（通信与信息系统专业论文）基于snort的入侵检测系统的研究与改进.pdf

j e 塞銮迪厶堂亟堂僮途塞生塞擅翌 中文摘要 摘要：入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安 全设备，构成对防火墙一类的静态安全设备的必要补充，己经越来越受到人们的 重视。但是入侵检测系统单一的入侵检测功能已经不能满足人们的需要，和其它 安全产品相结合已经成为入侵检测系统的一个发展趋势。 本文就是在这一背景下，在分析入侵检测系统结构和s n o r t 的源代码的基础上， 将s n o r t 入侵检测系统和l i n u x 系统下的n e t f l l t e r i p t a b l e s 防火墙相结合，设计并实 现了一个联动的安全系统。该联动安全系统在s n o r t 检测到攻击以后，通过向 i p t a b l e s 下发规则的方式来阻断攻击源，因此其具备一定的网络防御能力，能对网 络入侵做出实时的响应，在一定程度上增强了其对网络的保护能力。为了验证该 联动安全系统的有效性，本文在对b t 数据流分析的基础上，利用该联动安全系统 设计了一个成功限制b t 下载的试验。 本文还对s n o r t 的分片重组的流程进行了深入的分析，并重点研究了对重叠报 文的处理。分析了不同操作系统对重叠报文的处理得不一致性，得出结论：入侵 检测系统应该根据被保护系统的目标主机的操作系统的类型来选择处理重叠报文 的重组方式。然后将n m a p 端口扫描工具和f r a g r o u t e 分片攻击工具相结合，设计 了一个端口扫描攻击的实验，以证明该处理方法的必要性和有效性。 最后针对s n o r t 分片报文处理流程的两个不足：( 1 ) 对于分片报文重组模块所占 用的内存的大小无法预测，并且内存的额外开销较大；( 2 ) 延误s n o r t 进行其它处 理流程的的时间，提出了一个部分分片重组的方案。该方案改变传统的分片重组 处理流程：等所有的分片都到达之后再对报文进行完整的重组，然后再对重组后 的完整报文进行规则检测等其它处理流程。而是每到一个分片就和前面已经缓存 的分片报文进行重组，随即将重组后的部分报文送入规则检测引擎检测，一旦规 则匹配成功就可以中止后续的分片报文重组。这样可以提高s n o r 检测的实时性并 且提高其内存的使用效率。 关键词：入侵检测；s n o r t ；n e t f i l t e r ；i p t a b l e s ；联动；i p 分片；报文重叠；分片重 组；部分分片重组。 分类号： 韭基窑墟盘堂亟堂僮途塞娶s 芏b ! a b s t r a c t a b s t r a c t ：a sad y n a m i cs e c u r i t ye q u i p m e n t ，1 1 1 t n l s i o nd e t e c t i o ns y s t e m ( t d s ) c a r ls a f e g u a r di n f o r m a t i o ns e c u r i t ya u t o m a t i c a l l ya n dr e a l t i m e i ti sas u p p l e m e n tt ot h e s t a t i cs e c u r i t ye q u i p m e n ts u c ha sf i r e w a l l ，s om o r ea t t e n t i o nh a sb e e np a i d b u tt h e s i n g l ei n t r u s i o nd e t e c t i o nf u n c t i o no f t h ei d sh a sn o tb e e ns a t i s f i e d ，a n dt h ei n t e g r a t i o n o f l d sa n do t h e r ss e c u r ep r o d u c t sh a sb e c o m ea d e v e l o p e dt r e n d i nt h i sp a p e r , i td e s i g n e dad y n a m i cs e c u r es y s t e m ，b a s e do nt h ea n a l y s i so f i n t r u s i o ns y s t e ma n dt h es n o r t ss o u r c ec o d e t h i sd y n a m i cs e c u r es y s t e