天道酬勤Snort体系结构的研究与分析:剖析了开源入侵检测工具Snort的体系结构及其工作配置模式,为中小型网络配置入侵检测系统提供了可行的解决方案。关键词:入侵检测系统;通用入侵检测框架;Snort中图分类号:TP393文献标识码:A文章编号:1009-3044(2022)18-31585-02ResearchandAnalysistheSystemFrameworkofSnortYUKun,WUXiao-jin(NetworkCenter,JingchuUniversityofTechnology,Jingmen448000,China)Abstract:theSystemframeworkandworkconfigurationmodeloffreeIntrusionDetectiontools:SnortisResearchedandanalyzed,offerapracticablesolvewayforIntrusionDetectionSystemconfigurationinbothmiddleandsmallnetworks.Keywords:IDS;CIDF;Snort1引言随着网络攻击的日趋复杂化,单纯依靠防火墙已经不能满足网络平安的需要。防火墙只能配置在网络边界上,对于来自网络内部的大量攻击无能为力,而事实上有80%的经济损失都来自于内部的攻击。这种背景下,入侵检测系统〔IntrusionDetectionSystem,IDS〕应运而生。入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程。它不仅可以检测来自外部的入侵行为,同时也可以监控内部用户的非授权行为。IDS是一个动态的防御系统,它可以识别防火墙不能识别的攻击。IDS技术经过这些年的开展已经出现了不少商业IDS产品,但这些产品大多比拟昂贵,无法满足更大层面上的用户需要。而本文所介绍的Snort是一个开放源码的IDS,且高效稳定,在全世界范围内被广泛安装和使用〔据统计已超过100000例〕。2CIDF模型CIDF(CommonIntrusionDetectionFramework)模型是1999年美国国防高级研究工程局(DARPA)提出的通用入侵检测框架模型。该模型旨在提高IDS产品、组件及其他平安产品之间的互操作性。如图1所示是CIDF的体系结构。天道酬勤图1CIDF体系结构CIDF将一个入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库四个组件。CIDF将IDS需要分析的数据统称为事件〔Event〕,它可以是基于网络的入侵检测系统从网络中提取的数据包,也可以是基于主机的入侵检测系统从系统日志等其他途径得到的数据信息。CIDF组件之间是以通用入侵检测对象〔GIDO〕的形式交换数据的。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件,并将这些事件转换成CIDF的GIDO格式传送给其他组件。事件分析器负责分析从其他组件收到的GIDO,并将产生的分析结果传送给其他组件。事件数据库用来存储GIDO,以...
