網(wǎng)絡(luò)安全第8章網(wǎng)絡(luò)入侵檢測(cè)IDS

第8章網(wǎng)絡(luò)入侵檢測(cè)IDS1IDS概述1.1IDS概念1.2IDS功能1.3IDS特點(diǎn)1.4IDS基本結(jié)構(gòu)1.1IDS概念一種主動(dòng)保護(hù)自己的網(wǎng)絡(luò)和系統(tǒng)免遭非法攻擊的網(wǎng)絡(luò)安全技術(shù)。它從計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)中收集、分析信息，檢測(cè)任何企圖破壞計(jì)算機(jī)資源的完整性、機(jī)密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應(yīng)的反應(yīng)。加載入侵檢測(cè)技術(shù)的系統(tǒng)我們稱之為入侵檢測(cè)系統(tǒng)（IDS，IntrusionDetectionSystem），一般情況下，我們并不嚴(yán)格的去區(qū)分入侵檢測(cè)和入侵檢測(cè)系統(tǒng)兩個(gè)概念，而都稱為IDS或入侵檢測(cè)技術(shù)。監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測(cè)引擎CardKey形象地說，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。IDS意義源于信息審計(jì)，優(yōu)于信息審計(jì)，信息安全審計(jì)的核心技術(shù)主動(dòng)防御的需要，防火墻、VPN通過“阻斷”的機(jī)制被動(dòng)式防御，不能抵制復(fù)雜和內(nèi)部的攻擊作為與防火墻配合的防護(hù)手段（如下圖）1.2IDS功能監(jiān)控、分析用戶和系統(tǒng)活動(dòng)實(shí)現(xiàn)入侵檢測(cè)任務(wù)的前提條件發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象入侵檢測(cè)系統(tǒng)的核心功能這主要包括兩個(gè)方面，一是入侵檢測(cè)系統(tǒng)對(duì)進(jìn)出網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù)流進(jìn)行監(jiān)控，看是否存在對(duì)系統(tǒng)的入侵行為，另一個(gè)是評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵。記錄、報(bào)警和響應(yīng)入侵檢測(cè)系統(tǒng)在檢測(cè)到攻擊后，應(yīng)該采取相應(yīng)的措施來阻止攻擊或響應(yīng)攻擊。入侵檢測(cè)系統(tǒng)作為一種主動(dòng)防御策略，必然應(yīng)該具備此功能。審計(jì)系統(tǒng)的配置和弱點(diǎn)、評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性等IDS的兩個(gè)指標(biāo)漏報(bào)率指攻擊事件沒有被IDS檢測(cè)到誤報(bào)率(falsealarmrate)把正常事件識(shí)別為攻擊并報(bào)警誤報(bào)率與檢出率成正比例關(guān)系0檢出率(detectionrate)100%100%誤報(bào)率1.3IDS特點(diǎn)不足不能彌補(bǔ)差的認(rèn)證機(jī)制需要過多的人為干預(yù)不知道安全策略的內(nèi)容不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議上的弱點(diǎn)不能分析一個(gè)堵塞的網(wǎng)絡(luò)不能分析加密的數(shù)據(jù)優(yōu)點(diǎn)：提高信息安全構(gòu)造的其他部分的完整性提高系統(tǒng)的監(jiān)控能力從入口點(diǎn)到出口點(diǎn)跟蹤用戶的活動(dòng)識(shí)別和匯報(bào)數(shù)據(jù)文件的變化偵測(cè)系統(tǒng)配置錯(cuò)誤并糾正識(shí)別特殊攻擊類型，并向管理人員發(fā)出警報(bào)1.4IDS模型入侵檢測(cè)模型有多種，其中最有影響的是如下2種：（1）CIDF模型事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。分析是核心：效率高低直接決定整個(gè)IDS性能響應(yīng)單元告警和事件報(bào)告終止進(jìn)程，強(qiáng)制用戶退出切斷網(wǎng)絡(luò)連接，修改防火墻設(shè)置