mh a dn e t w o r k p r e v e n t i o na b i l i t ya n di t c a l lr e s p o n d 觞s o o na st h ed e t e c t i o no fm t r u s i o n a n e x p e r i m e n tw a sd e s i g n e di no r d e rt om a k es u r et h es y s t e m sa v a i l a b i l i t y i tc a n s u c c e s s f u l l yr e s t r i c tt h ed o w n l o a dw i t hb t i n t h i sp a p e r , i ta l s od i dad e e pr e s e a r c ho nt h ep r o c e s so ft h es n o r tf r a g m e n t r e a s s e m b l y i tg e t sac o n c l u s i o nt h a tt h ed i f f e r e n to sh a sad i f f e r e n tf r a g m e n t r e a s s e m b l yp o l i c y s ot h ei d ss h o u l dp r o c e s st h i sd i v e r s i t y , a n di ts h o u l dc h o o s e d i f f e r e n tr e a s s e m b l yp o l i c yb a s e do nt h et a r g e ta d d r e s so ft h em e s s a g e t h e nw ed e s i g n a n o t h e re x p e r i m e n tw i t ht h ep o r ts c a nt o o l n m a p a n d f r a g m e n ti n t r u s i o nt o o l “f r a g r o u t e i tc a np r o v et h ea v a i l a b i l i t yo ft h ep a p e r sc o n c l u s i o n a tl a s t ，t h i sp a p e r p r o p o s e saf r a g m e n tr e a s s e m b l ym e t h o d i tn e e dn o tw a i tr e a s s e m b l yu n t i la l lt h e f r a g m e n t sc o m e i faf r a g m e n tc o m e s ，i tw o u l db em e r g e di n t ot h ep a c k as a v e di nt h e p a c k e t b u f f e r , a n dt h e n i tw a ss e n tf o rd e t e c t i o n w j t l lt h i s p r o c e s s i th a s t w o a d v a n t a g e s t h eo n ei st h a tt h eb u f f e rs i z ec a l lb es m a l l e rt h a na l lf r a g m e n tw a ss t o r ei n t h eb u f f e ra n dt h eb u f f e rc a l lb eac o n s t a n ts i z e t h eo t h e ri st h a ti tc a nd e t e c tt h e m a l i c i o u sc o d em o r ee f f i c i e n t l y k e y w o r d s ：i d s ，s n o r t ，n e t f i l t e r , i p t a b l e s ，d y n a m i c ，f r a g m e n tp a c k e t ，p a c k e t o v e r l a p ，f r a g m e n tr e a s s e m b l y , p a r t i a lf r a g m e n tr e a s s e m b l y 。 