基于Snort的分布式網(wǎng)絡(luò)縱深防御系統(tǒng)模型的研究.pdf

1、隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)安全問題越來越顯得突出。無論是傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)安全技術(shù)(如防病毒、防火墻等)，還是動(dòng)態(tài)網(wǎng)絡(luò)安全技術(shù)(如入侵檢測系統(tǒng)、入侵防御系統(tǒng)等)，如果單獨(dú)使用，都難以應(yīng)對目益先進(jìn)和復(fù)雜的網(wǎng)絡(luò)入侵。因此，網(wǎng)絡(luò)縱深防御，勢在必行。 網(wǎng)絡(luò)縱深防御，從技術(shù)上講，就是要在主機(jī)、網(wǎng)絡(luò)和系統(tǒng)邊界等各個(gè)網(wǎng)絡(luò)環(huán)節(jié)，實(shí)現(xiàn)預(yù)警、防護(hù)、檢測、響應(yīng)和恢復(fù)等安全內(nèi)容。其中，檢測和響應(yīng)是關(guān)鍵環(huán)節(jié)。而開源軟件Snort，作為一種

2、高性能的跨平臺、輕量級的入侵檢測系統(tǒng)，隨著inline功能的加入，又可方便地成為入侵防御系統(tǒng)，從而同時(shí)具備了入侵檢測和主動(dòng)響應(yīng)能力，可在網(wǎng)絡(luò)縱深防御之中大顯身手。因此，構(gòu)建基于Snort的網(wǎng)絡(luò)縱深防御系統(tǒng)，很有必要。 基于以上原因，我們以網(wǎng)絡(luò)縱深防御為安全策略，以開源軟件Snort為基礎(chǔ)，采用分布式體系結(jié)構(gòu)，結(jié)合多傳感器數(shù)據(jù)融合技術(shù)，構(gòu)建了一個(gè)分布式網(wǎng)絡(luò)縱深防御系統(tǒng)。該系統(tǒng)可以從大規(guī)模網(wǎng)絡(luò)中異構(gòu)分布的傳感器上融合數(shù)據(jù)，從而更好地

3、了解整個(gè)網(wǎng)絡(luò)空間的情況，成功地檢測和防御利用網(wǎng)絡(luò)進(jìn)行的協(xié)同攻擊。不但克服了Snort局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對大規(guī)模異構(gòu)網(wǎng)絡(luò)的監(jiān)測明顯不足的問題，并且解決了目前流行的分布式入侵檢測系統(tǒng)對網(wǎng)絡(luò)入侵響應(yīng)不主動(dòng)和不及時(shí)的問題。 此外，由于采用了層次化的分布式體系結(jié)構(gòu)，綜合了各種網(wǎng)絡(luò)安全技術(shù)的優(yōu)點(diǎn)，該系統(tǒng)具有很好的抗攻擊性、可擴(kuò)充性和高適應(yīng)性，實(shí)現(xiàn)了分布式的入侵檢測/防御和集中式管理控制，并對防御的強(qiáng)度、網(wǎng)絡(luò)的性能和安全的成本進(jìn)行了