災(zāi)難評(píng)估，自動(dòng)恢復(fù)

查找定位攻擊者事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡(jiǎn)單的文本文件管理器常規(guī)的管理功能：定位、控制ConsoleGUI命令行、客戶程序、Web方式Database日志、規(guī)則庫、行為模式庫（2）Denning模型該模型由以下6個(gè)主要部分構(gòu)成：（1）主體（Subjects）：在目標(biāo)系統(tǒng)上活動(dòng)的實(shí)體，如用戶；（2）對(duì)象（Objets）：系統(tǒng)資源，如文件、設(shè)備、命令等；（3）審計(jì)記錄（Auditrecords）：由如下的一個(gè)六元組構(gòu)成<Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp>。活動(dòng)（Action）是主體對(duì)目標(biāo)的操作，對(duì)操作系統(tǒng)而言，這些操作包括讀、寫、登錄、退出等；異常條件（Exception-Condition）是指系統(tǒng)對(duì)主體的該活動(dòng)的異常報(bào)告，如違反系統(tǒng)讀寫權(quán)限；資源使用狀況（Resource-Usage）是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率等；時(shí)間戳（Time-Stamp）是活動(dòng)發(fā)生時(shí)間；（4）活動(dòng)簡(jiǎn)檔（ActivityProfile）：用以保存主體正常活動(dòng)的有關(guān)信息，具體實(shí)現(xiàn)依賴于檢測(cè)方法，在統(tǒng)計(jì)方法中從事件數(shù)量、頻度、資源消耗等方面度量，可以使用方差、馬爾可夫模型等方法實(shí)現(xiàn)；（5）異常記錄（AnomalyRecord）：由<Event，Time-stamp，Profile>組成。用以表示異常事件的發(fā)生情況；（6）活動(dòng)規(guī)則：規(guī)則集是檢查入侵是否發(fā)生的處理引擎，結(jié)合活動(dòng)簡(jiǎn)檔用專家系統(tǒng)或統(tǒng)計(jì)方法等分析接收到的審計(jì)記錄，調(diào)整內(nèi)部規(guī)則或統(tǒng)計(jì)信息，在判斷有入侵發(fā)生時(shí)采取相應(yīng)的措施。2IDS技術(shù)2.1IDS檢測(cè)技術(shù)2.2主機(jī)和網(wǎng)絡(luò)2.3協(xié)議分析2.4其他高級(jí)IDS技術(shù)2.5IDS部署2.1IDS檢測(cè)技術(shù)IDS檢測(cè)技術(shù)異常檢測(cè)模型（AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵

誤用檢測(cè)模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵

異常檢測(cè)（AnomalyDetection）思想：任何正常人的行為有一定的規(guī)律需要考慮的問題：（1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為（2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學(xué)習(xí)和檢測(cè)方法的不同（3）考慮學(xué)習(xí)過程的時(shí)間長(zhǎng)短、用戶行為的時(shí)效性等問題BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity異常檢測(cè)模型異常檢測(cè)過程：前提：入侵是異?；顒?dòng)的子集用戶輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化比較判定 修正指標(biāo):漏報(bào)(falsepositive),錯(cuò)報(bào)(falsenegative)優(yōu)點(diǎn)可以檢測(cè)到未知的入侵

可以檢測(cè)冒用他人帳號(hào)的行為

具有自適應(yīng)，自學(xué)習(xí)功能

不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來逃避檢測(cè)合法用戶正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低

統(tǒng)計(jì)點(diǎn)的選取和參考庫的建立比較困難activitymeasuresprobableintrusionRelativelyhighfalsepositiverate- anomaliescanjustbenewnormalactivities.誤用檢測(cè)（MisuseDetection）思想：主要是通過某種方式預(yù)先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預(yù)先定義規(guī)則的入侵行為誤用信號(hào)需要對(duì)入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)系進(jìn)行描述重要問題（1）如何全面的描述攻擊的特征（2）如何排除干擾，減小誤報(bào)（3）解決問題的方式SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch誤用檢測(cè)模型誤用檢測(cè)過程前提：所有的入侵行為都有可被檢測(cè)到的特征攻擊特征庫:當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標(biāo)錯(cuò)報(bào)低

