【文章內(nèi)容簡介】 work 與系統(tǒng)安全的保護(hù)縱深，使得Network、系統(tǒng)安全性得到進(jìn)一步的提高． 目前在入侵檢測系統(tǒng)中常用的檢測方法有： （ 1） 模式匹配 Pattern Matching （ 2） 統(tǒng)計分析 Statistical Analysis （ 3） 專家系統(tǒng) Expert System （ 4） 神經(jīng)網(wǎng)絡(luò) ANN （ 5） 模糊系統(tǒng) Fuzzy Systems （ 6） 遺傳算法 GA （ 7） 免疫系統(tǒng) Immune System （ 8） 數(shù)據(jù)挖掘 Data Mining （ 9） 數(shù)據(jù)融合 Fusion （ 10） 協(xié)議分析 Protocol Analysis 入侵檢測系統(tǒng) 入侵檢測系統(tǒng)（ IDS,Intrusion Detection System）可以識別針對計算機(jī)系統(tǒng)和 Network系統(tǒng)，或更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動．一般來講就是通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測入侵活動的系統(tǒng)．入侵檢測系統(tǒng)在功能結(jié)構(gòu)上基本一致，由數(shù)據(jù)采集、數(shù)據(jù)分析及用戶界面等組成，不同的入侵檢測系統(tǒng)只是在分析采集數(shù)據(jù)方法及數(shù)據(jù)類型等方面有所不同 ．入侵檢測系統(tǒng)的研究最早可追溯到 1980 年， James Aderson首先提出了入侵檢測的概念， 1987 年D． E． Denning首次給出了入侵檢測的抽象模型，并將入侵檢測作為一種新的安全防御措施提出 [6]．早期的入侵檢測系統(tǒng)都是基于主機(jī)的系統(tǒng)，主要檢測用戶對數(shù)據(jù)庫的異常訪問等．后期隨著 Network的普及和發(fā)展，入侵檢測系統(tǒng)也開始向 Network方面發(fā)展． 作為一種主動防護(hù)技術(shù)，入侵檢測系統(tǒng)可以在攻擊發(fā)生時記錄攻擊者的行為、發(fā)出報警，必要時還可以追蹤攻擊者，可以獨立運(yùn)行，也可以與防火墻等安全技術(shù)協(xié)同工作，更 好地保護(hù)Network安全．一個入侵檢測系統(tǒng)能夠完成監(jiān)控分析用戶和系統(tǒng)活動，發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象，記錄、報警和響應(yīng)等．具體來說入侵檢測系統(tǒng)的主要功能可分為： ⑴ 檢測并分析用戶和系統(tǒng)活動． ⑵ 核查系統(tǒng)配置和漏洞． ⑶ 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性． ⑷ 識別已知的攻擊行為． ⑸ 統(tǒng)計分析異常行為． ⑹ 對操作系統(tǒng)日志進(jìn)行管理，并識別違反安全策略的用戶活動． 入侵檢測系統(tǒng)的應(yīng)用，能使在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊．減少入侵攻擊過程帶來損失，在入侵后收集入侵攻擊的相關(guān) 信息，作為防范系統(tǒng)的知識加入知識庫，增強(qiáng)系統(tǒng)防范能力．從功能邏輯上講，入侵檢測系統(tǒng)由探測器（ Sensor）、分析器 (Analyzer)、用戶接口（ User Interface）組成．目前的入侵檢測系統(tǒng)主要分為兩類： ⑴ 基于主機(jī)的入侵檢測系統(tǒng)：主要用于保護(hù)某一臺主機(jī)的資源不被破壞． ⑵ 基于 Network的入侵檢測系統(tǒng)：主要用戶保護(hù)整個 Network不被破壞． 美國國防部高級研究計劃署（ DARPA）提出了 CIDF（公共入侵檢測框架），闡述了一個入侵檢測系統(tǒng)的通用模型，可將入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器、事 件分析器、響應(yīng)單元、事件數(shù)據(jù)庫．他們在入侵檢測系統(tǒng)中的位置和相互關(guān)系如圖 22所示．現(xiàn)在的入侵檢測系統(tǒng)多采用分布式體系結(jié)構(gòu)，使用代理和移動代理技術(shù) [6]． 