入侵檢測(cè)系統(tǒng)

1、入侵檢測(cè)系統(tǒng)(ids)是近十多年發(fā)展起來(lái)的新一代安全防范技術(shù)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)的動(dòng)態(tài)安全技術(shù)，不僅能檢測(cè)來(lái)自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。ids技術(shù)主要面臨著三大挑戰(zhàn)。一、如何提高入侵檢測(cè)系統(tǒng)的檢測(cè)速度，以適應(yīng)網(wǎng)絡(luò)通信的要求。網(wǎng)絡(luò)安全設(shè)備的處理速度一直是影響網(wǎng)絡(luò)性能的一大瓶頸，雖然ids通常以并聯(lián)方式接入網(wǎng)絡(luò)的，但如果其檢測(cè)速度跟不上網(wǎng)絡(luò)數(shù)據(jù)的傳輸速度，那么檢測(cè)系統(tǒng)就會(huì)漏掉其中的部分?jǐn)?shù)據(jù)包，從而導(dǎo)致漏報(bào)而影響系統(tǒng)的準(zhǔn)確性和有效性。在ids中，截獲網(wǎng)絡(luò)的

2、每一個(gè)數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費(fèi)大量的時(shí)間和系統(tǒng)資源，因此大部分現(xiàn)有的ids只有幾十兆的檢測(cè)速度，隨著百兆、甚至千兆網(wǎng)絡(luò)的大量應(yīng)用，ids技術(shù)發(fā)展的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于網(wǎng)絡(luò)速度的發(fā)展。二、如何減少入侵檢測(cè)系統(tǒng)的漏報(bào)和誤報(bào)，提高其安全性和準(zhǔn)確度。基于模式匹配分析方法的ids將所有入侵行為和手段及其變種表達(dá)為一種模式或特征，檢測(cè)主要判別網(wǎng)絡(luò)中搜集到的數(shù)據(jù)特征是否在入侵模式庫(kù)中出現(xiàn)，因此，面對(duì)著每天都有新的攻擊方法產(chǎn)生和新漏洞發(fā)布，攻擊特征庫(kù)不能及時(shí)更新是造成ids漏報(bào)的一大原因。而基于異常發(fā)現(xiàn)的ids通過(guò)流量統(tǒng)計(jì)分析建立系統(tǒng)正常行為的軌跡，當(dāng)系統(tǒng)運(yùn)行時(shí)的數(shù)值超過(guò)正常閾值，

3、則認(rèn)為可能受到攻擊，該技術(shù)本身就導(dǎo)致了其漏報(bào)誤報(bào)率較高。另外，大多ids是基于單包檢查的，協(xié)議分析得不夠，因此無(wú)法識(shí)別偽裝或變形的網(wǎng)絡(luò)攻擊，也造成大量漏報(bào)和誤報(bào)。三、如何提高入侵檢測(cè)系統(tǒng)的互動(dòng)性能，從而提高整個(gè)系統(tǒng)的安全性能。在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測(cè)系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測(cè)系統(tǒng)之間以及ids和其他安全組件之間如何交換信息，共同協(xié)作來(lái)發(fā)現(xiàn)攻擊、作出響應(yīng)并阻止攻擊是關(guān)系整個(gè)系統(tǒng)安全性的重要因素。例如，漏洞掃描程序例行的試探攻擊就不應(yīng)該觸發(fā)ids的報(bào)警；而利用偽造的源地址進(jìn)行攻擊，就可能聯(lián)動(dòng)防火墻關(guān)閉服務(wù)從而導(dǎo)致拒絕服務(wù)，這也是互動(dòng)系

4、統(tǒng)需要考慮的問(wèn)題。上海廣電應(yīng)確信有限公司()作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備廠商，在ids技術(shù)上，采用了高速網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)，結(jié)合獨(dú)特的硬件和軟件優(yōu)化，提高了檢測(cè)分析速度，同時(shí)以模式匹配技術(shù)為主，結(jié)合異常發(fā)現(xiàn)技術(shù)，采用基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng)，并使用先進(jìn)的“基于上下文分析”技術(shù)，提供了更準(zhǔn)確的可互動(dòng)的入侵檢測(cè)。本貼來(lái)自天極網(wǎng)群樂(lè)社區(qū)-基于改進(jìn)的bm算法在ids中的實(shí)現(xiàn)摘 要入侵檢測(cè)技術(shù)是一種主動(dòng)保護(hù)自己免受攻擊的網(wǎng)絡(luò)安全技術(shù)，是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)，作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安