c i a s s n o ： 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：霸；迭 导师签名 签字日期：0 1 年i l 月l 千日 签字日期：哆年，j f l l l - b ， 塞銮壅左堂亟堂鱼j 金塞挫剑缝应明 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：签字日期： 。1年1 2 月t7 日 致谢 本论文的工作是在我的导师陈常嘉教授的悉心指导下完成的，陈常嘉教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。特别是在论文选题和 写作方面给我很大的帮助。在此衷心感谢三年来陈老师对我的关心和指导。 胡师舜老师悉心指导我们完成了实验室的科研工作，在学习上和生活上都给 予了我很大的关心和帮助，在此向胡老师表示衷心的谢意。 感谢郭宇春老师和赵永祥老师为我的论文写作以及科研工作提出许多宝贵的 意见。 在实验室工作及撰写论文期间，赵森、郑云平、关学攀以及周岩等同学对我 论文中的研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 j e夏銮道 叁堂 亟堂僮论塞绪迨 1 绪论 1 1 选题背景和意义 随着互联网的飞速发展，信息网络己经进入千家万户，i n t e m e t 已经成为人们 日常工作和生活的一部分，给人类社会的信息化提供了前所未有的机会。然而互 联网本身存在着不安全因素，一方面由于它是面向所有用户的，所有的资源通过 网络共享，另一方面就是它的技术是开放的和标准的。这些不安全因素使得在信 息时代的今天，人们在享受网络带来的便利的同时，也遭受到严重的网络安全问 题的困扰。这些安全问题中比较突出的是黑客攻击事件和病毒事件【l 】。 由于计算机信息有共享和易扩散等特性，它在处理、存储、传输和使用上有 着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、 冒充和破坏，还有可能受到计算机病毒的感染。在之前的十几年，由于国内计算 机及网络的普及较低，加之黑客们的攻击技术和手段都相应较为落后，因此，计 算机安全问题暴露得不是太明显。但随着计算机的飞速发展、普及、攻击技术和 手段的不断提高，对我们本就十分脆弱的系统带来了严重的威胁，考虑并实施完 整安全措施已经迫在眉睫。 1 2ld s 国内外研究现状 顺应这一趋势，涌现出了很多的网络安全技术，如网络防火墙、病毒检测、 密码技术、身份认证等。但是，即使如此，还是有很多的服务器在不能够及时检 测和预防的情况下被攻击，导致了巨大的经济损失。这种被动的防御系统暴露出 技术上的很多不足，于是，1 9 8 0 年，a n d e r s o n 首先提出了入侵检测的概念。他提 出审计追踪可应用于监视入侵威胁，虽然这一设想的重要性在当时并未被理解， 但他的这一份报告被认为是入侵检测的开山之作。从1 9 8 4 年到1 9 8 6 年，d e n n i n g 和n e u m a n n 研究并提出了一个实时入侵检测系统模型，命名为i d e s ( i n t r u s i o n d e t e c t i o ne x p e r ts y s t e m ，入侵检测专家系统) ，它是一种通过使用统计方法发现用 户异常操作行为，并判断检测攻击的基于主机的入侵检测系统。这个假设是8 0 年 代许多入侵检测研究和系统原型的基础。1 9 8 8 年，l u n t 等人进一步改进了d e n n i n g 提出的入侵检测模型，提出了与系统平台无关的实时检测思想。1 9 9 0 年，h e b e r l e i n 等人提出基于网络的入侵检测n s m ( n e t w o r ks e c u r i t y m o n i t o r ) ，n s m 可以通过在局 业塞窑道厶堂亟堂鱼j 金塞缝i 金 域网上主动地监视网络信息流量来追踪可疑行为。1 9 9 4 年，m a r kc r o s b i e 和g o n e s p a f f o r d 建议使用自治代理以便提高入侵检测系统的可伸缩性、可维护性、效率和 容错性。1 9 9 4 年，b i s w a n a t h 等人对先前入侵检测系统的研究作了较为完整的回顾 和分析，对各种入侵检测的系统原型进行了分析和评述。1 9 9 5 年以后，出现了很 多不同的新的入侵检测研究方法，特别是智能入侵检测系统；包括神经网络、遗 传算法、模糊识别、免疫系统、数据挖掘等，这些方法目i i i 尚处在研究阶段| 2 l 。 从入侵检测概念的提出到现在，入侵检测系统的研发呈现出百家争鸣的局面， 并在智能化和分布式两个方向取得了比较大的进展。