【文章內(nèi)容簡介】 模的網(wǎng)絡(luò)檢測明顯不足，不同的系統(tǒng)之間不能協(xié)同工作。為解決這一問題，需要發(fā)展分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。2）智能化入侵檢測。入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學習與自適應(yīng)能力。3）應(yīng)用層入侵檢測。許多入侵活動的含義只有在應(yīng)用層才能理解。但傳統(tǒng)方法很少涉及到應(yīng)用層，使得一些應(yīng)用系統(tǒng)內(nèi)的入侵活動難以檢測，所以需要開發(fā)應(yīng)用層的入侵檢測技術(shù)。4）全面的安全防御方案。即使用安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。3 網(wǎng)絡(luò)入侵檢測系統(tǒng)(Snort)研究 Snort特點Snort是一個以開放源代碼形式發(fā)行的一個功能強大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，最初由 Martin Roesch編寫，并由遍布世界各地的眾多程序員共同維護和升級。它利用Libpcap從網(wǎng)絡(luò)中采集數(shù)據(jù)并進行分析，從而判斷是否存在可疑的網(wǎng)絡(luò)活動。就檢測模式而言，它基本上是基于誤用檢測技術(shù)，對數(shù)據(jù)進行最直接最簡單的搜索匹配。雖然Snort是一個輕量級的入侵檢測系統(tǒng)，但是它的功能卻非常強大，其特點如下:1）Snort代碼短小，簡潔，而且移植性非常好。目前支持Linux系列，Solaris，BSD系列，IRIX，HPUNIX，Windows系列等。2）Snort具有實時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速檢測網(wǎng)絡(luò)攻擊，及時發(fā)出警報。它提供的警報方式很多，比如Syslog，Unixsocket，WinPopup等。3）Snort能夠進行協(xié)議分析，內(nèi)容的匹配和搜索?，F(xiàn)在它能夠分析的協(xié)議有TCP、UDP、和ICMP。將來可以支持更多IPX、RIP、OSPF等。它能檢測多種方式的攻擊和探測。4）Snort具有靈活的日志格式。支持Tcpdump的二進制格式，也支持ASCll字符形式，也支持XML格式的，使用數(shù)據(jù)庫輸出插件，還支持數(shù)據(jù)庫日志格式。當前支持的數(shù)據(jù)庫有Postagresql、Mysql，任何UnixODBC、Microsoft SQL Server、Oracle等。5）使用TCP流插件，Snort可以對TCP包進行重組。這種能力使得Snort可以對抗“無狀態(tài)”攻擊。無狀態(tài)攻擊是指攻擊者每次只發(fā)送一個字節(jié)的數(shù)據(jù)包，逃過監(jiān)視，然后被攻擊主機的TCP棧會重新組合這些數(shù)據(jù)包，將攻擊數(shù)據(jù)發(fā)送給目標端口上監(jiān)聽的進程，從而擺脫IDS的檢測。6）使用Spade (Statistical Packet Anomaly Detection Engine)插件，Snort能夠報告異常的數(shù)據(jù)包，從而對端口進行有效的檢測。7）Snort還具有很強的系統(tǒng)防護能力。使用IPTables，IPFilter插件可以使入侵檢測主機和防火墻聯(lián)動，通過FlexResp功能，Snort能夠命令防火墻斷開惡意連接。8）擴展性好，對于新的攻擊威脅反應(yīng)迅速。Snort采用了一種簡單的規(guī)則描述語言，最基本的規(guī)則知識包含四個域:處理動作、協(xié)議、方向、端口?？梢詫π碌墓粞杆俳⒁?guī)則表。9）Snort支持插件，可以使用具有特定功能的報告，檢測子系統(tǒng)插件對其進行功能擴展。當前支持的插件有:數(shù)據(jù)庫日志輸出插件、破碎包檢測插件、端口掃描檢測插件、HttpURL插件、XML網(wǎng)頁生成插件等。 Snort的體系結(jié)構(gòu)圖31 Snort的體系結(jié)構(gòu)1）Sniffer(數(shù)據(jù)包嗅探器)該子系統(tǒng)的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包進行解析。Snort利用libpcaP庫函數(shù)進行數(shù)據(jù)采集，該庫函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包的過濾器來捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機制是整個NIDS實現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證高速和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。