【正文】 測(cè)系統(tǒng)的基本原理入侵檢測(cè)是指通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時(shí)做出響應(yīng)。第三章為系統(tǒng)結(jié)構(gòu)分析，主要用流程圖的形式細(xì)致的描述了整個(gè)Snort系統(tǒng)的基本架構(gòu)和各模塊工作流程。2)具體分析了Snort的一些典型規(guī)則，對(duì)其特點(diǎn)進(jìn)行了總結(jié)。對(duì)于Snort規(guī)則的研究也不徹底，缺乏細(xì)致的剖析。因此，對(duì)Snort系統(tǒng)的研究無(wú)疑具有很大的商業(yè)意義。同時(shí)，研究Snort系統(tǒng)對(duì)于改變國(guó)內(nèi)目前入侵檢測(cè)系統(tǒng)研發(fā)的落后局面，也具有非常重要的意義。對(duì)這些軟件進(jìn)行合理地選擇、集成，可以形成一套比較完善的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。但是，Snort系統(tǒng)也有很大的局限性，其系統(tǒng)結(jié)構(gòu)決定了其檢測(cè)規(guī)則只能使用落后的簡(jiǎn)單模式匹配技術(shù)，適應(yīng)目前不斷出現(xiàn)的新的攻擊方式的能力有限:并且它在網(wǎng)絡(luò)數(shù)據(jù)流量很大的時(shí)候容易產(chǎn)生漏報(bào)和誤報(bào)，這對(duì)于目前的寬帶潮流是一個(gè)很大的缺點(diǎn)。發(fā)現(xiàn)新的攻擊后，可以很快根據(jù)其特征碼，寫出檢測(cè)規(guī)則。 Snort支持插件，可以使用具有特定功能的報(bào)告、檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展。4).擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，Snort有足夠的擴(kuò)展能力。使用TCP流插件，可以對(duì)TCP包進(jìn)行緩沖，然后進(jìn)行匹配，使Snort具備了對(duì)付上面這種攻擊的能力。使用數(shù)據(jù)庫(kù)輸出插件，Snort可以把日志記入數(shù)據(jù)庫(kù)，當(dāng)前支持的數(shù)據(jù)庫(kù)包括:Postgresql，MySQL，oraCle、任何unix0DBC數(shù)據(jù)庫(kù)等?，F(xiàn)在Snort能夠分析的協(xié)議有TCP，UDP，ICMP等。能夠快速地檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出報(bào)警。 Snort系統(tǒng)的特點(diǎn)1)Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)Snort雖然功能強(qiáng)大，但是其代碼極為簡(jiǎn)潔、短小，其源代碼壓縮包不到2Ma2)Snort的可移植性很好Snort的跨平臺(tái)性能極佳，目前已經(jīng)支持Linux，Solaris，BSD，IRIX，HP一UX，windows等系統(tǒng)。 Snort系統(tǒng)工作原理Snort作為一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)，其工作原理為在基于共享網(wǎng)絡(luò)上檢測(cè)原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，進(jìn)而采取入侵的預(yù)警或記錄。其次用戶可以根據(jù)自己的需要及時(shí)在短時(shí)間內(nèi)調(diào)整檢測(cè)策略。Snort運(yùn)行在LibpoaP庫(kù)函數(shù)基礎(chǔ)之上，系統(tǒng)代碼遵循GNU/GPL協(xié)議。相應(yīng)的軟件或硬件稱為入侵檢測(cè)系統(tǒng)。更為嚴(yán)重的是攻擊者可以刪除數(shù)據(jù)庫(kù)的內(nèi)容，摧毀網(wǎng)絡(luò)的節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒，直到整個(gè)企業(yè)網(wǎng)絡(luò)陷入癱瘓。隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)性的擴(kuò)大，特別是Internet的出現(xiàn)，網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來(lái)越大。在信息化社會(huì)中，計(jì)算機(jī)通信網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)、交通、電文教等方面的作用日益增大。社會(huì)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴也日益增強(qiáng)。隨著網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，比如電子商務(wù)、電子現(xiàn)金、數(shù)字貨幣、網(wǎng)絡(luò)銀行等興起，以及各種專用網(wǎng)的建設(shè)，使網(wǎng)絡(luò)安全問題顯得越來(lái)越重要。