Snort报文嗅探和报文解析实现的剖析

Snort是目前最受关注的一个代码开放网络入侵检测系统(NIDS)。报文嗅探是其最基本也是最重要的部分。该文分析了Snort报文嗅探器的工作方式和工作过程,对Snort报文嗅探和报文解析的实现进行了分析。     

Snort数据包捕获性能的分析与改进

基于Snort的入侵检测系统运行在Linux操作系统平台,捕获数据包的工作是借助Libpcap由Linux操作系统内核完成的。要提高入侵检测系统的效率,首先要保证捕获数据包的效率。本文对Linux的数据包捕获机制进行分析,然后利用NAPI技术和内存映射技术对Snort进行改进。试验结果表明,使用NAPI和内存映射技术后,Snort系统的性能得到明显的改善。     

基于Linux高速报文捕获平台的DDoS入侵检测系统的研究

如何在高速网络环境下实现线速的报文捕获以及上层的安全应用,一直是研究的热点。前期用内存映射和零拷贝等方法实现了基于千兆网卡的高速报文捕获平台NACP,在此基础上,通过使用IP地址的分布与系统资源的使用情况等作为检测参数,在snort工具上实现了防DDoS攻击的入侵检测系统。在NACP上的实验表明,改进的DDoS入侵检测工具snort与高速报文捕获平台兼容性良好,发生DDoS时能迅速检测到并且做出恰当的回应。由于使用了高速报文捕获平台,DDoS检测占用系统资源明显减少,很大程度上提高了系统的效率,系统可以在入侵检测的同时处理其他的事务。     

高效报文捕获引擎FPC的研究与实现

网络监测在现代基于IP的网络中具有越来越重要的作用.随着网络速度的增加,作为网络监测关键部分的报文捕获引擎暴露出了在性能上的不足.FPC是一个Linux下基于内核的高效报文捕获引擎,使用它可以有效提高网络监测等应用的性能.本文首先在硬件层次和软件层次上分析了报文捕获过程中可能的性能瓶颈,然后介绍了FPC的整体结构和实现的关键技术.测试和应用表明,FPC具有良好的性能.     

RTAI下的网络报文捕获平台

针对传统报文捕获机制中内存拷贝冗余、中断处理及上下文切换频繁等弊端,提出在用户空间控制报文传输的思想,采用实时Linux内核及零拷贝思想对网卡驱动进行改造。捕包平台在捕获64 Byte及1 500 Byte的报文时,吞吐量分别达到了473 Mb/s和943 Mb/s,实验结果证明,与传统报文捕获平台相比,新平台的性能有显著提高。     

非正常IP报文的产生与处理

目前。作为安全系统的重要环节。防火墙及入侵检测系统在信息网络中的应用J越来越广泛，只有对IP的知识熟练掌握。才能对网络的安全及时应变。本文从IP协议的角度分析可能被用来制造非正常IP报文的环节以及带来的后果。帮助读者加强网络安全方面的辨别能力．     

基于Linux系统的报文捕获技术研究

网络带宽的不断增加对报文捕获技术提出了挑战。在对Linux系统下传统报文捕获机制深入剖析的基础上,量化分析了报文捕获过程中的性能瓶颈。针对性能瓶颈提出了优化和改进捕包性能的方案。     

传统报文捕获平台性能影响因素分析

目前网络带宽日益增大,普通网络报文捕获平台已经成为大规模宽带网络的入侵检测系统,宽带网络防火墙,高性能路由器等工程的瓶颈。对于日益发展的高速网络,迫切需要分析出普通报文捕获平台的性能瓶颈,研究出高速通信接口,以便有效地提高主机服务器的响应速度。     

Snort体系结构的研究与分析

剖析了开源入侵检测工具Snort的体系结构及其工作配置模式,为中小型网络配置入侵检测系统提供了可行的解决方案.     

IP报文的一种简便捕获方法

通过软件编程,将网卡置于混杂工作模式,可以方便地捕获IP层的数据报文。在数据捕获过程中,网络程序可以正常进行IP报文的收发,Socket套接字的工作不会受到影响。在此基础之上,针对具体项目编程,可以实现IP数据的高效捕获和分析,此方法已成功应用于GPS车辆管理系统的工程调试。在此项目中,此方法的运用,缩短了项目的调试周期,提高了工作效率。     

