Snort規(guī)則的分析與制定

Snort規(guī)則的分析與制定

隨著網(wǎng)絡(luò)應(yīng)用的普及，安全性變得日益重要，作為網(wǎng)絡(luò)安全的一個(gè)重要組成部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NetworkIn．trusionDetectionSystem，NIDS)受到業(yè)界更多的關(guān)注，Snort正是一款基于libpcap庫(kù)、開(kāi)放源碼的NIDS系統(tǒng)。這些開(kāi)放源代碼的數(shù)據(jù)分析軟件包，為我們構(gòu)建規(guī)則處理模塊提供了便利條件，但通常它又有一定的局限性，所以，要開(kāi)發(fā)一個(gè)真正功能強(qiáng)大、實(shí)用的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，開(kāi)發(fā)者需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究，才能制定相應(yīng)的安全規(guī)則集和安全策略。它正是構(gòu)建NIDS的工作重點(diǎn)。也是本文關(guān)注的焦點(diǎn)。1Snort簡(jiǎn)介代寫論文Snort是用c語(yǔ)言編寫的開(kāi)放源代碼軟件，它是一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)工具。當(dāng)前最新的版本是snort-2．7．0．1．tar．gzMonAug610：14：59EDT2007(LastModified)?。新版與以前的版本相比，增加的核心功能就是引入了數(shù)據(jù)匹配相對(duì)偏移的概念。在規(guī)則方面增加了若干選項(xiàng)，如content選項(xiàng)增加了distance和within修飾選項(xiàng)，可以使匹配多個(gè)有一定順序和固定間隔的模式成為可能。目前ourcdire公司開(kāi)始推行snort的許可證協(xié)議，以使其可以對(duì)一些具有及時(shí)性的，經(jīng)過(guò)測(cè)試的規(guī)則進(jìn)行收費(fèi)。nort系統(tǒng)由四個(gè)基本模塊組成，如1所示。數(shù)據(jù)采集模塊，在數(shù)據(jù)采集模塊中可以加入預(yù)處理模塊，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合并、去除冗余信息，從而提高系統(tǒng)的效率；預(yù)處理模塊，用來(lái)擴(kuò)展Snort的功能；檢測(cè)引擎，這是Snort的核心模塊；日志與報(bào)警輸出模塊，管理員通過(guò)它來(lái)指定記錄日志和告警的輸出。用戶還可以自己編寫模塊來(lái)擴(kuò)展Snort的功能，以應(yīng)對(duì)不斷出現(xiàn)的威脅。2Snort規(guī)則與制定2．1Snort的規(guī)則與鏈表snort的工作原理是解析規(guī)則集形成規(guī)則樹(shù)，然后利用lihpcap對(duì)采集來(lái)的數(shù)據(jù)進(jìn)行模式匹配，若匹配成功，則認(rèn)為是有入侵行為發(fā)生，進(jìn)入報(bào)警理模塊。所以Snort規(guī)則是它的核心，必須擁有一個(gè)強(qiáng)大的入侵特征數(shù)據(jù)庫(kù)，才能準(zhǔn)確、高效地捕捉入侵行為。Snort規(guī)則被寫成“規(guī)則頭(選項(xiàng))”的形式。規(guī)則頭包含規(guī)則動(dòng)作、協(xié)議、源和目標(biāo)II，地址與網(wǎng)絡(luò)掩碼、源和目標(biāo)端口信息和、方向操作符；規(guī)則選項(xiàng)部分包含報(bào)警消息內(nèi)容和要檢查的包的具體部分]。規(guī)則選項(xiàng)中可能有一個(gè)或多個(gè)選項(xiàng)，不同選項(xiàng)之間使用“；”分隔開(kāi)了，它們之間為“與”的關(guān)系。選項(xiàng)由關(guān)鍵字和參數(shù)組成，每個(gè)關(guān)鍵字和它的參數(shù)問(wèn)使用冒號(hào)“：”分隔。