但就目前而言，入侵检测系 统还缺乏相应的标准。因为目前的入侵检测系统大部分是基于各自的需求和设计 独立开发的，不同系统之自j 缺乏互操作性和互用性，这对入侵检测系统的发展造 成了障碍，因此d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ，美国国防部 高级研究计划局) 在1 9 9 7 年3 月开始着手c i d f ( c o m m o ni n t r u s i o nd e t e c t i o n f r a m e w o r k ，公共入侵检测框架) 标准的制定，以便更高效地开发入侵检测系统。 国内在这方面的研究刚开始起步，但也己经开始着手入侵检测标准玳的研究与制 定。 目前，国外一些研究机构已经开发出了应用于不同操作系统的几种典型的入 侵检测系统，它们通常采用静态异常模型和规则的误用模型来检测入侵。这些入 侵检测系统的检测基本是基于服务器主机或网络的。基于服务器主机的入侵检测 系统采用服务器操作系统的检测序列作为主要输入源来检测入侵行为，而大多数 基于网络的入侵检测系统则以监控网络故障作为检测机制。 1 3 论文工作和结构介绍 本文主要以s n o r t 为基础研究了网络入侵检测系统，通过将s n o r t 和 n e t f i l t e r i p t a b l e s 联动起来，构建了一个能对攻击做出实时响应的联动安全系统。 然后在对s n o r t 源代码进行分析的基础上，深入分析了s n o r t 对分片报文的重组的 处理，并重点研究了其对重叠报文的处理。最后对其分片报文的处理流程进行了 改进。围绕本文所作的工作，论文结构组织如下： 第一章是绪论，阐述课题研究背景、国内外研究发展的现状和发展趋势、本 文的研究内容以及本文的组织。 第二章对入侵检测系统的基本结构进行分析。介绍了入侵检测系统的分类及标 准化工作，并深入讲解了入侵检测系统工作流程。 第三章详细讲解s n o a 的入侵检测系统的工作原理。其中包括分析s n o a 的体 系结构，并在介绍s n o r t 规则的基础之上深入分析s n o r t 的入侵检测工作流程。 2 j 塞銮逼左堂亟堂焦迨塞绪途 第四章是联动安全系统的设计与实现。简单介绍了l i n u x 系统n e t f i l t e r i p t a b l e s 防火墙系统，然后就s n o r t 和n e t f i l t e r i p t a b l e s 的联动给出了具体的设计方案并针 对该设计方案做出具体实现。最后利用该联动系统设计了一个限制用户b t 下载的 实验，验证本文所设计的系统的实际意义。 第五章研究并改进s n o r t 入侵检测系统对分片报文的处理。首先深入分析s n o r t 入侵检测系统对分片报文的处理流程，重点研究其对重叠报文的处理存在的缺陷。 最后针对s n o r t 在分片报文处理流程中存在的效率问题，改进处理流程，设计了一 个部分分片重组方案。 第六章是全文总结，分析了论文中存在的不足，并给出了下一步工作的努力 方向。 e 壅窑塑厶堂亟：堂篮论塞厶攮拴型丞丝攫述 2 入侵检测系统概述 2 1 入侵检测系统的简介 入侵检测系统( 简称i d s ) 是用来识别针对计算机系统和网络系统，或者更广泛 意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以 及内部合法用户的超越使用权限的非法行动。“入侵”是个广义的概念，不仅包 括被发起攻击的人( 如恶意的黑客) 取得超出合法范围的系统控制权，也包括收集漏 洞信息，造成拒绝访( d o s ) 等对计算机系统造成危害的行为【l 】。 入侵检测作为一种积极主动防御技术，是继访问控制、密码技术、身份识别 和认证、审核和防火墙等传统安全保护措施后的新一代安全保障技术，提供了对 外部攻击、内部攻击和误操作的实时保护，在网络系统受到侵害之前拦截和响应 入侵，弥补了传统安全技术的不足。 入侵检测将入侵行为划分为外部闯入、内部授权用户的越权使用和滥用等三 种类型。入侵检测是通过从计算机网络或计算机系统中的关键点收集信息并对其 进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的现象 的一种安全技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。 2 2 入侵检测系统的分类 入侵检测技术主要分为两类：误用入侵检测和异常入侵检测。 2 2 1误用入侵检测 误用检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行， 并从中找出符合预先定义规则的入侵行为。