【文章內(nèi)容簡(jiǎn)介】 模的網(wǎng)絡(luò)檢測(cè)明顯不足，不同的系統(tǒng)之間不能協(xié)同工作。為解決這一問(wèn)題，需要發(fā)展分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。2）智能化入侵檢測(cè)。入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力。3）應(yīng)用層入侵檢測(cè)。許多入侵活動(dòng)的含義只有在應(yīng)用層才能理解。但傳統(tǒng)方法很少涉及到應(yīng)用層，使得一些應(yīng)用系統(tǒng)內(nèi)的入侵活動(dòng)難以檢測(cè)，所以需要開發(fā)應(yīng)用層的入侵檢測(cè)技術(shù)。4）全面的安全防御方案。即使用安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Snort)研究 Snort特點(diǎn)Snort是一個(gè)以開放源代碼形式發(fā)行的一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最初由 Martin Roesch編寫，并由遍布世界各地的眾多程序員共同維護(hù)和升級(jí)。它利用Libpcap從網(wǎng)絡(luò)中采集數(shù)據(jù)并進(jìn)行分析，從而判斷是否存在可疑的網(wǎng)絡(luò)活動(dòng)。就檢測(cè)模式而言，它基本上是基于誤用檢測(cè)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行最直接最簡(jiǎn)單的搜索匹配。雖然Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，但是它的功能卻非常強(qiáng)大，其特點(diǎn)如下:1）Snort代碼短小，簡(jiǎn)潔，而且移植性非常好。目前支持Linux系列，Solaris，BSD系列，IRIX，HPUNIX，Windows系列等。2）Snort具有實(shí)時(shí)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)發(fā)出警報(bào)。它提供的警報(bào)方式很多，比如Syslog，Unixsocket，WinPopup等。3）Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的匹配和搜索。現(xiàn)在它能夠分析的協(xié)議有TCP、UDP、和ICMP。將來(lái)可以支持更多IPX、RIP、OSPF等。它能檢測(cè)多種方式的攻擊和探測(cè)。4）Snort具有靈活的日志格式。支持Tcpdump的二進(jìn)制格式，也支持ASCll字符形式，也支持XML格式的，使用數(shù)據(jù)庫(kù)輸出插件，還支持?jǐn)?shù)據(jù)庫(kù)日志格式。當(dāng)前支持的數(shù)據(jù)庫(kù)有Postagresql、Mysql，任何UnixODBC、Microsoft SQL Server、Oracle等。5）使用TCP流插件，Snort可以對(duì)TCP包進(jìn)行重組。這種能力使得Snort可以對(duì)抗“無(wú)狀態(tài)”攻擊。無(wú)狀態(tài)攻擊是指攻擊者每次只發(fā)送一個(gè)字節(jié)的數(shù)據(jù)包，逃過(guò)監(jiān)視，然后被攻擊主機(jī)的TCP棧會(huì)重新組合這些數(shù)據(jù)包，將攻擊數(shù)據(jù)發(fā)送給目標(biāo)端口上監(jiān)聽的進(jìn)程，從而擺脫IDS的檢測(cè)。6）使用Spade (Statistical Packet Anomaly Detection Engine)插件，Snort能夠報(bào)告異常的數(shù)據(jù)包，從而對(duì)端口進(jìn)行有效的檢測(cè)。7）Snort還具有很強(qiáng)的系統(tǒng)防護(hù)能力。使用IPTables，IPFilter插件可以使入侵檢測(cè)主機(jī)和防火墻聯(lián)動(dòng)，通過(guò)FlexResp功能，Snort能夠命令防火墻斷開惡意連接。8）擴(kuò)展性好，對(duì)于新的攻擊威脅反應(yīng)迅速。Snort采用了一種簡(jiǎn)單的規(guī)則描述語(yǔ)言，最基本的規(guī)則知識(shí)包含四個(gè)域:處理動(dòng)作、協(xié)議、方向、端口?？梢詫?duì)新的攻擊迅速建立規(guī)則表。9）Snort支持插件，可以使用具有特定功能的報(bào)告，檢測(cè)子系統(tǒng)插件對(duì)其進(jìn)行功能擴(kuò)展。當(dāng)前支持的插件有:數(shù)據(jù)庫(kù)日志輸出插件、破碎包檢測(cè)插件、端口掃描檢測(cè)插件、HttpURL插件、XML網(wǎng)頁(yè)生成插件等。 Snort的體系結(jié)構(gòu)圖31 Snort的體系結(jié)構(gòu)1）Sniffer(數(shù)據(jù)包嗅探器)該子系統(tǒng)的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包進(jìn)行解析。Snort利用libpcaP庫(kù)函數(shù)進(jìn)行數(shù)據(jù)采集，該庫(kù)函數(shù)可以為應(yīng)用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包的過(guò)濾器來(lái)捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機(jī)制是整個(gè)NIDS實(shí)現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證高速和較低的丟包率，這不僅僅取決于軟件的效率還同硬件的處理能力相關(guān)。