圖 22 入侵檢測系統(tǒng)通用模型 事件產(chǎn)生器負(fù)責(zé)原始數(shù)據(jù)采集，對數(shù)據(jù)流和日志文件進(jìn)行追蹤，將搜集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，提供給系統(tǒng)其他部分．事件分析器接收事件并進(jìn)行分析，判斷為入侵行為或異?，F(xiàn)象后轉(zhuǎn)換為警告信息．事件數(shù)據(jù)庫存放各種中間和最終數(shù)據(jù)，響應(yīng)單元根據(jù)警告信息作出反應(yīng)，是入侵檢測系統(tǒng)中的主動武器． 第 3章 典型的入侵檢測系統(tǒng) Snort簡析 Snort是一個免費(fèi)的、開放源代碼的基于 Network 的輕量級 Network入侵檢測系統(tǒng)，具有很好的配置型和可移植性．另外，它也可以用來截獲 Network 中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志． Snort多適用于小 Network段使用，最初設(shè)計用于 Linux/Unix操作系統(tǒng)，且其設(shè)計得易于插入和擴(kuò)充進(jìn)新的規(guī)則以對付各種新出現(xiàn)的威脅． Snort的相關(guān)特性 ⑴ Snort 具有實時數(shù)據(jù)流量分析和檢測 IPNetwork 數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索 /匹配． ⑵ Snort的報警機(jī)制很豐富，如 syslog、用戶指定的文件、一個 Unix套接字，以及使用 SAMBA協(xié)議向客戶程序發(fā)出警告消息． ⑶ Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索和匹配，目前 Snort 可以對多種協(xié)議進(jìn)行解析能檢測多種方式的攻擊和探測，如緩沖區(qū)溢出、端口掃描 CGI攻擊、 SMB探測、探測操作系統(tǒng)指紋特征的企圖等． ⑷ Snort的日志格式可以是 tcp dump式的二進(jìn)制格式，也可以解碼成 ASCⅡ 字符形式，便于用戶尤其是新手檢查． ⑸ Snort有很好的擴(kuò)展性，由于其規(guī)則描述語言簡單，能夠快速對新的 Network 攻擊作出反應(yīng)． ⑹ Snort支持插件， 可以使用具有特定功能的報告、檢測子系統(tǒng)插件對其功能進(jìn)行擴(kuò)展． ⑺ Snort的可移植性好，它有極佳的跨平臺性，支持 Linux,Solaris,BSD,IRIX,HPUX,Windows系列， ScoOpenserver,Unixware等 [11]． ⑻ Snort 遵循公共通用許可證 GPL． Snort 遵循 GPL，所以任何企業(yè)、個人、組織都可以免費(fèi)使用它作為自己的 NIDS． Snort的功能架構(gòu) Snort 可提供協(xié)議分析、內(nèi)容查找和匹配，可以用來檢測各種攻擊和探測，如緩沖區(qū)溢出、隱蔽端口掃描、 CGI 攻擊、 SMB 探測、操作系統(tǒng)指紋識別嘗試等．其中的包嗅探、數(shù)據(jù)包記錄和入侵檢測是其重要功能． Snort的架構(gòu)決定了它的各種功能，構(gòu)架圖見圖 41所示．而響應(yīng)單元 事件分析器 事 件數(shù)據(jù)庫 事件產(chǎn)生器 來源于 Network 上的數(shù)據(jù)包 Snort架構(gòu)由以下 4個基本模塊構(gòu)成： ⑴ 嗅探器 ⑵ 預(yù)處理器 ⑶ 檢測引擎 ⑷ 輸出模塊 Snort 的最簡單形式就是包嗅探器，但當(dāng) Snort 獲取到數(shù)據(jù)包后會將數(shù)據(jù)包傳送到與處理模塊，然后通過檢測引擎判斷這些數(shù)據(jù)包是否違反了某些預(yù)定義規(guī)則 [11]． 圖 31 Snort架構(gòu) Snort 的預(yù)處理器、檢測引擎和報警模塊都 以插件形式存在．插件就是符合 Snort 接口定義的程序，這些程序曾經(jīng)是 Snort內(nèi)核代碼的一部分，現(xiàn)在獨立出來使內(nèi)核部分的修改變得簡單可靠． 包嗅探器用來監(jiān)聽數(shù)據(jù) Network，可以是硬件也可以是軟件．一個 Network嗅探器使應(yīng)用程序或者硬件設(shè)備能夠監(jiān)聽 Network上的數(shù)據(jù)流．