5、全基礎(chǔ)結(jié)構(gòu)的完整性。本文首先對(duì)入侵檢測(cè)現(xiàn)狀、入侵檢測(cè)系統(tǒng)組成進(jìn)行了分析和總結(jié)，重點(diǎn)研究了網(wǎng)絡(luò)入侵檢測(cè)的核心技術(shù)入侵檢測(cè)算法。模式匹配算法是基于特征匹配的入侵檢測(cè)系統(tǒng)中的核心算法，是當(dāng)前入侵檢測(cè)設(shè)備中普遍應(yīng)用的算法。模式匹配的效率決定了入侵檢測(cè)系統(tǒng)的性能。通過(guò)對(duì)開(kāi)放源代碼的snort中模式匹配技術(shù)的改進(jìn)，提出了一種更快的模式匹配算法，該算法可以加快入侵檢測(cè)系統(tǒng)的檢測(cè)速度，提高現(xiàn)有入侵檢測(cè)系統(tǒng)的檢測(cè)能力。關(guān)鍵詞：bm算法；入侵檢測(cè)系統(tǒng)；模式匹配；單模式匹配算法implementation of improved bm algorithm in idsabstractintrusion detect

6、ion technology is such a kind of safe technologies that can make one avoid being attacked by network practices voluntarily, a new generation of security technology after the traditional security protective measure, such as fire wall, data encrypted etc. as a rational supplement of fire wall, intrusi

7、on detection technique can help the system to deal with attacks from network and expand security managerial ability of system manager, and raise the integrality of the security infrastructure of the information.first, this dissertation analyses and summarizes the current status of intrusion research

8、, focuses on research and practice on intrusion detection system (ids) algorithm which is technique difficulties in network intrusion detection. pattern matching algorithm is central algorithm in signature based on ids. the effect of these ids is dominated by pattern matching algorithm used. by mean

9、s of improving the pattern matching technique in open source code-snort, an even faster algorithm of pattern matching is presented so that the detection speed of ids can be increased and the detective ability of available ids is proved.key words: bm algorithm; ids; pattern-matching; single pattern-m

10、atching algorithm目 錄1 引言11.1 課題背景11.2 本課題研究的意義22 入侵檢測(cè)系統(tǒng)概述22.1 入侵檢測(cè)的概念22.2 入侵檢測(cè)系統(tǒng)的組成及部署22.2.1 入侵檢測(cè)系統(tǒng)的組成22.2.2 入侵檢測(cè)系統(tǒng)的部署32.3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort32.3.1 snort系統(tǒng)概述32.3.2 snort系統(tǒng)簡(jiǎn)要分析42.3.3 snort系統(tǒng)部分源碼簡(jiǎn)介63 bm算法63.1 bm算法63.1.1 bm算法具體介紹63.1.2 bm算法預(yù)處理83.1.3 bm算法查找93.2 bm算法字符匹配實(shí)例94 bm算法的改進(jìn)和實(shí)現(xiàn)124.1 bm算法的改進(jìn)思想124.2 改進(jìn)的

11、bm算法144.3 改進(jìn)的bm算法與bm算法的性能比較164.3.1 性能實(shí)例比較164.3.2 性能測(cè)試比較174.4改進(jìn)的bm算法在snort系統(tǒng)中的實(shí)現(xiàn)18結(jié) 論19參考文獻(xiàn)19致 謝20聲 明211 引言1.1 課題背景由于計(jì)算機(jī)網(wǎng)絡(luò)自身存在的局限性和信息系統(tǒng)的脆弱性，使得計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等因?yàn)榭深A(yù)見(jiàn)或不可預(yù)見(jiàn)的甚至惡意的原因而遭到破壞、更改、泄露或功能失效，使得信息系統(tǒng)處于異常狀態(tài)，甚至引起系統(tǒng)的崩潰癱瘓，造成巨大的經(jīng)濟(jì)損失。在這樣的形式下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為目的的網(wǎng)絡(luò)安全變得越來(lái)越重要，對(duì)安全方面的考慮提高到了越來(lái)越重要的地位上。在

12、設(shè)計(jì)現(xiàn)有防護(hù)系統(tǒng)的時(shí)候，只可能考慮到已知的安全威脅與有限范圍的未知安全威脅。防護(hù)技術(shù)只能做到盡量阻止攻擊企圖的得逞或者延緩這個(gè)過(guò)程，而不能阻止各種攻擊事件的發(fā)生，這時(shí)就需要引入入侵檢測(cè)手段加以彌補(bǔ)。入侵檢測(cè)系統(tǒng)（ids）就是按照一定的安全策略建立相應(yīng)的安全輔助措施的保障系統(tǒng)。目前ids軟件的開(kāi)發(fā)方式基本上就是按照這個(gè)思路進(jìn)行的。對(duì)ids的要求是：如果系統(tǒng)遭到攻擊，ids應(yīng)盡可能的檢測(cè)到，甚至是實(shí)時(shí)的檢測(cè)到入侵攻擊，然后采取適當(dāng)?shù)奶幚泶胧?。入侵檢測(cè)系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測(cè)作為安全技術(shù)其作用在于：(1)識(shí)別入侵者；(2)識(shí)別入侵行為；(3)檢測(cè)和監(jiān)視已成功的安全突破