基于误用的入侵检测系统通过使用某 种模式或者信号标识表示攻击，进而发现相同的攻击。这种方式可以检测许多甚 至全部已知的攻击行为，但是对于未知的攻击手段却无能为力，这一点和病毒检 测系统类似p j 。 误用信号标识需要对入侵的特征、环境、次序以及完成入侵的事件相互| 日j 的 关系进行详细的描述，这样误用信号标识不仅可以检测出入侵行为，而且可以发 现入侵的企图，误用信号局部上的符合就可能代表一个入侵的企图。 对于误用检测系统来说，最重要的技术问题是：如何全面描述攻击的特征；如何 4 e 塞銮道厶堂亟堂焦途塞厶篮拴型丕筮概蕉 减少误报率。典型的误用检测系统是基于模式匹配的检测系统，本文研究的s n o r t 就是这样的一个系统。 模式匹配系统主要理论依据是模式匹配原理，在模式匹配原理中，k u m a r 把 入侵信号分成四个层次，每一层对应相应的匹配模式，具体介绍如下： ( 1 ) 存在：这种信号表示只要存在这样一种审计事件就足以说明发生了入侵行 为或入侵企图，它所对应的匹配模式称为存在模式。 ( 2 ) 序列：有些入侵信号是由一些按照一定顺序发生的行为所组成 的，它具体可以表示为一组事件的序列，其对应的匹配模式就是序列模式 ( 3 ) 规则表示：规则是指用一种扩展的规则表达式方式构造匹配模式，规则表 达式是由用a n d 逻辑表达式连接一些描述事件的原语构成 的，这些事件没有顺序的关系。 ( 4 ) 其他：其他模式是指一些不能用前面的方法进行表示的攻击，比如包含内 部否定的模式、包含归纳选择的模式等。 本文研究的s n o r t 系统，它的模式匹配基本上是查找网络包中的存在模式入侵 信号，只有少量是利用了规则表示模式入侵信号。这也体现了它轻量级的设计思 想。 2 2 2 异常入侵检测 基于异常的入侵检测方法主要来源于这样的思想：任何人的正常行为都是有一 定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，而入侵 和滥用行为则通常和正常的行为存在严重的差异，通过检查出这些差异就可以检 测出入侵行为，此外不属于入侵的异常用户行为( 如滥用自己的权限) 也能被检测 到。异常检测系统考虑的主要问题是：选择哪些数据来表现用户的行为；怎样有效表 示用户正常的行为。 商用的异常检测系统几乎都采用统计学方法。这种系统使用统计学的方法来 学习和检测用户的行为，例如对某个时间段内事件的发生次数设置一个闭值，一 旦超过该值就认为出现异常；或者把事件变量化，观察这些变量的均值，如果没有 落在正常的区间范围内，就认为出现异常等等l ”。 学术上研究最多的异常检测系统则是基于神经网络的异常入侵检测和基于数 据挖掘技术的异常检测系统。神经网络的特点在于它具有学习的能力，因此一些 i d s 使用它来学习用户的行为，这种学习算法允许神经网络紧密地模仿用户行为并 且根据最近的变化进行调整。如果输入中存在某种关系，网络就会汇合到一种更 稳定的状态。神经网络的另一个特性就是允许模糊数据或噪音数据。神经网络入 j e 塞窑煎厶堂亟堂位迨塞握捡捌丕筮概蓬 侵检测的问题是通过神经网络的学习过程建立正常的行为模型需要太多的时间。 数据挖掘，也称为知识发现技术。对象行为r 志信息的数据量通常都非常大，如 何从大量的数据中“浓缩”出一个值或一组值来表示对象行为的概貌，并以此进 行对象行为的异常分析和检测，就可以借用数据挖掘的方法。 2 3 入侵检测系统的标准 有两个国际组织在进行入侵检测的标准化工作，他们是c i d f 和e i t f 下属 的的i d w g ，其中影响较大的是c i d f 。 2 3 1c i d f 标准 c i d f 所作的工作主要有：提出了一个通用的入侵检测框架，然后进行这个框 架中各个部件之间通信的协议和a p i 的标准化，以达到不同i d s 组件的通信和管 理。分别描述如下： ( 1 ) 体系结构 在体系结构中，c i d f 将入侵检测系统分为4 个组件： 事件产生器( e v e n tg e n e r a t o r s ) ：事件产生器负责从整个计算环境中获取事件， 但它并不处理这些事件，而是将事件转化为通用入侵检测对象( g e n e r a l i z e di n t r u s i o n d e t e c t i o no b j e c t s ，g d o ) 标准格式提交给其它组件使用； 事件分析器( e v e n ta n a l y z e r s ) ：事件分析器分析得到的数据，并产生分析结 果； 响应单元( r e s p o n s eu n i t s ) ：响应单元则是对分析结果做出反应的功能单 元，它可以做出切断连改变文件属性等强烈反应，也可以是简单的报警。 