【正文】 aly Deteetion Engine)插件，Snort能夠報告非正常的可疑包，從而對端口掃描進行有效的檢測。將來，可能提供對ARP，ICRP，GRE，OSPF。采用插入式檢測引擎，可以作為標準的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)使用。就檢測攻擊的種類來說，Snort檢測規(guī)則包括對緩沖區(qū)溢出，端口掃描和CGI攻擊等等。入侵檢測被認為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。隨著網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，比如電子商務(wù)、電子現(xiàn)金、數(shù)字貨幣、網(wǎng)絡(luò)銀行等興起，以及各種專用網(wǎng)的建設(shè)，使網(wǎng)絡(luò)安全問題顯得越來越重要。在信息化社會中，計算機通信網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)、交通、電文教等方面的作用日益增大。更為嚴重的是攻擊者可以刪除數(shù)據(jù)庫的內(nèi)容，摧毀網(wǎng)絡(luò)的節(jié)點，釋放計算機病毒，直到整個企業(yè)網(wǎng)絡(luò)陷入癱瘓。Snort運行在LibpoaP庫函數(shù)基礎(chǔ)之上，系統(tǒng)代碼遵循GNU/GPL協(xié)議。 Snort系統(tǒng)工作原理Snort作為一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)，其工作原理為在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動的角度檢測異常行為，進而采取入侵的預(yù)警或記錄。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時地發(fā)出報警。使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，當前支持的數(shù)據(jù)庫包括:Postgresql，MySQL，oraCle、任何unix0DBC數(shù)據(jù)庫等。4).擴展性能較好，對于新的攻擊威脅反應(yīng)迅速作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，Snort有足夠的擴展能力。發(fā)現(xiàn)新的攻擊后，可以很快根據(jù)其特征碼，寫出檢測規(guī)則。對這些軟件進行合理地選擇、集成，可以形成一套比較完善的網(wǎng)絡(luò)入侵檢測系統(tǒng)。因此，對Snort系統(tǒng)的研究無疑具有很大的商業(yè)意義。2)具體分析了Snort的一些典型規(guī)則，對其特點進行了總結(jié)。第二章入侵檢測系統(tǒng)本章介紹了入侵檢測系統(tǒng)的基本原理入侵檢測是指通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應(yīng)。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當強的堅固性，防止被篡改而收集到錯誤的信息。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。4)物理形式的入侵信息這包括兩個方面的內(nèi)容，一是未授權(quán)的對網(wǎng)絡(luò)硬件連接。1)模式匹配模式匹配就是將收集到的信息與己知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。識別特定類型的攻擊，并向相應(yīng)人員報警，以作出防御反應(yīng)它們不能分析網(wǎng)絡(luò)繁忙時所有事務(wù)l)基于主機的入侵檢測系統(tǒng)主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。它可以很容易地監(jiān)控系統(tǒng)的一些活動，如對敏感文件、目錄、程序或端口的存取。.不需要額外的硬件基于主機的入侵檢測系統(tǒng)的主要缺點是:它會占用主機的資源，在服務(wù)器上產(chǎn)生額外的負載。基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機的入侵檢測所無法提供的功能。視野更寬可以檢測一些主機檢測不到的攻擊，如淚滴(teardroP)攻擊，基于網(wǎng)絡(luò)SYN洪水等?