漏報(bào)高

優(yōu)點(diǎn):算法簡(jiǎn)單、系統(tǒng)開銷小、準(zhǔn)確率高、效率高缺點(diǎn)：被動(dòng)：只能檢測(cè)出已知攻擊、新類型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅

模式庫的建立和維護(hù)難：模式庫要不斷更新知識(shí)依賴于：硬件平臺(tái)、操作系統(tǒng)、系統(tǒng)中運(yùn)行的應(yīng)用程序IntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“l(fā)andattack”2.2主機(jī)和網(wǎng)絡(luò)按照數(shù)據(jù)來源：基于主機(jī)：IDS用以分析的數(shù)據(jù)源于主機(jī)系統(tǒng)，包括主機(jī)網(wǎng)絡(luò)連接、主機(jī)審計(jì)數(shù)據(jù)、主機(jī)應(yīng)用日志等。主機(jī)IDS保護(hù)的目標(biāo)是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)：IDS用以分析的數(shù)據(jù)源于網(wǎng)絡(luò)數(shù)據(jù)包。網(wǎng)絡(luò)IDS保護(hù)的是目標(biāo)網(wǎng)絡(luò)混合型：集成兩者主機(jī)IDS示意圖關(guān)鍵問題：監(jiān)視與分析主機(jī)的審計(jì)記錄可以不運(yùn)行在監(jiān)控主機(jī)上能否及時(shí)采集到審計(jì)記錄？如何保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng)？主機(jī)IDS特點(diǎn)：能夠監(jiān)測(cè)的網(wǎng)絡(luò)和主機(jī)活動(dòng)更加細(xì)膩視野集中，比如：一旦入侵者得到了一個(gè)主機(jī)的用戶名和口令，基于主機(jī)的代理是最有可能區(qū)分正常的活動(dòng)和非法的活動(dòng)的易于用戶剪裁對(duì)網(wǎng)絡(luò)流量不敏感：數(shù)據(jù)來源不完全源于網(wǎng)絡(luò)適用于被加密的以及切換的環(huán)境網(wǎng)絡(luò)IDS示意圖關(guān)鍵問題在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)主機(jī)資源消耗少提供對(duì)網(wǎng)絡(luò)通用的保護(hù)如何適應(yīng)高速網(wǎng)絡(luò)環(huán)境？非共享網(wǎng)絡(luò)上如何采集數(shù)據(jù)？網(wǎng)絡(luò)IDS優(yōu)點(diǎn)偵測(cè)速度快隱蔽性好視野更寬較少的監(jiān)測(cè)器攻擊者不易轉(zhuǎn)移證據(jù)操作系統(tǒng)無關(guān)性占資源少網(wǎng)絡(luò)IDS不足只檢查它直接連接網(wǎng)段的通信，不能檢測(cè)在不同網(wǎng)段的網(wǎng)絡(luò)包在使用交換以太網(wǎng)的環(huán)境中就會(huì)出現(xiàn)監(jiān)測(cè)范圍的局限而安裝多臺(tái)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的傳感器會(huì)使部署整個(gè)系統(tǒng)的成本大大增加。通常采用特征檢測(cè)的方法，它可以檢測(cè)出普通的一些攻擊，而很難實(shí)現(xiàn)一些復(fù)雜的需要大量計(jì)算與分析時(shí)間的攻擊檢測(cè)?？赡軙?huì)將大量的數(shù)據(jù)傳回分析系統(tǒng)中，在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會(huì)產(chǎn)生大量的分析數(shù)據(jù)流量處理加密的會(huì)話過程比較困難，目前通過加密通道的攻擊尚不多，但隨著IPV6的普及，這個(gè)問題會(huì)越來越突出。網(wǎng)絡(luò)節(jié)點(diǎn)入侵檢測(cè)(NNIDS)NNIDS概況也稱為Stack-BasedIDS安裝在網(wǎng)絡(luò)節(jié)點(diǎn)的主機(jī)中結(jié)合了NIDS和HIDS的技術(shù)適合于高速交換環(huán)境和加密數(shù)據(jù)2.3協(xié)議分析概念舉例一般流程協(xié)議分析優(yōu)勢(shì)概念協(xié)議分析（ProtocolAnalysis，PA）利用協(xié)議的高度規(guī)則性，對(duì)協(xié)議進(jìn)行分析，尋找違反協(xié)議定義的數(shù)據(jù)包。檢測(cè)思想?yún)f(xié)議定義是規(guī)范的（通用協(xié)議、專用協(xié)議）協(xié)議頭的長(zhǎng)度是固定的，數(shù)據(jù)量很小。協(xié)議舉例（HTTP）協(xié)議舉例（HTTP）幀的前14個(gè)字節(jié)為MAC頭，第13、14兩個(gè)字節(jié)用于標(biāo)明第三層采用什么協(xié)議，如為“0800”（即0x0800），則表明是IP協(xié)議，如為“0806”（即0x0806），表明是ARP協(xié)議，如為“8035”（即0x8035），則表明是RARP協(xié)議，如為“8138”（即0x8138），則為NOVELL協(xié)議。IP協(xié)議頭的長(zhǎng)度為20個(gè)字節(jié)，其中第10個(gè)字節(jié)（即該幀第24個(gè)字節(jié)）為第四層協(xié)議標(biāo)識(shí)，如為“06”，則為TCP，如為“11”則為UDP，如為“01”則為ICMP。TCP協(xié)議頭的長(zhǎng)度為20字節(jié)，其中第3、4兩個(gè)字節(jié)（即該幀第35、36兩字節(jié)）為應(yīng)用層協(xié)議使用的端口號(hào)，應(yīng)用層協(xié)議一般使用專用的端口，如HTTP使用80端口，F(xiàn)TP使用21端口，TELNET使用23端口等。包頭共使用了54Bytes，從第55個(gè)字節(jié)開始，就是HTTP數(shù)據(jù)了。協(xié)議分析一般流程協(xié)議分析的優(yōu)勢(shì)優(yōu)點(diǎn)減少誤報(bào)率提高分析速度可以解決一些具體問題模糊路徑問題、十六進(jìn)制編碼問題、雙十六進(jìn)制編碼問題等依據(jù)RFC，執(zhí)行協(xié)議異常分析例如：檢測(cè)0-day漏洞腳本大量的90字符可能是ShellCode中的NOP操作2.4其他高級(jí)IDS技術(shù)專家系統(tǒng)：將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應(yīng)措施轉(zhuǎn)化成then部分。