事件数据库( e v e n t sd a t a b a s e ) ：事件数据库是存放各种中间和最终数据的地 方的统称，它的实现形多样的，既可以是复杂的关系数据库，也可以是简单的文 本文件等。 它们之日】的操作关系如下图所示： 6 j e 基窑适厶堂亟堂僮纶塞厶经耸捌丞缝攫蕉 圈l 入侵检测系统体系结构图 f i g u r e1 i d sf r a m e ( 2 ) 通信机制 为了保证各个组件之间安全、高效的通信，c i d f 将通信机制构造成一个三 层模型：g i d o s 层、m e s s g a e 层和协商传输层。g i d o s 层用于d i s 之间的互操作，以 便i d s 理解传输的数据；m e s s g a e 层保证可靠地发送加密和鉴别过的信体，而 且可以通过防火墙或网络地址转换设备等；协商传输层可以不考虑。 ( 3 ) 公共入侵规范语言 可以说，c i d f 最主要的工作就是不同组件所使用语言的标准化，c i d f 的体 系结构只是通信的背景，而两个组件之间的通信就像人之间的交流，不论所说的 话传输方式是通过空气、电话还是加密的电话，最重要的也是最有意义的就在双 方能互相理解，这也是c i s l 的意义所在。c s i l 是设计用来在组件问传输事件一 记录、分析结果和反应策略等，采用了s 表达式。这种表达式只是简单的标签和 数据的递归组。 ( 4 ) 程序接口( a p i ) c i d f 的a p i 负责g i d o s 的编码、解码和传递，它提供的调用功能使得程序 员可以在不了解编码和传递过程具体细节的情况下，以一种简单的方式构建和传 递g i d o s 。 2 3 2i e t f 标准 i e t f 的i n t e r n e t 草案工作组1 d w g ( i n t r u s i o nd e t e c t i o nw o r kg r o u p ， i d w g ) 专门负责定义入侵检测系统组件之问，及不同厂商的入侵检测系统之间的 7 丞銮逼厶堂亟堂僮途塞厶像捡型丞缠拯蕉 通信格式，目前只有相关的草案，还未形成i f 式的r f c 文档。i d w g 文档有：入 侵检测交换协议( i n t r u s i o nd e t e c t i o ne x c h a n g ep r o t o c o l ，i d x p ) ， 入侵检测消息交换格式( i n t r u s i o nd e t e c t i o nm e s s a g ee x c h a n g ef o r m a t ，i d m e f ) 以及隧道轮廓( t u n n e lp r o f i l e ) 4 】。 i d x p 是一个用于入侵检测实体之间交换数据的应用层协议，能够实现i d m e f 消息、非结构文本和二进制数据之间的交换，并提供面向连接协议之上的双方认 证、完整性和保密性等安全特征。i d x p 建立在块扩展交换协议( b l o c k se x t e n s i b l e e x c h a n g ep r o t o c o l ，b e e p ) 基础之上，后者是一个用于面向连接的异步交互通用 应用协议，i d x p 的许多特色功能( 如认证、保密性等) 都是由b e e p 框架提供的。 d w g 先期提出通信协议之一入侵警报协议( i n t r u s i o na l e r tp r o t o c o l ，i a p ) ， 已经被i d x p 所替换。i d m e f 描述了表示入侵检测系统输出信息的数据模型，并 解释了使用此模型的基本原理。该数据模型用x m l 实现，并设计了一个x m l 文 档类型定义。i d m e f 的提出有利于提高各商业、开放资源和研究系统之间的互操 作性，但在实际使用中，还是差强人意。隧道轮廓协议则向进行b e e p 交换的双 方提供了一种机制，以使他们能够在应用层形成隧道，也是基于b e e p 基础上的 协议。 2 4 入侵检测系统的工作流程 入侵检测系统是一个典型的“窥探设备”，它不跨接多个物理网段f 通常只有 一个监听端口) ，无需转发任何流量，而只需要在网络上被动的、无声息的收集它 所关心的报文即可。对收集来的报文入侵检测系统提取相应的流量，统计特征值， 并利用内置的入侵知识库与这些流量特征进行智能分析、比较匹配。