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進行實時攻擊的檢測。在交換環(huán)境下難以配置。這三種入侵檢測系統(tǒng)具有互補性，基于網(wǎng)絡(luò)的入侵檢測能夠客觀地反映網(wǎng)絡(luò)活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū):而基于主機的和基于應(yīng)用的入侵檢測能夠更加精確地監(jiān)視系統(tǒng)中的各種活動。與異常入侵檢測不同，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。 根據(jù)體系結(jié)構(gòu)分類按照體系結(jié)構(gòu)，IDS可分為集中式、等級式和協(xié)作式三種。這種結(jié)構(gòu)也存在一些問題:首先，當網(wǎng)絡(luò)拓撲結(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應(yīng)的調(diào)整:第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級的檢測服務(wù)器進行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進。2)應(yīng)用層入侵檢測許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如WEB之類的通用協(xié)議，而不能處理如LOtusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。第三章Snort系統(tǒng)結(jié)構(gòu)分析本章詳細介紹了Snort系統(tǒng)的基本結(jié)構(gòu)框架及工作流程。如果當前數(shù)據(jù)包符合某條檢測規(guī)則所指定的情況，則系統(tǒng)可根據(jù)該條規(guī)則所定義的響應(yīng)方式以及輸出模塊的初始化定義情況，選擇進行各種方式的日志記錄或報警操作。而后調(diào)用SetPktprocessor函數(shù)，獲得當前網(wǎng)絡(luò)接口層的協(xié)議類型，保存到全局變量Grinder中。下面對部分命令行參數(shù)結(jié)合PV結(jié)構(gòu)相應(yīng)字段及后文配置規(guī)則CONFIG的相應(yīng)關(guān)鍵字進行說明。而無需重新編譯。由于這兩個API的級別不同，前者能夠直接訪問到驅(qū)動程序，便于實現(xiàn)一些底層的功能，而后者與Unix系統(tǒng)中使用的libpcap兼容，所以基于它所編寫的程序在Windows系統(tǒng)和Unix系統(tǒng)中都可以運行。失敗時返回NULL，ermrbuf包含了失敗原因。snort系統(tǒng)中定義了函數(shù)openPcap用以打開相應(yīng)WinpcaP接口。指向各層各協(xié)議報文頭結(jié)構(gòu)的指針每層包含的主要協(xié)議類應(yīng)用層簡單郵件傳輸協(xié)議SMTP超文本傳輸協(xié)議HTTP文件傳輸協(xié)議FTP域名服務(wù)協(xié)議INS簡單網(wǎng)絡(luò)管理協(xié)議傳輸層TCPＩＰ網(wǎng)絡(luò)層ＩＰ/ICNP/ARP/PARP網(wǎng)絡(luò)接口層 主要函數(shù)l)SetPktProeessor根據(jù)當前數(shù)據(jù)包所使用的不同網(wǎng)絡(luò)接口層協(xié)議，選擇該層不同的數(shù)據(jù)包解析函數(shù)，并存于指針Grinder中.2)ProeessPacket啟動對一個數(shù)據(jù)包的處理過程。 ProcessPacket函數(shù)流程4)網(wǎng)絡(luò)層協(xié)議解析函數(shù)Deeodeipoptions解析Ip報文頭中的選項字段各層協(xié)議的解析函數(shù)有大致相同的工作流程，即先套用相應(yīng)協(xié)議的頭結(jié)構(gòu)，如果存在選項字段(僅限TCP和IP的解析函數(shù))，則調(diào)用相應(yīng)選項字段解析函數(shù)，最后調(diào)用上層相應(yīng)協(xié)議解析函數(shù)(傳輸層解析函數(shù)除外)，解析結(jié)果存入Packet結(jié)構(gòu)相應(yīng)字段中。具體過程為:首先設(shè)置檢測狀態(tài)標識D。檢測細節(jié)就是用當前規(guī)則鏈表選項節(jié)點所屬的檢測函數(shù)列表中的各檢測函數(shù)依次匹配當前數(shù)據(jù)包中的相應(yīng)信息，如果與某一節(jié)點所有檢測函數(shù)完全匹配，則調(diào)用相應(yīng)輸出函數(shù)。