返回
基于snort的ipv6入侵检测系统的研究

基于snort的ipv6入侵检测系统的研究

ID:24551167

大小:54.00 KB

页数:7页

时间:2018-11-14

基于snort的ipv6入侵检测系统的研究_第1页
基于snort的ipv6入侵检测系统的研究_第2页
基于snort的ipv6入侵检测系统的研究_第3页
基于snort的ipv6入侵检测系统的研究_第4页
基于snort的ipv6入侵检测系统的研究_第5页
资源描述:

《基于snort的ipv6入侵检测系统的研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于SNORT的IPv6入侵检测系统的研究摘要:伴随着X络安全技术的飞速发展和逐步完善,入侵检测技术作为一种主动安全防护技术,不仅为系统提供了完善的内部攻击、外部攻击和误操作等威胁的防范方案,更可以做到早发现早处理,在X络系统受到切实损害之前进行拦截和预处理。在基于SNORT软件包的基础上,基于IPv6协议的入侵检测系统的提出为未来的X络安全提供了新鲜的血液。关键词:关键词:SNORT软件包;入侵检测;X络安全中图分类号:TP302.1文献标识码:A:1.SNORT入侵检测系统概述1.1SNORT入侵检测系统架构SNORT入侵检测系统包括三个重要的组成子

2、系统:数据包嗅探和解析子系统、检测引擎子系统、日志记录和报警子系统。首先使用数据包嗅探系统从X卡上捕获数据包发送给数据包解析系统,通过数据包解析子系统中的数据包解码器对数据包进行解码及预处理。然后检测引擎子系统接收分析结果并且对其进行规则匹配。最终根据不同的匹配结果对数据包进行相应的处理操作。入侵检测系统的另一种分类方法可以把SNORT入侵检测系统架构分解为以下几个模块:数据包解析模块、预处理模块、检测引擎模块和预警信息记录输出模块。数据包解析模块和上文中的数据包嗅探和解析子系统功能相似,同样是实现X络数据信息获取并且对其进行解析处理。不同点是数据包解析

3、模块会将解析后的数据存入相应的数据格式,而不是直接发送给检测系统。预处理模块的功能包括报文的分片重组和数据流重组预处理等。检测引擎模块实现基于规则的模式匹配过程,它不仅包含种种的检测插件,重点是它能够检测出入侵行为。预警信息记录模块能够详细记录检测信息和预警信息并且能够实现各种报文日志功能。1.2SNORT入侵检测系统工作原理对于入侵检测系统的分类,业界并未使用统一的标准,并且由此衍生了不同的入侵检测系统分类方法。根据检测数据的来分,入侵检测系统大体分为从主机获取数据的入侵检测系统和从X络获取数据的入侵检测系统两种。根据检测机制的不同,入侵检测系统可以分

4、为基于异常的入侵检测系统和基于误用的入侵检测系统。这两种分类方法恰好能够将SNORT入侵检测系统的属性详细的刻画出来,SNORT入侵检测系统是一种从X络获取数据的基于异常检测机制的入侵检测系统。除此之外,SNORT入侵检测系统的特点还包括支持跨平台应用、代码冗余小、结构清晰和易于扩展等。不得不说SNORT是入侵检测系统中的杰出代表。系统的初始化部分会充分按照系统配置文件和初始化命令要求对系统进行初始化操作,这一过程包含了匹配算法的重定义、规则文件的更新和各个子系统和插件的重置。上文中对SNORT的各个子系统和模块有了简单的介绍,这里我们将其具体的工作流程

5、介绍一下。数据包捕获模块在捕获X络数据包之前需要一部必要的配置工作:将X卡设置为混杂模式。因为只有X卡在这种模式下入侵检测系统才能够获取被保护X段上的数据包。数据解析模块按照捕获数据包的类型将数据包进行相应处理。由于原数据包为了方便传输协议而采用的特定数据结构会给检测匹配带来不便,所以数据解析模块会转换数据包的数据结构。预处理模块的主要功能是对捕获的数据包进行应用层的解析操作和根据实际需求进行分段重组或建立流状态等预处理。最后,作为SNORT入侵检测系统的核心模块,检测模块采用快速匹配算法将经过以上几个模块捕获和预处理的数据包进行规则匹配。一旦发现符合入

6、侵数据包规则匹配的数据包,马上发送该数据包给响应模块。响应模块会对入侵数据包做出反馈,包括对系统管理员发出预警、立即阻断入侵数据接收和更新检测日志等。2.IPv6协议概述2.1IPv6协议报文众所周知,以太X帧中包括6字节的源MAC地址、6字节的目的MAC地址、2字节的协议类型和源数据。IPv6报文的头部是由固定报文段和扩展报文段两部分组成的。其中固定报文段是每个IPv6报文必不可少的基本报文头部,而扩充报文段在常规应用中起到了视具体报文功能来选择IPv6报文通用模式的功能。通用的IPv6报文规范包括一个固定长度的基本报文段和一个可变长度的扩充报文段。一

7、个可以被正常引用的IPv6报文可以没有扩充报文段,但是不能缺少基本报文段。当前IPv6报文在使用中常规的扩充报文段包括信道选择报文段、路由选择报文段、分段报文段、认证信息报文段、封装有效载荷信息报文段、上层协议应用报文段和基本报文段等。2.2IPv6数据报IPv6数据报中主要封装了TCP数据信息。详细内容包含40字节的IPv6首部、20字节的TCP首部和不固定长度的TCP源数据。作为IPv6体系架构中的一个重要组成部分,ICMPv6不但涵盖了IPv4中的全部功能并且精简了IPv4中的无用信息类型。除此以外,ICMPv6将IPv4中的部分功能进行了合并,例

8、如IPv4中的RP协议、IGMP和ICMP被合并为统一模块大大简化了数据报的格式

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。