根据预设的 闭值，匹配耦合度较高的报文流量将被认为是入侵行为，系统将进行报警或有限 度的反击，入侵检测的工作流程主要有以下四步： ( 1 ) 信息收集 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状 态和行为，而且需要在计算机网络系统中的若干不同关键点( 不同网段和不同主机1 收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一 个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为 或入侵的最好标识。当然，入侵检测很大程度上依赖于收集信息的可靠性和正确 性，因此很有必要只利用所知道的真币的和精确的软件来报告这些信息，因为黑 吝经常替换软件修改和移走这些信息，例如替换被程序调用的子程序、库和其它 工具。黑客对系统的修改可能使系统功能失常看起来跟正常的一样，而实际上不 些立窑遣叁堂亟兰望焦盈塞厶经建型丞缝攮姿 是，例如，u n i x 系统的p s 指令可以被替换为一个不显示侵入过程的指令，或者 是编辑器被替换成一个读取不同于指定文件的文件( 黑客隐藏了初始文件并用另一 版本代替) ，这需要保证用来检测网络系统的软件的完整性，特别是入侵检测系统 软件本身应具有相当强的略固性，防止被篡改而收集到错误的信息。 入侵检测利用的信息一般来自以下四个方面：系统和网络日志文件、目录和 文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。 ( 2 ) 信息分析 信息分析是指对上述四类收集到的有关系统、网络、数据及用户活动的状态 和行为等信息，一般通过模式匹配、统计分析和完整性分析三种技术手段进行分 析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 ( 3 ) 信息存储 当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进 行查看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存， 这些信息通常存储到用户指定的日志文件中，同时存储的信息也为攻击保留了数 字证据。 ( 4 ) 攻击响应 对攻击信息进行了分析并确定攻击的类型后，入侵检测系统会根据用户的设 置，对攻击行为进行相应的处理：如发出警报、给系统管理员发邮件等方式提醒 用户，或者利用自动装置直接进行处理：如切断连接，过滤攻击者的口地址等， 从而使系统能够较早的避开或阻断攻击。 2 5 本章小结 本章对入侵检测系统的基本结构进行了分析，并介绍了入侵检测系统的分类 及标准化工作，最后给出了入侵检测系统工作流程。 j e 巫至通厶堂亟堂位丝塞snq ! ! 经捡型丞缝往厘堡 3s n o r t 入侵检测系统工作原理 3 1 s n o r t 简介 s n o r t 系统是一个以开放源代码形式发行的一个轻量级网络入侵检测系统，由 m a r t i n r o e s c h 编写，并由遍布世界各地的众多程序员共同维护和升级，当静最新 版本2 8 。从工作原理而言，它是一个n i d s ，利用工具包l i b p c 印从网络中采集数 据并进行分析，从而判断是否存在可疑的网络活动：检测模式而言，它基本上是误 用检测，对数据进行最直接最简单的搜索匹配f 5 l 。 s n o r t 具有实时流量分析和日志口网数据包的能力。能够快速地检测网络攻击， 及时地发出警报。s n o r t 的警报机制很丰富。例如：s y s l o g ，用户指定文件，u n i x s o c k e t ， 还有使用s a m b a 协议向w i n d o w s 客户程序发出w i i l p 叩u p 消息。利用x m l 插件， s n o r t 可以使用s n m l ( 简单网络标记语言) 把日志存在一个文件或者适时警报。 s n o r t 能够进行协议分析，内容的搜索、匹配。现在s n o r t 能够分析的协议有 i p 、t c p 、u d p 和i c m p 。将来的版本，将提供对a r p 、g r e 、o s p f 、r i p 、i p x 、 a p p l e x 等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出， c g i 攻击，s m b 检测，探测操作系统质问特征的企图等等。 s n o r t 的日志格式既可以是t c p d u m p 的二进制格式，也可以编码成a s c i i 字符 形式，更便于拥护尤其是新手检查，使用数据库输出插件，s n o r t 可以把日志记入 数据库，当前支持的数据库包括：m y s q l 。