對(duì)于解析機(jī)制來(lái)說(shuō)，能夠處理數(shù)據(jù)包的類型的多樣性也同樣非常重要，目前,Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種類型的包。2）預(yù)處理器Snort的預(yù)處理器是介于數(shù)據(jù)包嗅探器與檢測(cè)引擎之間的可插入模塊，它的主要思想是在數(shù)據(jù)包送到Snort的檢測(cè)引擎之前提供一個(gè)報(bào)警、丟棄數(shù)據(jù)包或修改數(shù)據(jù)包的框架。3）檢測(cè)引擎檢測(cè)引擎是Snort的核心。Snort根據(jù)規(guī)則庫(kù)對(duì)預(yù)處理器送來(lái)的數(shù)據(jù)包進(jìn)行匹配檢測(cè)。為了能夠快速而準(zhǔn)確地進(jìn)行檢測(cè)，Snort用鏈表的形式對(duì)規(guī)則進(jìn)行組織。檢測(cè)引擎的主要性能指標(biāo)是快速和準(zhǔn)確。為了達(dá)到快速的目的，要求Snort的規(guī)則鏈表要進(jìn)行分類和組織結(jié)構(gòu)優(yōu)化。為了達(dá)到準(zhǔn)確的目的，要求規(guī)則的提取十分準(zhǔn)確，并且編寫十分精確和簡(jiǎn)潔的規(guī)則。檢測(cè)引擎是Snort的核心，準(zhǔn)確和快速是衡量其性能的重要指標(biāo)。準(zhǔn)確性主要取決于對(duì)入侵行為特征碼提取的精確性和規(guī)則編寫的簡(jiǎn)潔實(shí)用性，由于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是被動(dòng)防御的，只能被動(dòng)的檢測(cè)流經(jīng)本網(wǎng)絡(luò)的數(shù)據(jù)，而不能主動(dòng)發(fā)送數(shù)據(jù)包去探測(cè)。所以只有將入侵行為的特征碼歸結(jié)為協(xié)議的不同字段的特征值，通過(guò)檢測(cè)該特征值來(lái)決定入侵行為是否發(fā)生?？焖傩灾饕Q于引擎的組織結(jié)構(gòu)，是否能夠快速地進(jìn)行規(guī)則匹配。4）報(bào)警日志檢測(cè)引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。Snort對(duì)每個(gè)被檢測(cè)的數(shù)據(jù)包都定義了如下的三種處理方式。alert(發(fā)送報(bào)警信息)、log(記錄該數(shù)據(jù)包)和pass(忽略該數(shù)據(jù)句)。這些處理方式其實(shí)是具體定義在檢測(cè)規(guī)則中的，具體的完成是在日志/報(bào)警子系統(tǒng)中。日志子系統(tǒng)允許將嗅探器收集到的信息以可讀的格式或以tcpdump格式記錄下來(lái)。報(bào)警子系統(tǒng)負(fù)責(zé)將報(bào)警信息發(fā)送到syslog、用戶指定的文件、Unix套接字或數(shù)據(jù)庫(kù)中。 Snort入侵檢測(cè)流程基于規(guī)則的模式匹配是Snort檢測(cè)機(jī)制的核心。Snort的入侵檢測(cè)流程分兩大步：第一步是規(guī)則的解析流程，包括從規(guī)則文件中讀取規(guī)則和在內(nèi)存中組織規(guī)則；第二步是使用這些規(guī)則進(jìn)行匹配的規(guī)則匹配流程。下面將依次介紹入侵檢測(cè)的流程：規(guī)則解析流程Snort首先讀取規(guī)則文件，緊接著依次讀取每一條規(guī)則。然后按照規(guī)則語(yǔ)法對(duì)其進(jìn)行解析，在內(nèi)存中對(duì)規(guī)則進(jìn)行組織，建立規(guī)則語(yǔ)法樹。Snort程序調(diào)用規(guī)則文件讀取函數(shù)ParseRulesFile()進(jìn)行規(guī)則文件的檢查、規(guī)則讀取和多行規(guī)則的整理。ParseRulesFile()只是Snort進(jìn)入規(guī)則解析的接口函數(shù)，規(guī)則解析主要由ParseRule()來(lái)完成。ParseRule()解析每一條規(guī)則，并將其加入到規(guī)則鏈表中。parseRule()的流程如圖32所示。圖32規(guī)則解析流程ParseRule()函數(shù)通過(guò)調(diào)用RuleType()函數(shù)提取規(guī)則類型，如果規(guī)則類型是Pass、fog、alert、activate、dynamic類型，那么就將規(guī)則按照規(guī)則語(yǔ)法結(jié)構(gòu)進(jìn)行解析。首先調(diào)用proeessHeadNode()處理規(guī)則頭，再調(diào)用proeessRuleoption()處理規(guī)則選項(xiàng)。如果提取的類型是預(yù)處理插件關(guān)鍵字PreProcess、輸出插件關(guān)鍵字output、配置命令config、變量定義var等則調(diào)用相應(yīng)的函數(shù)進(jìn)行處理，處理后跳出本條規(guī)則解析，進(jìn)行下一條規(guī)則解析。規(guī)則匹配流程Snort對(duì)從網(wǎng)絡(luò)上捕獲的每一條報(bào)文和規(guī)則語(yǔ)法樹進(jìn)行掃描匹配，首先按照默認(rèn)的順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。然后根據(jù)報(bào)文的IP地址和端口號(hào)，在規(guī)則頭鏈表中找到相對(duì)應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報(bào)文匹配規(guī)則頭附帶的規(guī)則選項(xiàng)組織為鏈表。首先匹配第一個(gè)規(guī)則選項(xiàng)，如果匹配，