王 麗 郭 磊

（1.西華師范大學(xué) 網(wǎng)絡(luò)中心，四川 南充 637000；2.西華師范大學(xué) 實(shí)驗(yàn)中心，四川 南充 637000）

1 入侵檢測的簡述

入侵檢測系統(tǒng)（Intrusion Detection System，IDS）[1]作為一種積極主動的安全防御手段，對給網(wǎng)絡(luò)系統(tǒng)帶來危害的攻擊進(jìn)行攔截和及時(shí)的入侵響應(yīng)。入侵檢測技術(shù)已成為當(dāng)今網(wǎng)絡(luò)安全體系的重要組成部分。

IDS 的優(yōu)點(diǎn)是能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，對內(nèi)外攻擊和誤操作能夠?qū)崟r(shí)報(bào)警，并且不影響網(wǎng)絡(luò)性能。性能好的的入侵檢測系統(tǒng)，能使網(wǎng)絡(luò)管理員隨時(shí)了解系統(tǒng)的任何變化，并能夠及時(shí)提供處理的策略。由于系統(tǒng)的配置、操作、管理都很簡單，這樣就使管理人員更加容易了解和運(yùn)用。IDS 發(fā)現(xiàn)非法入侵時(shí)，它有日志報(bào)警系統(tǒng)，這樣更加方便網(wǎng)管人員管理。

2 簡述Snort

Snort 是一款簡單，方便使用，開放性的免費(fèi)軟件，它是入侵檢測系統(tǒng)的一款輕量級軟件。Snort 具有檢測引擎能夠檢測數(shù)據(jù)包，并將數(shù)據(jù)包以日志的方式記錄下了，并且它又具有報(bào)警日志，它能夠有效地保護(hù)系統(tǒng)信息的安全。

它具有八個優(yōu)點(diǎn)：

（1）Snort 是一款方便使用的軟件，任何人都可以自由使用它，它的代碼簡潔，而且占用空間很小，一般只有100k 到200k 左右。

（2）它能對TCP、UDP、ICMP 等協(xié)議進(jìn)行分析。

（3）為了方便管理員調(diào)用各種插件模塊，該系統(tǒng)使用了插件的形式。比如使用UDP 流插件，可以對UDP 包進(jìn)行重組。對端口進(jìn)行有效地檢測，就使用了SPADE 插件，這樣Snort 就能夠準(zhǔn)確的報(bào)告可疑包。

（4）Snort 的兼容性很強(qiáng)，可以跨平臺的使用。例如在UNIX 和Windows 上均可以使用。

（5）由于Snort 管理和配置都比較簡單，系統(tǒng)靈活性強(qiáng)，使得非專業(yè)人員可以容易地使用它?；赟nort 的入侵檢測的規(guī)模可以隨著系統(tǒng)架構(gòu)、系統(tǒng)所要面臨的威脅以及希望網(wǎng)絡(luò)所要達(dá)到的目標(biāo)而發(fā)生改變。

（6）Snort 可監(jiān)控1000M 的高速網(wǎng)絡(luò)。

（7）現(xiàn)在的Snort 版本能夠支持的很多數(shù)據(jù)庫，這為構(gòu)建基于Snort 入侵檢測系統(tǒng)提供了條件。

我們了解了Snort 具有如此多的特點(diǎn)，它作為一款免費(fèi)的、簡單、高效能、健壯性好、擴(kuò)展性強(qiáng)的的入侵檢測系統(tǒng)，因此隨著網(wǎng)絡(luò)迅速發(fā)展，它也越來越受到人們的追捧。

3 BM 算法

BM 算法是用來提高匹配速度，從而構(gòu)造一個輔助模式函數(shù)。BM算法在進(jìn)行字符串匹配的時(shí)候包含兩個并行的算法：壞字符規(guī)則和好后綴規(guī)則，也就是所謂的bad-character shift，good-suffix shift，來決定字符不匹配時(shí)向后跳躍的距離[2]。S 串作為目標(biāo)串，P 串作為模式串。

在匹配的過程中，P 串中的H 字符與S 串中的C 字符沒有匹配上，判斷C 字符是否在P 串中，C 字符不在P 串中，那么不可能匹配成功，所以這時(shí)要直接跳到S 串C 字符的后面，繼續(xù)進(jìn)行匹配。