因此，能否成功阻止網(wǎng)絡(luò)黑客的入侵、保證計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全和正常運(yùn)行便成為網(wǎng)絡(luò)管理員所面臨的一個(gè)重要問題。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。Snort是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。就檢測(cè)攻擊的種類來(lái)說，Snort檢測(cè)規(guī)則包括對(duì)緩沖區(qū)溢出，端口掃描和CGI攻擊等等。從檢測(cè)模式而言，Snort屬于是誤用檢測(cè)(Misuse detection)，即對(duì)已知攻擊的特征模式進(jìn)行匹配。采用插入式檢測(cè)引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)使用。Snort的報(bào)警機(jī)制很豐富，例如:syslog、用戶指定的文件、一個(gè)UNIX套接字，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。將來(lái)，可能提供對(duì)ARP，ICRP，GRE，OSPF。使用TCP流插件(tcpstream)，Snort可以對(duì)TCP包進(jìn)行重組。使用Spade(Statistieal Paeket Anomaly Deteetion Engine)插件，Snort能夠報(bào)告非正常的可疑包，從而對(duì)端口掃描進(jìn)行有效的檢測(cè)。它使用一種簡(jiǎn)單的規(guī)則描述語(yǔ)言。Snort當(dāng)前支持的插件包括:數(shù)據(jù)庫(kù)日志輸出插件、碎數(shù)據(jù)包檢測(cè)插件、端口掃描檢測(cè)插件、HTTP URI normalization插件、XML插件等。因?yàn)槠湟?guī)則語(yǔ)言簡(jiǎn)單，所以很容易上手，節(jié)省人員的培訓(xùn)費(fèi)用。 Snort系統(tǒng)的現(xiàn)狀由于遍布世界各地的眾多程序員共同維護(hù)和升級(jí)，目前Snort系統(tǒng)的更新是很快的，其系統(tǒng)結(jié)構(gòu)日趨合理，功能不斷增強(qiáng)，檢測(cè)規(guī)則也不斷增新和完善，但系統(tǒng)的基本架構(gòu)沒有變。Snort作為自由軟件，二次開發(fā)費(fèi)用低廉，預(yù)算比較緊張的企業(yè)，目前廣泛的應(yīng)用Snort作為主要網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。2)商業(yè)應(yīng)用上的意義Snort系統(tǒng)是自由軟件，相對(duì)于昂貴的商業(yè)入侵檢測(cè)系統(tǒng)，應(yīng)用Snort作為入侵檢測(cè)系統(tǒng)和對(duì)其進(jìn)行專用性的二次開發(fā)的費(fèi)用是非常低的。3)對(duì)于保密工作的意義如多數(shù)自由軟件一樣，Snort系統(tǒng)是否含有未知的可能導(dǎo)致泄密的隱藏代碼同樣需要搞清楚，這對(duì)于Snort系統(tǒng)在機(jī)要、國(guó)防方面的應(yīng)用是非常重要的。而本文以系統(tǒng)結(jié)構(gòu)和規(guī)則為主要研究對(duì)象，對(duì)其進(jìn)行詳細(xì)的剖析。3)結(jié)合實(shí)際提出了一個(gè)Snort系統(tǒng)的典型應(yīng)用方案。第四章為Snort規(guī)則的分析與編寫，具體的分析了Snort系統(tǒng)一些具有代表意義的規(guī)則實(shí)例，總結(jié)了Snort規(guī)則的特點(diǎn)，并提出了編寫Snort規(guī)則所要注意的一些問題。入侵檢測(cè)系統(tǒng)(IDs:I咖sionDetectinnsystem)是實(shí)現(xiàn)入侵檢測(cè)功能的一系列的軟件、硬件的組合。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)〔包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。 入侵檢測(cè)系統(tǒng)的構(gòu)成入侵檢測(cè)系統(tǒng)一般由信息收集模塊、信息分析模塊、用戶接口組成。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫(kù)和其它工具。入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面:1)系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測(cè)入侵的必要條件。很顯然地，對(duì)用戶活動(dòng)來(lái)講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。3)程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動(dòng)的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫(kù)服務(wù)器。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。