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計(jì)事件得到，推理機(jī)根據(jù)規(guī)則和行為完成判斷工作。在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨：1）全面性問題，即難以科學(xué)地從各種入侵手段中抽象出全面地規(guī)則化知識(shí)；2）效率問題，即所需處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何獲得實(shí)時(shí)連續(xù)的審計(jì)數(shù)據(jù)也是個(gè)問題。神經(jīng)網(wǎng)絡(luò)基本思想是用一系列信息單元（命令）訓(xùn)練神經(jīng)元，這樣在給定一組輸入后，就可能預(yù)測(cè)出輸出。與統(tǒng)計(jì)理論相比，神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系，并且能自動(dòng)學(xué)習(xí)和更新。實(shí)驗(yàn)表明UNIX系統(tǒng)管理員的行為幾乎全是可以預(yù)測(cè)的，對(duì)于一般用戶，不可預(yù)測(cè)的行為也只占了很少的一部分。用于檢測(cè)的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的：當(dāng)前命令和剛過去的w個(gè)命令組成了神經(jīng)網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò)誤率在一定程度上反映了用戶行為的異常程度?；谏窠?jīng)網(wǎng)絡(luò)的檢測(cè)思想如下圖7-3所示：神經(jīng)網(wǎng)絡(luò)方法特點(diǎn)：圖中輸入層的w個(gè)箭頭代表了用戶最近的w個(gè)命令，輸出層預(yù)測(cè)用戶將要發(fā)生的下一個(gè)動(dòng)作。神經(jīng)網(wǎng)絡(luò)方法的優(yōu)點(diǎn)在于能更好地處理原始數(shù)據(jù)的隨機(jī)特征，即不需要對(duì)這些數(shù)據(jù)作任何統(tǒng)計(jì)假設(shè)，并且有較好的抗干擾能力。缺點(diǎn)在于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及各元素的權(quán)重很難確定，命令窗口w的大小也難以選取。窗口太小，則網(wǎng)絡(luò)輸出不好，窗口太大，則網(wǎng)絡(luò)會(huì)因?yàn)榇罅繜o關(guān)數(shù)據(jù)而降低效率?！傲憧截悺奔夹g(shù)“零拷貝”技術(shù)是指網(wǎng)卡驅(qū)動(dòng)程序共享一段內(nèi)存區(qū)域，當(dāng)網(wǎng)卡抓到數(shù)據(jù)包以后直接寫到共享內(nèi)存，這樣的一個(gè)處理過程減少了至少一次復(fù)制。同時(shí)減少了一次網(wǎng)卡驅(qū)動(dòng)程序向用戶空間復(fù)制網(wǎng)絡(luò)數(shù)據(jù)包的系統(tǒng)調(diào)用。一次系統(tǒng)調(diào)用的開銷其實(shí)是相當(dāng)大的，對(duì)于入侵檢測(cè)系統(tǒng)來說由于要頻繁地跟內(nèi)核空間的網(wǎng)卡驅(qū)動(dòng)程序打交道，因此按傳統(tǒng)方法會(huì)造成大量的系統(tǒng)調(diào)用，從而導(dǎo)致系統(tǒng)的性能下降。但是采用了“零拷貝”技術(shù)后有效的避免了這一點(diǎn)。2.5IDS部署IDS體系結(jié)構(gòu)集中式:多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。等級(jí)式:定義了若干個(gè)分等級(jí)的監(jiān)控區(qū)域，每個(gè)IDS負(fù)責(zé)一個(gè)區(qū)域，每一級(jí)IDS只負(fù)責(zé)所監(jiān)控區(qū)的分析，然后將當(dāng)?shù)氐姆治鼋Y(jié)果傳送給上一級(jí)IDS。協(xié)作式:將中央檢測(cè)服務(wù)器的任務(wù)分配給多個(gè)基于主機(jī)的IDS，這些IDS不分等級(jí)，各司其職，負(fù)責(zé)監(jiān)控當(dāng)?shù)刂鳈C(jī)的某些活動(dòng)。共享局域網(wǎng)HUBIDSSensorMonitoredServersConsole簡(jiǎn)單交換網(wǎng)SwitchIDSSensorMonitoredServersConsole通過端口鏡像實(shí)現(xiàn)（SPAN/PortMonitor）SwitchIDSSensorMonitoredServersConsole不設(shè)IP隱蔽模式下檢測(cè)器的部署復(fù)雜交換網(wǎng)沒有專門監(jiān)聽端口的網(wǎng)絡(luò)：將用于檢測(cè)的端口映射為交換機(jī)的出口劃分為多個(gè)Vlan的網(wǎng)絡(luò)：將用于檢測(cè)的端口同時(shí)映射為多個(gè)Vlan的端口多個(gè)交換機(jī)串聯(lián)的網(wǎng)絡(luò)：使用多個(gè)探測(cè)器廣域網(wǎng)情況Internet監(jiān)控中心（輔）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent監(jiān)控中心（主）入侵檢測(cè)系統(tǒng)與防火墻的比較3Snort3.1基本情況3.2Snort規(guī)則3.3Snort配置3.4Snort檢測(cè)3.1基本情況概述輕量級(jí)入侵檢測(cè)系統(tǒng)：可配置性可移植性(結(jié)構(gòu)性好，公開源代碼)可擴(kuò)充性（基于規(guī)則，支持插件）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)數(shù)據(jù)包捕獲（libpcap等）數(shù)據(jù)包分析誤用入侵檢測(cè)系統(tǒng)特征模式進(jìn)行匹配工作模式嗅探器數(shù)據(jù)包記錄器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)核心組成：數(shù)據(jù)保捕獲規(guī)則解析規(guī)則維護(hù)3.2Snort規(guī)則規(guī)則描述語言規(guī)則是特征模式匹配的依據(jù)，描述語言易于擴(kuò)展，功能也比較強(qiáng)大