但前者的優(yōu)先級高于后者，如果在運行時指定了命令行的輸出開關(guān)，在Snort規(guī)則文件中指定的輸出插件會被替代，這也就是說，如果在命令行解析完畢后己經(jīng)生成了相應(yīng)的輸出鏈表(alertList，LogList)，輸出規(guī)則解析就將被忽略。這種實現(xiàn)方式非常靈活，便于用戶實現(xiàn)對系統(tǒng)的二次開發(fā)。Snort可以與多種數(shù)據(jù)庫相連,PostSQL,MySQL,Oracle等,本論文選用MySQL,實現(xiàn)過程如下。安裝帶有MySQL支持的Snort,并在MySQL數(shù)據(jù)庫中創(chuàng)建一個Snort用戶并設(shè)立安全保護。Snort的操作主要是在DOS環(huán)境下,而且規(guī)則配置、查看日志記錄信息等操作比較分散,運用ACID輔助Snort大大方便了用戶使用,其操作過程見圖1。 圖1 ACID輔助Snort操作原理在安裝ACID之前首先要做以下兩個工作:安裝ADODB,為ACID提供便捷的數(shù)據(jù)庫接口。系統(tǒng)結(jié)構(gòu)靈活而嚴謹，移植性很好，‘而且實現(xiàn)的功能也非常強大?？墒遣荒芮袛嚯[藏在正常數(shù)據(jù)包中的黑客攻擊試圖。 Snort檢測器(探針)的部署一般說來，檢測器放在防火墻附近比較好，可以有以下幾種選擇:l)放在防火墻之外檢測器通常放置在防火墻界面之外的DMZ中(Demilitarizedzone，非軍事區(qū))?？梢詸z測來自內(nèi)部和外部的攻擊。中央分析控制服務(wù)器和探針之間的通信采用SSL加密傳輸。其中協(xié)同代理軟件SnortCenter Agent是向中央分析控制服務(wù)器報告攻擊信息的軟件，是分布式入侵檢測系統(tǒng)的一個重要部件，是SnortCenter進行探針管理的代理工具。為保證不受攻擊探針一使用無IP地址的網(wǎng)卡進行監(jiān)聽以保證網(wǎng)絡(luò)入侵檢測系統(tǒng)自身的安全:通過另一塊網(wǎng)卡接入內(nèi)網(wǎng)并為其分配內(nèi)網(wǎng)所使用的私有伊地址，以便從內(nèi)網(wǎng)訪問分析控制臺程序ACID。中央分析控制服務(wù)器和各探針都是運行在已經(jīng)被淘汰的服務(wù)器主機或者工作量比較小的服務(wù)器主機上。以上都是蠕蟲文件的可執(zhí)行程序，它們之間的區(qū)別只是文件名不同[]它利用了IE5(或者說OES)的一個漏洞。4)通過局域網(wǎng)Nimda會搜索本地的共享目錄中包含doc文件的目錄，一但找到，就會把自(原理見前文)。45/3235/var/log/“‘一““““‘’‘’“‘一‘一‘’“‘一‘一‘一“““‘}}}}YourIP address or Network here+}}{}}}AnunouDIinthisIntervallLogfileofportsbeingeonneeted一+}}}}(inseoonds)一+印ath/name)，創(chuàng)建后門:1)Nimda打開的ud到69雖然目的并不是作后門，但的確是一個后門。nanle二，””，”””:base64Content一ID:EA4DMGBpgp另外，如果文件夾是“按web頁查看”，如果把擴展名改為mht也是可以的，}，只是出現(xiàn)的幾率很小。Windows系，那不是Nimdao[]，還有可能出現(xiàn)在任何有*.doc文件的文件夾里。還可以發(fā)現(xiàn)一些內(nèi)網(wǎng)對外部的攻擊。整個系統(tǒng)的安裝與配置并不復(fù)雜，不做贅述，可參見各軟件相應(yīng)說明。SnortCenter是一個基于Web的Snort探針和規(guī)則管理系統(tǒng)，用于遠程修改探針的配置，啟動、停止探針，更新Snort特征碼規(guī)則。2)工作站各工作站主要用于網(wǎng)頁維護和網(wǎng)站日常管理。2)放在防火墻之內(nèi)這樣做也有幾個理由，如果攻擊者發(fā)現(xiàn)檢測器，就可能對其進行攻擊，從而減少攻擊者的行動被審計的機會，防火墻內(nèi)的系統(tǒng)會比外面的系統(tǒng)脆弱性少一些:如果檢測器在防火墻內(nèi)會少一些干擾，從而有可能減少誤報警。)在遭到黑客攻擊后，因防火墻不保留數(shù)據(jù)包內(nèi)容的日志，所以事后無法把日志作為監(jiān)查日志，而入侵檢測系統(tǒng)把數(shù)據(jù)包內(nèi)容完整的作為日志保留，可用于事后的監(jiān)查資料。