二是對(duì)物理資源的未授權(quán)訪問。黑客就會(huì)利用這個(gè)后門來(lái)訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護(hù)措施，然后捕獲網(wǎng)絡(luò)流量，進(jìn)而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。該過程可以很簡(jiǎn)單(如通過字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令)，也可以很復(fù)雜(如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化)。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。 入侵檢測(cè)系統(tǒng)的用戶接口使得用戶容易觀察系統(tǒng)的輸出信號(hào)，并對(duì)系統(tǒng)行為進(jìn)行控制。跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響可使系統(tǒng)管理人員最新的版本升級(jí)添加到程序中無(wú)法感知公司安全策略的內(nèi)容它們不能總是對(duì)數(shù)據(jù)包級(jí)的攻擊進(jìn)行處理下面就不同的分類依據(jù)及分類結(jié)果分別加以介紹。它通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來(lái)檢測(cè)入侵。當(dāng)有文件發(fā)生變化時(shí)，IDS將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。此外，許多IDS還監(jiān)聽主機(jī)端目的活動(dòng)，并在特定端口被訪問時(shí)向管理員報(bào)警。就這一方面而言，基于主機(jī)的IDS與基于網(wǎng)絡(luò)的IDS互相補(bǔ)充，網(wǎng)絡(luò)部分盡早提供針對(duì)攻擊的警告，而主機(jī)部分則可確定攻擊是否成功。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。缺乏平臺(tái)支持，可移植性差，因而應(yīng)用范圍受到嚴(yán)重限制。2)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽網(wǎng)絡(luò)上的所有數(shù)據(jù)包來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象。實(shí)際上，許多客戶在最初使用IDS時(shí)，都配置了基于網(wǎng)絡(luò)的入侵檢測(cè)。隱蔽性好一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊。還可以檢測(cè)不成功的攻擊和惡意企圖。但是，如果在一個(gè)交換環(huán)境下，就需要特殊的配置。所以攻擊者無(wú)法轉(zhuǎn)移證據(jù)。操作系統(tǒng)無(wú)關(guān)性基于網(wǎng)絡(luò)的IDS作為安全監(jiān)測(cè)資源，與主機(jī)的操作系統(tǒng)無(wú)關(guān)。防入侵欺騙的能力較差。由于這種技術(shù)可以更準(zhǔn)確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來(lái)越受到注意。實(shí)際系統(tǒng)大多是這三種系統(tǒng)的混合體。A刀derson做了如何通過識(shí)別“異常”行為來(lái)檢測(cè)入侵的早期工作。綜上，可根據(jù)系統(tǒng)所采用的檢測(cè)模型，將入侵檢測(cè)分為兩類:異常檢測(cè)和誤用檢測(cè)。所以，可事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。l)集中式這種結(jié)構(gòu)的IDS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。并且，一旦中央服務(wù)器出現(xiàn)故障，整個(gè)系統(tǒng)就會(huì)陷入癱瘓。3)協(xié)作式將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)或網(wǎng)絡(luò)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)或者網(wǎng)段的某些活動(dòng)。隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越重要，信息戰(zhàn)己逐步被各個(gè)國(guó)家重視，信息戰(zhàn)中的主要攻擊“武器”之一就是網(wǎng)絡(luò)的入侵技術(shù)，信息戰(zhàn)的防御主要包括“保護(hù)”、“檢測(cè)”與“響應(yīng)”，入侵檢測(cè)則是其中“檢測(cè)”與“響應(yīng)”環(huán)節(jié)不可缺少的部分。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測(cè)保護(hù)。5)全面的安全防御方案即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。 