每條規(guī)則必須在一行中，其規(guī)則解釋器無法對(duì)跨行的規(guī)則進(jìn)行解析邏輯上由規(guī)則頭和規(guī)則選項(xiàng)組成。規(guī)則頭包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼、方向以及源/目的端口。規(guī)則選項(xiàng)包含報(bào)警信息和異常包的信息(特征碼)，使用這些特征碼來決定是否采取規(guī)則規(guī)定的行動(dòng)。規(guī)則描述語言舉例alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)從開頭到最左邊的括號(hào)屬于規(guī)則頭部分，括號(hào)內(nèi)的部分屬于規(guī)則選項(xiàng)。規(guī)則選項(xiàng)中冒號(hào)前面的詞叫做選項(xiàng)關(guān)鍵詞。對(duì)于每條規(guī)則來說規(guī)則選項(xiàng)不是必需的，它們是為了更加詳細(xì)地定義應(yīng)該收集或者報(bào)警的數(shù)據(jù)包。只有匹配所有選項(xiàng)的數(shù)據(jù)包，Snort才會(huì)執(zhí)行其規(guī)則行為。如果許多選項(xiàng)組合在一起，它們之間是邏輯與的關(guān)系。規(guī)則行為（ruleaction）：Alert：使用選定的報(bào)警方法產(chǎn)生報(bào)警信息，并且記錄數(shù)據(jù)包；Log：記錄數(shù)據(jù)包；Pass：忽略數(shù)據(jù)包；Activate：報(bào)警，接著打開其它的dynamic規(guī)則；Dynamic：保持空閑狀態(tài)，直到被activate規(guī)則激活，作為一條log規(guī)則