目前的網(wǎng)絡(luò)安全技術(shù)主要包括:網(wǎng)絡(luò)反病毒技術(shù)、防火墻技術(shù)、加密技術(shù)、電子認證技術(shù)、入侵檢測技術(shù)等。最后,進入DB界面,完成ACID和數(shù)據(jù)庫的關(guān)聯(lián),ACID就可以對外部數(shù)據(jù)庫進行訪問了。數(shù)據(jù)分析平臺見圖2。Snort的日志文件將存儲在相應(yīng)的數(shù)據(jù)庫內(nèi)。在這里設(shè)置服務(wù)器的名稱、端口、服務(wù)密碼等信息。因此可以將Snort得到的入侵數(shù)據(jù)發(fā)送到數(shù)據(jù)庫并借助于Web界面來分析,這樣就可以讓使用者對捕獲的數(shù)據(jù)有更加直觀的認識。 系統(tǒng)結(jié)構(gòu)特點 模塊化結(jié)構(gòu)Snort系統(tǒng)功能是由主模塊、命令行解析、數(shù)據(jù)包截獲、數(shù)據(jù)包解析、規(guī)則解析、檢測引擎和輸出模塊具體實現(xiàn)的。對于一個鏈表組，先按照數(shù)據(jù)包的協(xié)議類型選擇相應(yīng)的二維鏈表，然后依次匹配鏈表頭，如果與某一鏈表頭發(fā)生匹配，則依次匹配該鏈表頭所屬的規(guī)則選項鏈表，如果與規(guī)則選項鏈表某一節(jié)點匹配，則調(diào)用相應(yīng)的輸出函數(shù)。4)Evalheader遞歸調(diào)用自身實現(xiàn)遍歷搜索二維規(guī)則鏈表，實現(xiàn)對當前數(shù)據(jù)包的規(guī)則檢測匹配工作，其間調(diào)用函數(shù)Eval叩ts對當前規(guī)則鏈表頭所連接的選項節(jié)點進行遍歷檢測。隨后調(diào)用傳輸層協(xié)議解析函數(shù)做類似處理。DeeodeARP解析采用ARP協(xié)議作為網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)包5)傳輸層協(xié)議解析函數(shù)DecodeETHPKT解析采用ETHERNET作為網(wǎng)絡(luò)接口層協(xié)議的數(shù)據(jù)包用于IP，TCP協(xié)議選項解碼的結(jié)構(gòu)數(shù)組 OpenPCaP函數(shù)流程圖Snort調(diào)用庫函數(shù)pcaP_loop，啟動獲取數(shù)據(jù)包的過程，該函數(shù)作用在于循環(huán)調(diào)用pcap_read函數(shù)，不斷獲取數(shù)據(jù)包，同時每獲取一數(shù)據(jù)包，調(diào)用ProcessPacket函數(shù)，啟動對數(shù)據(jù)包的解析。5)pcaP_setfilter()該函數(shù)用于設(shè)置過濾規(guī)則。NDIS還支持多種工作模式，支持多處理器，提供一個完備的NDIS庫(Library)。、功能更加強大的函數(shù)調(diào)用。WinPcap包括三個部分第一個模塊NPF(NetgrouP Packet Filter)，是一個虛擬設(shè)備驅(qū)動程序文件。最后關(guān)閉數(shù)據(jù)包截獲設(shè)備，釋放資源退出，實際初始化部分將數(shù)據(jù)包截獲總數(shù)設(shè)為無限個，使系統(tǒng)進入無限循環(huán)處理的過程中，除非出錯，不會退出。 主函數(shù)分析各處理模塊初始化，調(diào)用命令行參數(shù)解析，調(diào)用檢測規(guī)則解析，啟動數(shù)據(jù)包截獲和處理。而后調(diào)用規(guī)則解析模塊，實質(zhì)是構(gòu)建規(guī)則鏈表。從而設(shè)計通用的入侵檢測測試與評估方法與平臺，實現(xiàn)對多種IDS系統(tǒng)的檢測己成為當前IDS的另一重要研究與發(fā)展領(lǐng)域。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信，使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對數(shù)據(jù)分析也提出了新的要求。隨著網(wǎng)絡(luò)規(guī)模的增加，主機審計程序和服務(wù)器之間傳送的數(shù)據(jù)量就會驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。2)誤用檢測在誤用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。異常入侵檢測試圖用定量的方式描述可以接受