S="ABDCEABCE"，P="DCEA"

圖1 字符在模式串中出現(xiàn)的情況

在匹配的過程中，P 串中的A 字符與S 串中的C 字符沒有匹配上，這時(shí)判斷C 是否在P 存在C 字符，如果存在，則從P 串從右邊數(shù)第一個C 字符與S 串中的C 對齊，繼續(xù)匹配。

第二個規(guī)則"good-suffix shift"，按下面的數(shù)學(xué)公式來表示。

S="abcecabcabc"，P="abcab"

圖2 好后綴在P 串中未匹配成功

S 串中字符串m="cab"部分與P 串中的字符匹配成功的，S 串的e與P 串中的b 匹配不成功，如果m 部分在P 串的前端不能找到，那么在P 串中找到n="ab"與m 中的"ab"對齊，再進(jìn)行同樣方法繼續(xù)進(jìn)行匹配，直到匹配成功。

4 虛擬局域網(wǎng)的作用

4.1 防范廣播風(fēng)暴

將網(wǎng)絡(luò)劃分為多個虛擬局域網(wǎng)，這樣可以限制網(wǎng)絡(luò)上的廣播。將整個大的網(wǎng)段劃分成幾個規(guī)模小的虛擬網(wǎng)段，這樣就可以有效的防止廣播風(fēng)暴。虛擬局域網(wǎng)本身就具有一定安全性，為了更好的保護(hù)網(wǎng)絡(luò)的安全，它還提供了建立防火墻的機(jī)制和建立入侵檢測系統(tǒng)的機(jī)制。

由于交換機(jī)具有廣播數(shù)據(jù)的功能，劃分虛擬局域網(wǎng)之后數(shù)據(jù)就不會從一個虛擬局域網(wǎng)段廣播到另外一個虛擬局域網(wǎng)段，同理的道理，在同一個交換機(jī)上的相同的端口不會收到其它交換機(jī)不同的端口產(chǎn)生的廣播數(shù)據(jù)[3]。這樣可以控制廣播數(shù)據(jù)的傳播，也可以控制網(wǎng)絡(luò)流量，從而將流量分給用戶，減少廣播風(fēng)暴的產(chǎn)生，這也是利用虛擬局域網(wǎng)技術(shù)提高Snort 入侵檢測系統(tǒng)性能的良策。

4.2 VLAN 的安全性

由于網(wǎng)絡(luò)技術(shù)越來越完善，但是網(wǎng)絡(luò)黑客技術(shù)也越來越“高明”，如何保障網(wǎng)絡(luò)安全，就顯得更加重要。比如對于一個公司的財(cái)務(wù)，用戶資料等重要數(shù)據(jù)如何能與網(wǎng)絡(luò)的其余部分分開，以此來降低信息的泄露。虛擬局域網(wǎng)技術(shù)就可以滿足用戶的需求。將不同功能的網(wǎng)段劃分開來，使數(shù)據(jù)傳輸相互隔離，互不干擾，即不同VLAN 的用戶不能直接通信。不同VLAN 進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備來加以實(shí)現(xiàn)[4]。

5 總結(jié)

對IDS 系統(tǒng)的功能及分類進(jìn)行了詳細(xì)的介紹。對Snort 的IDS 系統(tǒng)的結(jié)構(gòu)、功能等進(jìn)行了闡述。闡述在虛擬局域網(wǎng)中，提高Snort 系統(tǒng)的檢測性能。模式匹配算法研究的主要方向就是提高算法的檢測性能和減少系統(tǒng)資源占用率。選擇合適的模式匹配算法是入侵檢測的發(fā)展動向。

［1］入侵檢測技術(shù)簡介-網(wǎng)絡(luò)安全頻道[OL].http://www.baidu.com/link?url=imUNG.

［2］入侵檢測_百度百科[OL].http://www.baidu.com/link?url=o72VG.

［3］虛擬局域網(wǎng)_百度百科[OL].http://www.baidu.com/link?url=97UKG.

［4］虛擬局域網(wǎng)_百度百科[OL].http://www.baidu.com/link?url=inAHG.