13、；(4)為對(duì)抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。從這些角度看待安全問(wèn)題，入侵檢測(cè)非常必要，它將彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。從目前入侵檢測(cè)技術(shù)的研究來(lái)看，一個(gè)重要的環(huán)節(jié)是對(duì)入侵行為特征進(jìn)行匹配，即規(guī)則匹配。規(guī)則匹配的過(guò)程就是對(duì)從網(wǎng)絡(luò)上捕獲的每一條數(shù)據(jù)報(bào)文和預(yù)先定義的入侵規(guī)則樹(shù)進(jìn)行匹配的過(guò)程。如果發(fā)現(xiàn)存在某條規(guī)則匹配這個(gè)報(bào)文，就表示檢測(cè)到一個(gè)攻擊，然后按照規(guī)則指定的行為進(jìn)行處理；如果搜索完所有的規(guī)則都沒(méi)有找到匹配的規(guī)則，就表示報(bào)文是正常的報(bào)文。bm算法和kmp算法是情報(bào)學(xué)中應(yīng)用范圍最廣的一種字符匹配算法，近年來(lái)在入侵檢測(cè)系統(tǒng)中也得到應(yīng)用，典型的入侵檢測(cè)系統(tǒng)snort就采用了bm算法

14、。但由于bm算法自身存在的缺陷，導(dǎo)致在高速網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)的速度可能跟不上數(shù)據(jù)包到達(dá)速率，進(jìn)而可能導(dǎo)致丟包現(xiàn)象。本文提出了bm算法的改進(jìn)算法，充分利用了badchar函數(shù)在匹配過(guò)程中起到的移動(dòng)指針的主導(dǎo)作用，去掉了goodsuffix函數(shù)的煩瑣計(jì)算，并對(duì)badchar函數(shù)進(jìn)行了一定程度的修改，提高了匹配速度。在1998年,martin roesch先生用c語(yǔ)言開(kāi)發(fā)了開(kāi)放源代碼(open source)的入侵檢測(cè)系統(tǒng)snort.直至今天,snort已發(fā)展成為一個(gè)多平臺(tái)(multi-platform),實(shí)時(shí)(real-time)流量分析,網(wǎng)絡(luò)ip數(shù)據(jù)包(pocket)記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢

15、測(cè)/防御系統(tǒng)(network intrusion detection/prevention system),即nids/nips.snort符合通用公共許可(gplgun general pubic license),在網(wǎng)上可以通過(guò)免費(fèi)下載獲得snort,并且只需要幾分鐘就可以安裝并開(kāi)始使用它.snort基于libpcap。snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測(cè)模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，

16、并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。 編輯本段相關(guān)條目snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(nids)。 使用簡(jiǎn)介 snort并非復(fù)雜難以操作的軟體。 snort可以三個(gè)模式進(jìn)行運(yùn)作： 偵測(cè)模式（sniffer mode）：此模式下，snort將在現(xiàn)有的網(wǎng)域內(nèi)擷取封包，并顯示在螢?zāi)簧?。封包紀(jì)錄模式（packet logger mode）：此模式下，snort將已擷取的封包存入儲(chǔ)存媒體中（如硬碟）。上線模式（inline mode）：此模式下，snort可對(duì)擷取到的封包做分析的動(dòng)作，并根據(jù)一定的規(guī)則來(lái)判斷是否有網(wǎng)路攻擊行為的出現(xiàn)。 基本指令：偵測(cè)模式 若你想要在螢?zāi)簧巷@示網(wǎng)路封包的標(biāo)頭檔（h

17、eader）內(nèi)容，請(qǐng)使用 ./snort -v 如果想要在螢?zāi)簧巷@示正在傳輸?shù)姆獍鼧?biāo)頭檔內(nèi)容，請(qǐng)使用 ./snort -vd 如果除了以上顯示的內(nèi)容之外，欲另外顯示資料連結(jié)層（data link layer）的資料的話，請(qǐng)使用 ./snort -vde 編輯本段基本指令 封包記錄模式在記錄封包之前，您必須先指定一個(gè)目錄來(lái)儲(chǔ)存該資料。舉例而言，若您在您目前的目錄下建立了一個(gè)名為log的目錄，欲存紀(jì)錄資料于該目錄下的話，請(qǐng)使用 ./snort -dev -l ./log 若想要以二進(jìn)位碼（binary code）的方式來(lái)儲(chǔ)存封包資料的話，請(qǐng)使用 ./snort -l ./log -b 若欲讀取某已