對于解析機制來說，能夠處理數(shù)據(jù)包的類型的多樣性也同樣非常重要，目前,Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種類型的包。2）預(yù)處理器Snort的預(yù)處理器是介于數(shù)據(jù)包嗅探器與檢測引擎之間的可插入模塊，它的主要思想是在數(shù)據(jù)包送到Snort的檢測引擎之前提供一個報警、丟棄數(shù)據(jù)包或修改數(shù)據(jù)包的框架。3）檢測引擎檢測引擎是Snort的核心。Snort根據(jù)規(guī)則庫對預(yù)處理器送來的數(shù)據(jù)包進行匹配檢測。為了能夠快速而準確地進行檢測，Snort用鏈表的形式對規(guī)則進行組織。檢測引擎的主要性能指標是快速和準確。為了達到快速的目的，要求Snort的規(guī)則鏈表要進行分類和組織結(jié)構(gòu)優(yōu)化。為了達到準確的目的，要求規(guī)則的提取十分準確，并且編寫十分精確和簡潔的規(guī)則。檢測引擎是Snort的核心，準確和快速是衡量其性能的重要指標。準確性主要取決于對入侵行為特征碼提取的精確性和規(guī)則編寫的簡潔實用性，由于網(wǎng)絡(luò)入侵檢測系統(tǒng)是被動防御的，只能被動的檢測流經(jīng)本網(wǎng)絡(luò)的數(shù)據(jù)，而不能主動發(fā)送數(shù)據(jù)包去探測。所以只有將入侵行為的特征碼歸結(jié)為協(xié)議的不同字段的特征值，通過檢測該特征值來決定入侵行為是否發(fā)生?？焖傩灾饕Q于引擎的組織結(jié)構(gòu)，是否能夠快速地進行規(guī)則匹配。4）報警日志檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。Snort對每個被檢測的數(shù)據(jù)包都定義了如下的三種處理方式。alert(發(fā)送報警信息)、log(記錄該數(shù)據(jù)包)和pass(忽略該數(shù)據(jù)句)。這些處理方式其實是具體定義在檢測規(guī)則中的，具體的完成是在日志/報警子系統(tǒng)中。日志子系統(tǒng)允許將嗅探器收集到的信息以可讀的格式或以tcpdump格式記錄下來。報警子系統(tǒng)負責將報警信息發(fā)送到syslog、用戶指定的文件、Unix套接字或數(shù)據(jù)庫中。 Snort入侵檢測流程基于規(guī)則的模式匹配是Snort檢測機制的核心。Snort的入侵檢測流程分兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；第二步是使用這些規(guī)則進行匹配的規(guī)則匹配流程。下面將依次介紹入侵檢測的流程：規(guī)則解析流程Snort首先讀取規(guī)則文件，緊接著依次讀取每一條規(guī)則。然后按照規(guī)則語法對其進行解析，在內(nèi)存中對規(guī)則進行組織，建立規(guī)則語法樹。Snort程序調(diào)用規(guī)則文件讀取函數(shù)ParseRulesFile()進行規(guī)則文件的檢查、規(guī)則讀取和多行規(guī)則的整理。ParseRulesFile()只是Snort進入規(guī)則解析的接口函數(shù)，規(guī)則解析主要由ParseRule()來完成。ParseRule()解析每一條規(guī)則，并將其加入到規(guī)則鏈表中。parseRule()的流程如圖32所示。圖32規(guī)則解析流程ParseRule()函數(shù)通過調(diào)用RuleType()函數(shù)提取規(guī)則類型，如果規(guī)則類型是Pass、fog、alert、activate、dynamic類型，那么就將規(guī)則按照規(guī)則語法結(jié)構(gòu)進行解析。首先調(diào)用proeessHeadNode()處理規(guī)則頭，再調(diào)用proeessRuleoption()處理規(guī)則選項。如果提取的類型是預(yù)處理插件關(guān)鍵字PreProcess、輸出插件關(guān)鍵字output、配置命令config、變量定義var等則調(diào)用相應(yīng)的函數(shù)進行處理，處理后跳出本條規(guī)則解析，進行下一條規(guī)則解析。規(guī)則匹配流程Snort對從網(wǎng)絡(luò)上捕獲的每一條報文和規(guī)則語法樹進行掃描匹配，首先按照默認的順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。然后根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到相對應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報文匹配規(guī)則頭附帶的規(guī)則選項組織為鏈表。首先匹配第一個規(guī)則選項，如果匹配，