協(xié)議（protocol）:每條規(guī)則的第二項(xiàng)就是協(xié)議項(xiàng)。當(dāng)前，snort能夠分析的協(xié)議是：TCP、UDP和ICMP。將來，可能提供對(duì)ARP、ICRP、GRE、OSPF、RIP、IPX等協(xié)議的支持。

IP地址：規(guī)則頭下面的部分就是IP地址和端口信息。關(guān)鍵詞any可以用來定義任意的IP地址。snort不支持對(duì)主機(jī)名的解析，所以地址只能使用數(shù)字/CIDR的形式，CIDR（無級(jí)別域內(nèi)路由）指明應(yīng)用于IP地址的掩碼。/24表示一個(gè)C類網(wǎng)絡(luò)；/16表示一個(gè)B類網(wǎng)絡(luò)；而/32表示一臺(tái)特定的主機(jī)地址。在規(guī)則中，可以使用否定操作符(negationoperator)對(duì)IP地址進(jìn)行操作。它告訴snort除了列出的IP地址外，匹配所有的IP地址。否定操作符使用!表示。例如，使用否定操作符可以很輕松地對(duì)上面的規(guī)則進(jìn)行改寫，使其對(duì)從外部網(wǎng)絡(luò)向內(nèi)的數(shù)據(jù)報(bào)警。

端口號(hào)：有幾種方式來指定端口號(hào)，包括：any、靜態(tài)端口號(hào)(staticport)定義、端口范圍以及使用非操作定義。any表示任意合法的端口號(hào)。靜態(tài)端口號(hào)表示單個(gè)的端口號(hào)，例如：111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定端口號(hào)范圍。有幾種方式來使用范圍操作符:達(dá)到不同的目的，例如：logudpanyany->/241:1024記錄來自任何端口，其目的端口號(hào)在1到1024之間的UDP數(shù)據(jù)包

