【文章內(nèi)容簡(jiǎn)介】 work 與系統(tǒng)安全的保護(hù)縱深，使得Network、系統(tǒng)安全性得到進(jìn)一步的提高． 目前在入侵檢測(cè)系統(tǒng)中常用的檢測(cè)方法有： （ 1） 模式匹配 Pattern Matching （ 2） 統(tǒng)計(jì)分析 Statistical Analysis （ 3） 專(zhuān)家系統(tǒng) Expert System （ 4） 神經(jīng)網(wǎng)絡(luò) ANN （ 5） 模糊系統(tǒng) Fuzzy Systems （ 6） 遺傳算法 GA （ 7） 免疫系統(tǒng) Immune System （ 8） 數(shù)據(jù)挖掘 Data Mining （ 9） 數(shù)據(jù)融合 Fusion （ 10） 協(xié)議分析 Protocol Analysis 入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)（ IDS,Intrusion Detection System）可以識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和 Network系統(tǒng)，或更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動(dòng)．一般來(lái)講就是通過(guò)分析系統(tǒng)安全相關(guān)數(shù)據(jù)來(lái)檢測(cè)入侵活動(dòng)的系統(tǒng)．入侵檢測(cè)系統(tǒng)在功能結(jié)構(gòu)上基本一致，由數(shù)據(jù)采集、數(shù)據(jù)分析及用戶界面等組成，不同的入侵檢測(cè)系統(tǒng)只是在分析采集數(shù)據(jù)方法及數(shù)據(jù)類(lèi)型等方面有所不同 ．入侵檢測(cè)系統(tǒng)的研究最早可追溯到 1980 年， James Aderson首先提出了入侵檢測(cè)的概念， 1987 年D． E． Denning首次給出了入侵檢測(cè)的抽象模型，并將入侵檢測(cè)作為一種新的安全防御措施提出 [6]．早期的入侵檢測(cè)系統(tǒng)都是基于主機(jī)的系統(tǒng)，主要檢測(cè)用戶對(duì)數(shù)據(jù)庫(kù)的異常訪問(wèn)等．后期隨著 Network的普及和發(fā)展，入侵檢測(cè)系統(tǒng)也開(kāi)始向 Network方面發(fā)展． 作為一種主動(dòng)防護(hù)技術(shù)，入侵檢測(cè)系統(tǒng)可以在攻擊發(fā)生時(shí)記錄攻擊者的行為、發(fā)出報(bào)警，必要時(shí)還可以追蹤攻擊者，可以獨(dú)立運(yùn)行，也可以與防火墻等安全技術(shù)協(xié)同工作，更 好地保護(hù)Network安全．一個(gè)入侵檢測(cè)系統(tǒng)能夠完成監(jiān)控分析用戶和系統(tǒng)活動(dòng)，發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象，記錄、報(bào)警和響應(yīng)等．具體來(lái)說(shuō)入侵檢測(cè)系統(tǒng)的主要功能可分為： ⑴ 檢測(cè)并分析用戶和系統(tǒng)活動(dòng)． ⑵ 核查系統(tǒng)配置和漏洞． ⑶ 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性． ⑷ 識(shí)別已知的攻擊行為． ⑸ 統(tǒng)計(jì)分析異常行為． ⑹ 對(duì)操作系統(tǒng)日志進(jìn)行管理，并識(shí)別違反安全策略的用戶活動(dòng)． 入侵檢測(cè)系統(tǒng)的應(yīng)用，能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊．減少入侵攻擊過(guò)程帶來(lái)?yè)p失，在入侵后收集入侵攻擊的相關(guān) 信息，作為防范系統(tǒng)的知識(shí)加入知識(shí)庫(kù)，增強(qiáng)系統(tǒng)防范能力．從功能邏輯上講，入侵檢測(cè)系統(tǒng)由探測(cè)器（ Sensor）、分析器 (Analyzer)、用戶接口（ User Interface）組成．目前的入侵檢測(cè)系統(tǒng)主要分為兩類(lèi)： ⑴ 基于主機(jī)的入侵檢測(cè)系統(tǒng)：主要用于保護(hù)某一臺(tái)主機(jī)的資源不被破壞． ⑵ 基于 Network的入侵檢測(cè)系統(tǒng)：主要用戶保護(hù)整個(gè) Network不被破壞． 美國(guó)國(guó)防部高級(jí)研究計(jì)劃署（ DARPA）提出了 CIDF（公共入侵檢測(cè)框架），闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，可將入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器、事 件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)．