入侵检测系统中数据包截获技术的研究和设计

介绍了两种重要的网络数据包截获机制,SOCKET-PACKET套接口和BPF过滤机制,然后介绍了Unix下的支持BPF的一种常用的数据包截获技术：Libpcap库,给出其常用的函数,并总结设计出了一个通用的数据包截获程序框架。基于开源入侵检测系统Snort的源代码,详细分析了Snort如何调用Libpcap以实现网络数据包的截获,对该框架进行了进一步的证实和阐述。网络数据包截获机制在其它领域也有广泛的应用,该研究提出的设计思路对于相关开发人员具有重要的参考价值。     

基于BPF和LIBPCAP库的包捕获应用系统的设计

包捕获和包分析是网络管理中使用的基本技术,它可用于网络测试,重构端到端的会话及监测网络运行状况等。本文分析了多种包捕获机制,着重探讨了ＢＰＦ技术,介绍了一个用于用户层包捕获的系统独立的ＡＰＩ接口Ｌｉｂｐｃａｐ库,给出了利用ＢＰＦ和Ｌｉｂｐｃａｐ设计基于包捕获的应用程序的应用框架。     

Snort规则的分析与实现

Snort是一个著名的开源入侵检测系统,经过若干年的发展,已经成为一个稳定、高效的入侵检测系统。通过对Snort及其规则的分析,介绍了Snort的规则组织结构及其规则匹配流程,并在此基础上实现了对于规则的更新和添加功能,便于用户灵活定义新的入侵检测规则,提升了Snort系统的可扩展性和防范入侵攻击的能力。     

基于多采集器网络流量测量系统的设计与实现

网络流量1测量系统提供了一种测量和理解网络流量特性的工具。该文首先介绍了网络流量测量系统框架和当前流行的抓包构件BPF的原理,深入分析了造成基于BPF构件的被动网络测量系统可能的丢包因素,并给出了相应的解决办法;设计和实现了一种基于多采集器的网络流量测量系统;测试表明,与基于单采集器的被动网络流量测量系统相比,该系统明显减少了采集器端的丢包率,提高了系统测量的准确性。     

一种13bit 40MS/s采样保持电路设计

设计了一个用于13bit40MS/s流水线ADC中的采样保持电路。该电路采用电容翻转结构,主运算放大器采用增益提高型折叠式共源共栅结构,以满足高速和高精度的要求。为减小与输入信号相关的非线性失真以获得良好的线性度,采用栅压自举开关。采用电源电压为3.3V的TSMC0.18μm工艺对电路进行设计和仿真,仿真结果表明,在40MHz的采样频率下,采用保持电路的SNDR达到84.8dB,SFDR达到92dB。     

HoneyPot终端信息捕获技术研究与实现

本文从终端输入的工作机理出发,详细介绍了各种基于内核的信息捕获技术,为HoneyPot的构建提供了较为全面的信息捕获的解决方案.     

基于网络的入侵检测系统的研究及实现

随着网络技术的发展，保护信息以及网络的安全变得越来越重要。文中归纳了入侵检测系统的结构和类别，并提出了一个基于网络的入侵检测系统的设计思想。该系统在Linux操作系统下以Snort为内核，MysQL作为后台数据库，用PHP开发实现。最后分析了该系统的可以改进的方面以及网络入侵检测目前面临的问题。     

基于以太网的数据监听方法研究与实现

数据监听是网络数据分析的基础,网络报文捕获作为数据监听的关键技术,被广泛的应用于分布式实时控制系统、网络故障分析、入侵检测系统、计算机取证系统等领域。通过对网络数据监听原理、报文捕获技术的总结和分析,研究了在不同应用环境下实现网络监听的方法,并对网络数据监听技术最新发展情况进行了介绍。     

一种用于流水线ADC的高速采样保持电路

介绍了一种适用于10位80MS/s流水线模数转换器(Pipelined ADC)的采样/保持(S/H)电路。该电路为开关电容结构,以0.25μm CMOS工艺实现。采用栅源电压恒定的栅压自举开关和底极板采样技术,极大地减小了采样的非线性失真。基于该S/H电路的流水线A/D转换器在80MHz采样率下,输入信号为奈奎斯特频率时,无杂散动态范围(SFDR)为84.9dB,有效位数(ENOB)达到10位。     

基于网络的入侵检测系统的研究及实现

随着网络技术的发展,保护信息以及网络的安全变得越来越重要。文中归纳了入侵检测系统的结构和类别,并提出了一个基于网络的入侵检测系统的设计思想。该系统在Linux操作系统下以Snort为内核,MySQL作为后台数据库,用PHP开发实现。最后分析了该系统的可以改进的方面以及网络入侵检测目前面临的问题。