一條規(guī)則可書(shū)寫為：alerttcp“EXTERNAL—NETany一>”HOME—NETl(msg：“FSITECPWDoverflOWattempt”：flow：estab-lished，to—server；content“SITE”；nocase；content“CP-這條規(guī)則的動(dòng)作選項(xiàng)是發(fā)出alert，協(xié)議類型是tcp，源IP地址是“EXTERNAL。NET，指任意外網(wǎng)地址，源端口為任意端口(any)，目的IP地址是”HOME—NET，指任意內(nèi)網(wǎng)地址．目的端口是21號(hào)端口，網(wǎng)絡(luò)流量的方向是一>，指需要從外網(wǎng)到內(nèi)網(wǎng)的網(wǎng)絡(luò)流量中匹配該特征。Snort將檢測(cè)規(guī)則利用鏈表的形式進(jìn)行組織，建立鏈表時(shí)，首先按規(guī)則類型分類，分成了五個(gè)單獨(dú)的規(guī)則鏈；然后針對(duì)這五個(gè)規(guī)則鏈的每一個(gè)按協(xié)議類型分成相應(yīng)的節(jié)點(diǎn)鏈表；在節(jié)點(diǎn)鏈表之下又分為若干規(guī)則樹(shù)節(jié)點(diǎn)(RuleTreeNodeRTN)；每個(gè)規(guī)則樹(shù)節(jié)點(diǎn)下又有若干規(guī)則選項(xiàng)，稱為選項(xiàng)樹(shù)節(jié)點(diǎn)(Opfion~TreeNodeOTN)。每一個(gè)RTN對(duì)應(yīng)于規(guī)則頭，其中包含協(xié)議類型、源和目的地址、源和目的端口號(hào)等；每一個(gè)OTN對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn)，其中包含報(bào)警信息(msg)、匹配內(nèi)容(content)，TCP標(biāo)志位(flags)等選項(xiàng)。當(dāng)數(shù)據(jù)包到達(dá)檢測(cè)引擎時(shí)，Snort將首先匹配規(guī)則鏈，然后根據(jù)數(shù)據(jù)包協(xié)議匹配相應(yīng)的節(jié)點(diǎn)鏈表，于是從左至右遍歷RTN，參看源、目的IP及端口號(hào)是否匹配，找到一個(gè)匹配后，算法向下進(jìn)行，再進(jìn)入OTN中尋找匹配，每個(gè)OTN結(jié)點(diǎn)包含一條規(guī)則所對(duì)應(yīng)的全部選項(xiàng)，當(dāng)數(shù)據(jù)包與所有函數(shù)都匹配成功時(shí)，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包，進(jìn)入告警模塊。2．2Snort規(guī)則的制定在設(shè)計(jì)檢測(cè)方案時(shí)，既要考慮快速地結(jié)束一個(gè)無(wú)效的檢測(cè)過(guò)程，也應(yīng)該盡量減少檢測(cè)的范圍。如何從眾多的參數(shù)中選出最適合的、最容易達(dá)到匹配目的的參數(shù)先進(jìn)行匹配?以TCP報(bào)文來(lái)說(shuō)，獨(dú)特的屬性就是源端口和目的端口。端口可以分為兩種，保留端口和非保留端口。對(duì)于一般的連接來(lái)說(shuō)，通常在服務(wù)器端采用保留端口，在客戶端采用非保留端口，所以可以利用保留端口作為獨(dú)特的參數(shù)。Snort可以觀察保留端口的位置，如果保留端口在源端口，通常情況下就意味著這是從服務(wù)器端發(fā)出的網(wǎng)絡(luò)流量，反之，如果在目的端口，就是從客戶端發(fā)出的流量。比如當(dāng)Snort觀察到一個(gè)HTYP請(qǐng)求報(bào)文，先檢查它的源端日和目的端口，看是否能找到一個(gè)參數(shù)來(lái)組成獨(dú)特的集合。一般來(lái)說(shuō)，HTrP請(qǐng)求報(bào)文的源端口是超過(guò)1024的非保留端口，而它的目的端口是80或者其他已知的HTrP服務(wù)端口，此時(shí)就可以從特征庫(kù)中選出目的端口是80，源端口任意的特征組成一個(gè)集合，再進(jìn)行接下來(lái)的匹配工作。Netbus