他們?cè)谌肭謾z測(cè)系統(tǒng)中的位置和相互關(guān)系如圖 22所示．現(xiàn)在的入侵檢測(cè)系統(tǒng)多采用分布式體系結(jié)構(gòu)，使用代理和移動(dòng)代理技術(shù) [6]． 圖 22 入侵檢測(cè)系統(tǒng)通用模型 事件產(chǎn)生器負(fù)責(zé)原始數(shù)據(jù)采集，對(duì)數(shù)據(jù)流和日志文件進(jìn)行追蹤，將搜集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，提供給系統(tǒng)其他部分．事件分析器接收事件并進(jìn)行分析，判斷為入侵行為或異?，F(xiàn)象后轉(zhuǎn)換為警告信息．事件數(shù)據(jù)庫(kù)存放各種中間和最終數(shù)據(jù)，響應(yīng)單元根據(jù)警告信息作出反應(yīng)，是入侵檢測(cè)系統(tǒng)中的主動(dòng)武器． 第 3章 典型的入侵檢測(cè)系統(tǒng) Snort簡(jiǎn)析 Snort是一個(gè)免費(fèi)的、開(kāi)放源代碼的基于 Network 的輕量級(jí) Network入侵檢測(cè)系統(tǒng)，具有很好的配置型和可移植性．另外，它也可以用來(lái)截獲 Network 中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志． Snort多適用于小 Network段使用，最初設(shè)計(jì)用于 Linux/Unix操作系統(tǒng)，且其設(shè)計(jì)得易于插入和擴(kuò)充進(jìn)新的規(guī)則以對(duì)付各種新出現(xiàn)的威脅． Snort的相關(guān)特性 ⑴ Snort 具有實(shí)時(shí)數(shù)據(jù)流量分析和檢測(cè) IPNetwork 數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索 /匹配． ⑵ Snort的報(bào)警機(jī)制很豐富，如 syslog、用戶指定的文件、一個(gè) Unix套接字，以及使用 SAMBA協(xié)議向客戶程序發(fā)出警告消息． ⑶ Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索和匹配，目前 Snort 可以對(duì)多種協(xié)議進(jìn)行解析能檢測(cè)多種方式的攻擊和探測(cè)，如緩沖區(qū)溢出、端口掃描 CGI攻擊、 SMB探測(cè)、探測(cè)操作系統(tǒng)指紋特征的企圖等． ⑷ Snort的日志格式可以是 tcp dump式的二進(jìn)制格式，也可以解碼成 ASCⅡ 字符形式，便于用戶尤其是新手檢查． ⑸ Snort有很好的擴(kuò)展性，由于其規(guī)則描述語(yǔ)言簡(jiǎn)單，能夠快速對(duì)新的 Network 攻擊作出反應(yīng)． ⑹ Snort支持插件， 可以使用具有特定功能的報(bào)告、檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展． ⑺ Snort的可移植性好，它有極佳的跨平臺(tái)性，支持 Linux,Solaris,BSD,IRIX,HPUX,Windows系列， ScoOpenserver,Unixware等 [11]． ⑻ Snort 遵循公共通用許可證 GPL． Snort 遵循 GPL，所以任何企業(yè)、個(gè)人、組織都可以免費(fèi)使用它作為自己的 NIDS． Snort的功能架構(gòu) Snort 可提供協(xié)議分析、內(nèi)容查找和匹配，可以用來(lái)檢測(cè)各種攻擊和探測(cè)，如緩沖區(qū)溢出、隱蔽端口掃描、 CGI 攻擊、 SMB 探測(cè)、操作系統(tǒng)指紋識(shí)別嘗試等．其中的包嗅探、數(shù)據(jù)包記錄和入侵檢測(cè)是其重要功能． Snort的架構(gòu)決定了它的各種功能，構(gòu)架圖見(jiàn)圖 41所示．而響應(yīng)單元 事件分析器 事 件數(shù)據(jù)庫(kù) 事件產(chǎn)生器 來(lái)源于 Network 上的數(shù)據(jù)包 Snort架構(gòu)由以下 4個(gè)基本模塊構(gòu)成： ⑴ 嗅探器 ⑵ 預(yù)處理器 ⑶ 檢測(cè)引擎 ⑷ 輸出模塊 Snort 的最簡(jiǎn)單形式就是包嗅探器，但當(dāng) Snort 獲取到數(shù)據(jù)包后會(huì)將數(shù)據(jù)包傳送到與處理模塊，然后通過(guò)檢測(cè)引擎判斷這些數(shù)據(jù)包是否違反了某些預(yù)定義規(guī)則 [11]． 圖 31 Snort架構(gòu) Snort 的預(yù)處理器、檢測(cè)引擎和報(bào)警模塊都 以插件形式存在．插件就是符合 Snort 接口定義的程序，這些程序曾經(jīng)是 Snort內(nèi)核代碼的一部分，現(xiàn)在獨(dú)立出來(lái)使內(nèi)核部分的修改變得簡(jiǎn)單可靠． 包嗅探器用來(lái)監(jiān)聽(tīng)數(shù)據(jù) Network，可以是硬件也可以是軟件．一個(gè) Network嗅探器使應(yīng)用程序或者硬件設(shè)備能夠監(jiān)聽(tīng) Network上的數(shù)據(jù)流．