方向操作符(directionoperator)：方向操作符->表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個(gè)雙向操作符<>,它使snort對(duì)這條規(guī)則中，兩個(gè)IP地址/端口之間雙向的數(shù)據(jù)傳輸進(jìn)行記錄/分析，例如telnet或者POP3對(duì)話。下面的規(guī)則表示對(duì)一個(gè)telnet對(duì)話的雙向數(shù)據(jù)傳輸進(jìn)行記錄：log!/24any<>/2423

規(guī)則選項(xiàng)：規(guī)則選項(xiàng)構(gòu)成了snort入侵檢測(cè)引擎的核心，它們非常容易使用，同時(shí)又很強(qiáng)大和容易擴(kuò)展。在每條snort規(guī)則中，選項(xiàng)之間使用分號(hào)進(jìn)行分割。規(guī)則選項(xiàng)關(guān)鍵詞和其參數(shù)之間使用冒號(hào)分割。下面是一些常用的規(guī)則選項(xiàng)關(guān)鍵詞，其中對(duì)部分重要關(guān)鍵詞進(jìn)行詳細(xì)解釋：

msg：在報(bào)警和日志中打印的消息； logto：把日志記錄到一個(gè)用戶指定的文件，而不是輸出到標(biāo)準(zhǔn)的輸出文件； ttl：測(cè)試IP包頭的TTL域的值；

tos：測(cè)試IP包頭的TOS域的值； id：測(cè)試IP分組標(biāo)志符(fragmentID)域是否是一個(gè)特定的值

ipoption/fragbits/dsize/flags/seq/……3.3Snort配置Snort本身的一些配置，例如變量、預(yù)處理插件、輸出插件、規(guī)則集文件等，也是通過解析規(guī)則進(jìn)行的。在snort2.0版本中，有一個(gè)總體規(guī)則文件snort.conf，大部分配置規(guī)則都在此文件中。Include

申明包含文件varriables

在snort規(guī)則文件中可以定義變量。格式為：var<name><value>，例如：varMY_NET

/24,/24]<alerttcpanyany->$MY_NETany(flags:S;msg:“SYNMETApacket”;)。最重要的默認(rèn)變量是HOME_NET、EXTERNAL_NET、HTTP_PORTS、RULE_PATH等，分別表示本地網(wǎng)絡(luò)的IP地址范圍、外部網(wǎng)絡(luò)的IP地址范圍、web服務(wù)的端口、規(guī)則集文件的路徑。

預(yù)處理器：從snort-1.5開始加入了對(duì)預(yù)處理器（也叫預(yù)處理插件）的支持。有了這種支持，用戶和程序員能夠比較容易地編寫模塊化的插件，擴(kuò)展snort的功能。預(yù)處理器在調(diào)用檢測(cè)引擎之前，在數(shù)據(jù)包被解碼之后運(yùn)行。通過這種機(jī)制，snort可以以一種outofband的方式對(duì)數(shù)據(jù)包進(jìn)行修改或者分析。預(yù)處理器可以使用preprocessor關(guān)鍵詞來加載和配置，格式如下：preprocessor<name>:<options>。例如：preprocessorminfrag:128。以下是一些預(yù)處理器的說明：