互聯(lián)網(wǎng)多是 IP 數(shù)據(jù)流，在本地局域網(wǎng)或傳統(tǒng) Network中多是 IPX或 AppleTalk數(shù)據(jù)流．具體來說，包嗅探器不僅可以進(jìn)行 Network分析及錯誤處理、性能分析及基準(zhǔn)測量、監(jiān)聽明文密碼及其他感興趣的數(shù)據(jù)． 預(yù)處理器得到原始數(shù)據(jù)包， 使用不同的插件檢測數(shù)據(jù)包，這些插件檢測數(shù)據(jù)包的某些特定行為．一旦數(shù)據(jù)包被確認(rèn)具有某些特定行為，就會被送到檢測模塊．插件可以根據(jù)需要在與處理層被啟用或停用，從而更具 Network優(yōu)化級被分配計算資源并生成報警，插件是入侵檢測系統(tǒng)的一個非常有用的功能． 檢測引擎接收預(yù)處理器及其插件穿送來的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對數(shù)據(jù)進(jìn)行檢測．如果這些規(guī)則和數(shù)據(jù)包中的數(shù)據(jù)相匹配，就將數(shù)據(jù)包傳送給報警處理器． 當(dāng)數(shù)據(jù)通過檢測引擎后， Snort 會對其數(shù)據(jù)進(jìn)行不同的處理．如果數(shù)據(jù)和檢測引擎的規(guī)則相匹配， Snort 就會觸發(fā)報警．報警 可以通過 Network 連接、 UNIX 的套接字或 Windows Popup(SMB)，甚至 SNMP 陷阱機(jī)制發(fā)送到日志文件．也可以使用 Snort 的一些附加工具來通過 Web接口顯示日志內(nèi)容，包括一些 perl、 PHP 和 Web服務(wù)器的插件等．日志可以存儲在文本文件中．報警和日志都可以記錄到數(shù)據(jù)庫中，如 MySQL或 Postgree等．另外， Snort報警可以通過系統(tǒng)日志工具如 SWATCH 發(fā)送電子郵件及時通知系統(tǒng)管理員，是系統(tǒng)不需要由專人 24小時監(jiān)控 [12]． Snort規(guī)則 Snort 是一個基于特征的入侵檢測 系統(tǒng)，而 Snort 正是通過大量的規(guī)則集實現(xiàn)基于特征的入侵檢測系統(tǒng)的功能．這些規(guī)則集按照不同的類別進(jìn)行分類，如木馬、緩沖區(qū)溢出、訪問不同的應(yīng)用程序等，并進(jìn)行定期的更新． 規(guī)則的組成 規(guī)則本身由兩部分組成： ⑴ 規(guī)則頭：規(guī)則頭包含了規(guī)則的基本動作（記錄日志或是報警）、 Network數(shù)據(jù)包的類型（ TCP、 嗅探器 預(yù)處理器 檢測引擎 報警 /日志 主干網(wǎng) UDP、 ICMP等）、源和目的 IP地址．源和目的端口． ⑵ 規(guī)則可選項：可選項中指定了數(shù)據(jù)包中規(guī)則匹配的具體內(nèi)容． Snort 使用特定的語法來定義這些規(guī)則．規(guī)則的語法涵蓋了協(xié)議的類型、內(nèi)容、長度、協(xié)議頭 及很多其他元素，類如定義緩沖區(qū)溢出規(guī)則的填充字節(jié)等． 規(guī)則頭 規(guī)則頭定義了規(guī)則的行為（ Action）、所匹配 Network 包的協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口等信息，其作用主要是定義 Network數(shù)據(jù)包分組中的報頭路由特征．規(guī)則頭格式如下： 規(guī)則行為 協(xié)議 源地址 源端口 方向操作符 目的地址 目的端口 ⑴ 規(guī)則行為（ Rule Action） 規(guī)則行為指示了數(shù)據(jù)包與規(guī)則匹配時該做什么，此字段有五個選項： alert、 log、 pass、 activate、dynamic．其語義如下： ① alert：使用設(shè)定的警告方法生成警告信息，并記錄這個報文． ② log：使用設(shè)定的記錄方法記錄這個報文． ③ pass：忽略該報文． ④ activate：進(jìn)行 alert，然后激活對應(yīng)的一個 dynamic規(guī)則． ⑤ dynamic：等待被一個對應(yīng)的 activate規(guī)則激活，然后進(jìn)行 log． 其中 activ