互聯(lián)網(wǎng)多是 IP 數(shù)據(jù)流，在本地局域網(wǎng)或傳統(tǒng) Network中多是 IPX或 AppleTalk數(shù)據(jù)流．具體來(lái)說(shuō)，包嗅探器不僅可以進(jìn)行 Network分析及錯(cuò)誤處理、性能分析及基準(zhǔn)測(cè)量、監(jiān)聽(tīng)明文密碼及其他感興趣的數(shù)據(jù)． 預(yù)處理器得到原始數(shù)據(jù)包， 使用不同的插件檢測(cè)數(shù)據(jù)包，這些插件檢測(cè)數(shù)據(jù)包的某些特定行為．一旦數(shù)據(jù)包被確認(rèn)具有某些特定行為，就會(huì)被送到檢測(cè)模塊．插件可以根據(jù)需要在與處理層被啟用或停用，從而更具 Network優(yōu)化級(jí)被分配計(jì)算資源并生成報(bào)警，插件是入侵檢測(cè)系統(tǒng)的一個(gè)非常有用的功能． 檢測(cè)引擎接收預(yù)處理器及其插件穿送來(lái)的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對(duì)數(shù)據(jù)進(jìn)行檢測(cè)．如果這些規(guī)則和數(shù)據(jù)包中的數(shù)據(jù)相匹配，就將數(shù)據(jù)包傳送給報(bào)警處理器． 當(dāng)數(shù)據(jù)通過(guò)檢測(cè)引擎后， Snort 會(huì)對(duì)其數(shù)據(jù)進(jìn)行不同的處理．如果數(shù)據(jù)和檢測(cè)引擎的規(guī)則相匹配， Snort 就會(huì)觸發(fā)報(bào)警．報(bào)警 可以通過(guò) Network 連接、 UNIX 的套接字或 Windows Popup(SMB)，甚至 SNMP 陷阱機(jī)制發(fā)送到日志文件．也可以使用 Snort 的一些附加工具來(lái)通過(guò) Web接口顯示日志內(nèi)容，包括一些 perl、 PHP 和 Web服務(wù)器的插件等．日志可以存儲(chǔ)在文本文件中．報(bào)警和日志都可以記錄到數(shù)據(jù)庫(kù)中，如 MySQL或 Postgree等．另外， Snort報(bào)警可以通過(guò)系統(tǒng)日志工具如 SWATCH 發(fā)送電子郵件及時(shí)通知系統(tǒng)管理員，是系統(tǒng)不需要由專(zhuān)人 24小時(shí)監(jiān)控 [12]． Snort規(guī)則 Snort 是一個(gè)基于特征的入侵檢測(cè) 系統(tǒng)，而 Snort 正是通過(guò)大量的規(guī)則集實(shí)現(xiàn)基于特征的入侵檢測(cè)系統(tǒng)的功能．這些規(guī)則集按照不同的類(lèi)別進(jìn)行分類(lèi)，如木馬、緩沖區(qū)溢出、訪問(wèn)不同的應(yīng)用程序等，并進(jìn)行定期的更新． 規(guī)則的組成 規(guī)則本身由兩部分組成： ⑴ 規(guī)則頭：規(guī)則頭包含了規(guī)則的基本動(dòng)作（記錄日志或是報(bào)警）、 Network數(shù)據(jù)包的類(lèi)型（ TCP、 嗅探器 預(yù)處理器 檢測(cè)引擎 報(bào)警 /日志 主干網(wǎng) UDP、 ICMP等）、源和目的 IP地址．源和目的端口． ⑵ 規(guī)則可選項(xiàng)：可選項(xiàng)中指定了數(shù)據(jù)包中規(guī)則匹配的具體內(nèi)容． Snort 使用特定的語(yǔ)法來(lái)定義這些規(guī)則．規(guī)則的語(yǔ)法涵蓋了協(xié)議的類(lèi)型、內(nèi)容、長(zhǎng)度、協(xié)議頭 及很多其他元素，類(lèi)如定義緩沖區(qū)溢出規(guī)則的填充字節(jié)等． 規(guī)則頭 規(guī)則頭定義了規(guī)則的行為（ Action）、所匹配 Network 包的協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口等信息，其作用主要是定義 Network數(shù)據(jù)包分組中的報(bào)頭路由特征．規(guī)則頭格式如下： 規(guī)則行為 協(xié)議 源地址 源端口 方向操作符 目的地址 目的端口 ⑴ 規(guī)則行為（ Rule Action） 規(guī)則行為指示了數(shù)據(jù)包與規(guī)則匹配時(shí)該做什么，此字段有五個(gè)選項(xiàng)： alert、 log、 pass、 activate、dynamic．其語(yǔ)義如下： ① alert：使用設(shè)定的警告方法生成警告信息，并記錄這個(gè)報(bào)文． ② log：使用設(shè)定的記錄方法記錄這個(gè)報(bào)文． ③ pass：忽略該報(bào)文． ④ activate：進(jìn)行 alert，然后激活對(duì)應(yīng)的一個(gè) dynamic規(guī)則． ⑤ dynamic：等待被一個(gè)對(duì)應(yīng)的 activate規(guī)則激活，然后進(jìn)行 log． 其中 activ