snort系統(tǒng)的工作流程 Snort系統(tǒng)流程圖整個(gè)系統(tǒng)是由七個(gè)模塊組成的:主模塊、命令行解析、數(shù)據(jù)包截獲、數(shù)據(jù)包解析、規(guī)則解析、檢測(cè)引擎、輸出模塊(需要說明的是，本文把Snort系統(tǒng)作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行分析，所有流程都是以Snort系統(tǒng)的入侵檢測(cè)狀態(tài)為前提的)。接著啟動(dòng)數(shù)據(jù)包的截獲和處理。Snort系統(tǒng)較多的采用了“插件”的模式，這包括檢測(cè)引擎、規(guī)則解析中的預(yù)處理器子模塊、規(guī)則選項(xiàng)關(guān)鍵字子模塊和輸出模塊。系統(tǒng)初始化部分主要包括系統(tǒng)工作模式、系統(tǒng)默認(rèn)根目錄設(shè)置、完整性檢查等等，不贅述。隨后是插件的初始化，包括預(yù)處理器插件(InitPreproeessor)、規(guī)則選項(xiàng)關(guān)鍵字插件(InitPlugins)和輸出插件(hiitoutPutPlugins)。 命令行解析系統(tǒng)采用命令行開關(guān)選項(xiàng)的方式對(duì)系統(tǒng)進(jìn)行配置，也可以采用高級(jí)規(guī)則CONFIG配置系統(tǒng)，實(shí)質(zhì)都是對(duì)PV結(jié)構(gòu)的相應(yīng)字段賦值。 數(shù)據(jù)包的截獲該子系統(tǒng)的功能為捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，Snort系統(tǒng)利用libpe即庫(kù)函數(shù)(Windows下需要llbpeap for Win32，即winpcaP的支持)進(jìn)行采集數(shù)據(jù)，該庫(kù)函數(shù)可以為應(yīng)用程序提供直接從網(wǎng)絡(luò)接口層捕獲數(shù)據(jù)包的接口函數(shù)并可以設(shè)置數(shù)據(jù)包的過濾器以來(lái)捕獲指定的數(shù)據(jù)。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動(dòng)地傳給用戶級(jí)模塊，這個(gè)過程中包括了一些操作系統(tǒng)特有的代碼。在這三個(gè)組件中，他們與操作系統(tǒng)及硬件的關(guān)系是有區(qū)別的，他是與操作系統(tǒng)和硬件相關(guān)的，所以針對(duì)不同的Windows操作系統(tǒng)中需要有不同的設(shè)計(jì)。NDIS(Network Driver Interface Specification)是Microsoft和3Com公司聯(lián)合制定的網(wǎng)絡(luò)驅(qū)動(dòng)規(guī)范，并提供了大量的操作函數(shù)。但庫(kù)中所提供的各個(gè)函數(shù)都是工作在核心模式下的，用戶不宜直接操作，這就需要尋找另外的接口。 WinPcaP工作過程2)peaPopenlive()該函數(shù)用于獲取一個(gè)抽象的包截獲句柄，后續(xù)很多Winpcap函數(shù)將使用該句柄，類似文件操作函數(shù)頻繁使用文件句柄。6)PcaP_loop()該函數(shù)用于捕捉報(bào)文、分發(fā)報(bào)文到預(yù)先指定好的處理函數(shù)(回調(diào)函數(shù))。首先，如果命令行未指定用于截獲數(shù)據(jù)包的設(shè)備或文件接口，則調(diào)用Pcap_lookupdev函數(shù)獲得相應(yīng)接口，然后調(diào)用peap_open_live函數(shù)獲得該接口的描述符，調(diào)用pcap_lookuPnet獲得本地IP地址和掩碼。對(duì)所截獲的數(shù)據(jù)包進(jìn)行各種網(wǎng)絡(luò)協(xié)議的格式分析，并將分析結(jié)果存Packet。源、目的地址、端口號(hào)信息 TCp/IP協(xié)議的分層結(jié)構(gòu)對(duì)于這部分的分析，是與TCP/IP協(xié)議族和分層結(jié)構(gòu)密切相關(guān)的。首先，定義一個(gè)Packet結(jié)構(gòu)類型的變量，用以保存數(shù)據(jù)包解析后的各種信息。DeeodePPPPKT用于解析PPP協(xié)議的數(shù)據(jù)包DecodeIP解析采用IP協(xié)議作為網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)包DecodeTCP解析采用TCP協(xié)議作為網(wǎng)絡(luò)傳輸層協(xié)議的數(shù)據(jù)包應(yīng)用層方面目前沒有系統(tǒng)的解析。所有解析結(jié)果存入Packet數(shù)據(jù)結(jié)構(gòu)的相應(yīng)字段中。_detect為1，表示系統(tǒng)進(jìn)入入侵檢測(cè)狀態(tài)。檢測(cè)細(xì)節(jié)就是調(diào)用當(dāng)前規(guī)則鏈表頭所屬的檢測(cè)函數(shù)列表中的各檢測(cè)函數(shù)依次匹配當(dāng)前數(shù)據(jù)包中的相應(yīng)信息。 ．3 檢測(cè)引擎全流程 Proces加‘ket函數(shù)在