18、儲(chǔ)存的封包記錄檔案（假設(shè)其檔名為packet.log），請(qǐng)使用 ./snort -dvr packet.log 若欲讀取該檔案中特定網(wǎng)路協(xié)定的資訊（假設(shè)是tcp協(xié)定），請(qǐng)使用 ./snort -dvr packet.log tcp 編輯本段基本指令 入侵偵測(cè)模式若欲使用入侵偵測(cè)模式，請(qǐng)使用 ./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 其中snort.conf是封包的簽章檔案 若不需要得知資料連結(jié)層的資訊，請(qǐng)使用 ./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 以下是snort

19、在入侵偵測(cè)模式的指令選項(xiàng)： -a fast快速警告模式 -a full完整警告模式（預(yù)設(shè)） -a unsock將警告訊息送至unix的socket上，供其他裝置檢視 -a none關(guān)閉警告功能 -a console將警告訊息送至終端機(jī)（console） 線上模式 封包的抓取不透過(guò)libcap，而是透過(guò)防火墻，并可告知防火墻是否讓此封包通過(guò)。啟用線上模式使用./snort -qd -h 192.168.0.0/16 -l ./log -c snort.conf 防火墻的設(shè)定 * linux o iptables -t nat -a prerouting -j queue 編輯snort偵測(cè)規(guī)則

20、以下是一種編輯偵測(cè)規(guī)則（snort rule）的例子： alert tcp any any -192.168.1.0/24 111 依次分為以下幾個(gè)部份： 標(biāo)頭 標(biāo)頭的部份指的是此規(guī)則欲執(zhí)行的動(dòng)作。以上的例子為alert，即警示。完整的標(biāo)頭選項(xiàng)列表如下： alert產(chǎn)生警示 log紀(jì)錄該封包 pass忽略該封包 activate產(chǎn)生警示，并開(kāi)啟另一個(gè)動(dòng)態(tài)規(guī)則 dynamic被activate指令觸發(fā)后所執(zhí)行的規(guī)則 drop讓iptable丟棄該類型封包并記錄下來(lái) reject讓iptable丟棄該類型封包，并送出tcp重新啟動(dòng)（tcp reset）的封包 sdrop讓iptable丟棄該類型封

21、包，但不記錄 通訊協(xié)定 通訊協(xié)定指出執(zhí)行該規(guī)則的協(xié)定為何。上述的例子是tcp協(xié)定。 目前snort支援四種通訊協(xié)定： tcp, udp, icmp, ip 并計(jì)劃在未來(lái)支援以下的協(xié)定： arp, igrp, gre, ospf, rip, ipx等等 進(jìn)階規(guī)則編輯 includes: include允許指令的規(guī)則檔包含其他的規(guī)則檔。 include: 請(qǐng)注意，在該行結(jié)尾處沒(méi)有分號(hào)。被包含的規(guī)則檔會(huì)把任何預(yù)設(shè)的變數(shù)值替換為其本身的變數(shù)。 variables : 在snort中定義的變數(shù)。 var: 例子： var net 192.168.1.0/24 alert tcp any any - $n

22、et any (flags: s; msg: fin packet;) 變數(shù)名稱可以用多種方法修改?？梢栽?符號(hào)之后定義變數(shù)。 ?和-可用于變數(shù)修改符號(hào)。 $var -定義變數(shù)。 $(var) -用變數(shù)var的值替換。 $(var:-default) -用變數(shù)var的值替換。若var沒(méi)有定義，則使用default替換。 $(var:?messagexxx) -用變數(shù)var的值替換，或列印出錯(cuò)誤訊息messagexxx。例子： var net $(net:-192.168.1.0/24) log tcp any any - $(net:?net is undefined!) 23 config

23、snort的很多配置和命令行選項(xiàng)都可以在配置檔中設(shè)置。 config : 編輯本段主要指令order改變規(guī)則順序( snort -o ) alertfile建立警告輸出檔，例如：config alertfile: alertlog classification將規(guī)則分類。 decode_arp開(kāi)啟arp解碼功能。 （snort -a） dump_chars_only開(kāi)啟字元擷取功能。 （snort -c） dump_payload擷取應(yīng)用層資料。 (snort -d) decode_data_link解碼資料連結(jié)層的標(biāo)頭檔。 (snort -e) bpf_file指定bpf篩檢程式（snort

24、 -f）。例如：config bpf_file: filename.bpf set_gid改變gid (snort -g)。例如：config set_gid: snort_group daemon以背景方式執(zhí)行。 (snort -d) reference_net設(shè)置該區(qū)域的網(wǎng)路。 (snort -h)。例如：config reference_net:192.168.1.0/24 interface設(shè)置網(wǎng)路介面（snort i）。例如：config interface: xl0 alert_with_interface_name警示時(shí)附加上介面資訊。 (snort -i) logdir設(shè)置記錄目錄(snort -l