 图1 基于Snort 的三层入侵检测系统结构
如图1 所示，系统的三个组成部分分别部署在不同的网段，传感器部署在最外层，进行
数据的捕获和监控；Snort 服务器和控制台部署在内层，通过防火墙与传感器进行隔离，这
将防火墙的被动防御技术和入侵检测的主动防御技术进行了结合，弥补了相互的不足，加强
55 了对系统自身的安全防护。同时传感器与服务器的通信采用了安全组件OpenSSL，实现传
感器与服务器通信的端到端加密。 OpenSSL 是一个开放源代码的实现了SSL（Security
Socket Layer）及相关加密技术的软件包，利用其携带的一个可以支持多种加密算法的通用
加密库，实现服务器和传感器之间的数据加密，从而有效地防止了信息被监听或被篡改，进
一步加强系统自身的安全性。
60 1.1 Snort 传感器层
Snort 传感器分别被部署在希望被监控的不同网段中，对该网段中的流量进行捕获和监
控，识别可疑的入侵行为，并将捕获的可疑数据传给服务器。为加强对传感器的防渗透保护，
传感器只安装snort 和基本的支撑应用程序，并修复系统的漏洞，安装安全防护软件。
每个snort 传感器上都安装两块网卡：一块用于网络数据监听并捕获数据包，另一块则
65 用于向服务器发送警报信息。被用于监听和捕获数据包的网卡被设置为混杂模式，且不分配
IP 地址，所以该网卡只能接收数据，确保数据包从受监控网段到传感器方向流动。这种模
 式也通过这种隐形的方式有效地躲过恶意攻击，提高了对系统自身的安全防护。
另一块网卡作为与入侵检测系统连接的接口，该网卡被分配相应的IP 地址，实现与服
务器的连接，将警报信息发送给服务器。在传感器与服务器的通信中，采用了安全组件
70 OpenSSL，实现传感器与服务器通信的端到端加密，其结构如图2 所示。OpenSSL 分为客户
端和服务端两部分，Snort 传感器上安装其客户端程序，其配置中的网卡IP 地址设置为该网
卡的IP 地址。
图2 OpenSSL 加密隧道
75
1.2 服务器层
服务器通过收集分布在不同网点的传感器发送的报警数据，将其转换成用户可读的形
式，并将报警数据导入到系统指定的数据库中，以便进行综合分析。由于服务器采用基于
Apache 的WEB 服务进行配置，因此，系统管理员可以用WEB 浏览器方便地查看这些数据。
80 在传感器与服务器的通信中，采用了安全组件OpenSSL，服务器安装其服务端程序，接收
传感器发送的数据并进行解密。
为了加强对系统的安全防护，在传感器和服务器间我们设置了防火墙。因此，在服务器
配置中，为保证服务器和snort 传感器的正常通信，需要处理如下问题：
（1）必须保证Snort 传感器在系统启动和运行期间能够正常地访问数据库；
85 （2）由于传感器与服务器之间设置了防火墙，因此必须打开相应端口并设置相应的防
火墙安全策略，进一步加强系统自身的安全防护。
1.3 管理员控制台
为了能够有效地分析服务器中存储的snort 报警数据，本文采用第三方的数据分析工具
BASE(Basic Analysis and Security Engine)来查看和分析报警数据。BASE 是一种基于PHP 的
90 广泛使用的高效Snort 分析查询系统，管理员通过其提供的Web GUI，能够方便地查询报警
数据，并根据报警数据中的源或目的IP 地址、协议类型、端口号及警报类型等，分析数据
的异常情况。
控制台是入侵检测系统的关键组件，其对报警数据分析的及时性，直接影响整个系统的
安全。因此，控制台应尽可能采用专用的计算机配置，并加强对该计算机的访问控制，提高
95 系统的安全性。
2 系统配置与测试分析
2.1 系统配置
系统测试环境包括3 台100M 交换机和6 台主机，组成3 个子网段，采用图1 所示的结
构完成系统部署。主机选用Windows XP 操作系统,硬件配置为：Intel Core P8600 CPU,主频
100 2.40GHz,2GB 内存。系统使用的各组件及配置如表1 所示，各组件协同关系如图3 所示。
 表1 系统组件及功能说明
软件 版本 功能
Winpcap 4.1.2 捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包
Snort 2.8.6.1 入侵检测系统
Mysql 4.5.1 入侵检测系统数据库
ADODB 502a 为PHP 提供统一的数据库连接函数
Apache 4 PHP 网页服务器
PHP 5.1.1 提供PHP 网页解析
BASE 1.39 与Snort 数据进行交换，提供入侵检测数据的分析和查询服务
Appserv Win32-2.4 全功能网页服务器架设程序集（包括：PHP、Apache、Mysql）
图3 系统各组件协同关系
105
在系统部署中，采用OpenSSL 组件实现Snort 传感器和服务器的通信加密，以防火墙实
现传感器与服务器的隔离，并在访问系统控制台Base 服务器时采用数字证书进行安全认证，
以SSL 协议提供安全支持。同时，加强对数据库、控制台的访问控制，限制无关节点到服
务器的连接。
110 2.2 系统测试结果与分析
Snort 系统具有三种工作模式：嗅探器模式、数据包记录器模式和入侵检测系统模式。
本系统采用入侵检测系统模式启动并测试。在测试中，Snort 传感器从监控的网段中捕获数
据包，通过端到端加密传送给服务器。服务器将数据包通过预处理器重组和过滤，加载规则
列表对数据进行匹配检测。
115 为了测试分层Snort 入侵检测系统的安全性，我们首先测试了采用一个网络数据监听器
对snort 传感器发送给服务器的报警数据进行监听和篡改的结果。网络数据监听器被部署在
传感器网段与服务器网段之间，主要用于窃听或者篡改网络数据。通过在网络数据监听器上
配置Snort 数据包记录器模式系统，可监听Snort 传感器发送给服务器的报警数据。
在测试中，分别测试了采用本文的分层snort 入侵检测系统和原始的snort 系统对网络数
120 据监听器的窃听和篡改结果。由于本文的分层snort 入侵检测系统在传感器和服务器之间采
用OpenSSL 组件实现了端到端的秘密通信，网络数据监听器所窃听的为密文信息，攻击者
无法进行篡改，如图4 所示。而原始的snort 系统被窃听的为明文，攻击者能够进行篡改，
结果图5 所示。
125 图4 窃听的密文报警数据 图5 窃听的明文报警数据
 其次，我们对比测试了攻击者利用数据监听器发送网络拥塞数据对本文的分层snort 入
侵检测系统和原始的snort 系统的不同影响。网络拥塞数据，会极大地加重网络负载，从而
提高入侵检测系统的丢包率，最终使入侵行为逃过系统的检测，严重的情况下导致系统崩溃。
130 针对本文的分层snort 入侵检测系统和原始的snort 系统，在同样的环境下，攻击者在传感器
原创学术论文网Tag：代写论文 论文发表 代写毕业论文 代写毕业设计 计算机论文