HTTPdecode預(yù)處理插件：HTTP解碼預(yù)處理模塊用來處理HTTPURI字符串，把它們轉(zhuǎn)換為清晰的ASCII字符串。這樣就可以對(duì)抗evasicewebURL掃描程序和能夠避開字符串內(nèi)容分析的惡意攻擊者。這個(gè)預(yù)處理模塊使用WEB端口號(hào)作為其參數(shù)，每個(gè)端口號(hào)使用空格分開。格式：http_decode:<端口號(hào)列表>，例如：preprocessorhttp_decode:808080Minfrag：這個(gè)預(yù)處理器測(cè)試分片包的大小是否低于一個(gè)特定的值。格式：minfrag:<大小閥值)端口掃描檢測(cè)模塊portscan：把由單個(gè)源IP地址發(fā)起的端口掃描從開始到結(jié)束的全過程記錄到標(biāo)準(zhǔn)日志設(shè)備；如果指定了一個(gè)日志文件，就把被掃描的IP地址和端口號(hào)和掃描類型都記錄到這個(gè)日志文件。格式：portscan:<要監(jiān)視的網(wǎng)絡(luò)><端口數(shù)><檢測(cè)周期><日志目錄/文件>，例如：preprocessorportscan:/2457/var/log/portscan.logdefrag模塊：defrag插件是由DragosRulu開發(fā)的，它能夠重組IP碎片包，可以防止使用IP碎片包繞過系統(tǒng)的檢測(cè)。這個(gè)模塊非常容易配置，不需要參數(shù)，直接放在preprocessor關(guān)鍵詞之后即可。它的功能超過了minfrag模塊的功能，所以你如果使用defrag，就不用在用minfrag模塊了。格式：defrag，例如：preprocessordefrag……輸出插件：snort輸出模塊是從1.6版加入的新特征，使snort的輸出更為靈活。snort調(diào)用其報(bào)警或者日志子系統(tǒng)時(shí)，就會(huì)調(diào)用指定的輸出模塊。設(shè)置輸出模塊的規(guī)則和設(shè)置預(yù)處理模塊的非常相似。在snort配置文件中可以指定多個(gè)輸出插件。如果對(duì)同一種類型(報(bào)警、日志)指定了幾個(gè)輸出插件，那么當(dāng)事件發(fā)生時(shí),snort就會(huì)順序調(diào)用這些插件。使用標(biāo)準(zhǔn)日志和報(bào)警系統(tǒng)，默認(rèn)情況下，輸出模塊就會(huì)將數(shù)據(jù)發(fā)送到/var/log/snort目錄，或者用戶使用-l命令行開關(guān)指定的目錄。在規(guī)則文件中，輸出模塊使用output關(guān)鍵詞指定：格式：outputname:<選項(xiàng)>，例如：outputalert_syslog:LOG_AUTHLOG_ALERT3.4Snort檢測(cè)協(xié)議匹配。通過協(xié)議分析模塊，將數(shù)據(jù)包按照協(xié)議分析的結(jié)果對(duì)協(xié)議相應(yīng)的部分進(jìn)行檢測(cè)。比如對(duì)TCP包的標(biāo)志位的匹配。

alerttcp$EXTERNAL_NETany->$HOME_NETany(msg:"SCANNULL";flags:0;seq:0;ack:0;reference:arachnids,4;classtype:attempted-recon;sid:623;rev:1;)其中就對(duì)TCP的flags、seq、ack進(jìn)行了協(xié)議位置的匹配。協(xié)議匹配需要對(duì)特定協(xié)議進(jìn)行分析，Snort對(duì)IP/TCP/UDP/ICMP進(jìn)行了分析，但是沒有對(duì)應(yīng)用協(xié)議分析。其它一些商用的IDS進(jìn)行了高層的應(yīng)用協(xié)議分析，可以顯著地提高匹配的效率。字符串匹配。目前這是大多數(shù)IDS最主要的匹配方式，事件定義者根據(jù)某個(gè)攻擊的數(shù)據(jù)包或者攻擊的原因，提取其中的數(shù)據(jù)包字符串特征。通常IDS經(jīng)過協(xié)議分析后，進(jìn)行字符串的匹配。

比如：Snort中的一條事件定義，alerttcp$EXTERNAL_NETany->$HTTP_SERVERS$HTTP_PORTS(msg:"WEB-ATTACKSpscommandattempt";flow:to_server,established;uricontent:"/bin/ps";nocase;sid:1328;classtype:web-application-attack;rev:4;)該事件中要進(jìn)行匹配的字符串就是"/bin/ps