任何u n i x o d b c 数据库，还有o r a c l e 等 数据库。 s n o r t 支持插件，可以使用具有特定功能的报告，检测子系统插件对其功能进 行扩展。s n o r t 当前支持的插件包括：数据库同志输出插件，破碎数据包检测插件， 端口扫描检测插件，h t t p 、u p d 插件，x m l 网页生成等插件。 总之，对于世界上各安全组织来讲，s n o r t 入侵检测都是一个优秀入侵检测系 统的一个标准的标准。通过研究它，弥补其单机检测的弱点，我们可以学到所有 入侵检测系统的内部框架及工作流程( 也包括同类型的商业入侵检测系统的框架及 工作流程。 现在的s n o r t 有四种运行模式： 数据包嗅探( s n i f f c r ) ：数据包嗅探仅仅是从网络上读取数据包并连续不断地显 示在终端上： o 些塞奎塑厶堂亟堂焦途塞bq 【! 厶厘拴型丕筮往厘堡 用户数据包记录( p a c k e tl o g g e r ) ：数据包记录是把数据包记录到硬盘上： 用户网络入侵检测( n i d sn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m ) ：网络入侵检测 是最复杂的，而且是可配置的。 用户网络入侵预测( i n l i n e ，即i n t r u s i o np r e v e n t i o ns y s t e m ) ：网络入侵防预是通 过i p t a b l c s 库获取包，根据s n o r t 规则利用新的规则类型配合防火墙进行网络防预。 目前该模式仍在实验阶段。 3 2s n o r t 的体系结构 3 2 1s n o r t 模块化结构 s n o r t 的体系结构是非常模块化的，主要有四个模块组成：数据包捕获和解码 子系统、检测引擎、日志报警子系统以及预处理器子系统。 下面对各个模块进行分析说明： ( 1 ) 数据包捕获和解码子系统 该子系统数据包捕获和解码子系统该子系统的功能是为捕获网络的传输数据 并按照t c p i p 协议的不同层次将数据包进行解析。s n o r t 利用l i b p c a p 库函数进行 采集数据，该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数， 并可以设置数据包的过滤器来捕获指定的数据。网络数据采集和解析机制是整个 n d s 实现的基础，其中关键的是要保证高速和低的丢包率，这不仅仅取决于软件 的效率还同硬件的处理能力相关。对于解析机制来说，能够处理数据包的类型的 多样性也同样非常重要。目前，s n o r t 可以处理以太网、令牌环以及s l i p 等多种 类型的包。 ( 2 ) 检测引擎 检测引擎是s n o r t 的核心，准确和快速是衡量其性能的重要指标，前者主要取 决于对入侵行为特征码提取的精确性和规则撰写的简洁实用性，由于网络入侵检 测系统是被动防御的，只能被动的检测流经本网络的数据，而不能主动发送数据 包去探测。所以只有将入侵行为的特征码归结为协议的不同字段的特征值，通过 检测该特征值来决定入侵行为是否发生。后者主要取决于引擎的组织结构，是否 能够快速地进行规则匹配。为了能够快速准确地进行检测，s n o r t 将检测规则利用 链表的形式进行组织，分为两部分：规则头和规则选项。前者是所有规则共有的包 括m 地址、端口号等，后者根据不同规则包括相应的字段关键字。 当进行规则的匹配时，在链表的两个方向同时进行，检测引擎只检测那些一 开始在规则解析器中设置好了的规则选项。当检测引擎检测到第一个与被解码的 e 塞銮适厶堂亟堂鱼迨塞 bq ! 厶握趁赳丕统：佳厘堡 包相匹配的规则时，检测引擎触发相应的动作并返回。 ( 3 ) 日志报警子系统 s n o r t 对每个被检测的数据包都定义了如下的几种处理方式：a l e r t ，l o g ，p a s s ， a c t i v a t e ，d y n a m i c a 这其实是具体定义在检测规则中的。其具体的完成是在日志报警子系统中完 成的，日志子系统允许你将包解码收集到的信息以可读的格式或以t c p d u m p 格式 记录下来。报警子系统使其将报警信息发送到s y s l o g 、用户指定的文件、u n i x 套 接字或数据库中。 ( 4 ) 预处理子系统 s n o r t 的预处理器是介于解码器与检测引擎之间的可插入模块，作用是对当前 截获的数据包进行预先处理，以便后续处理模块对数据包的处理操作。s n o r t 2 0 以 上系统中预处理模块按功能分三种：数据包分片重组及数据流重组、协议编码、协 议异常检测。 3 2 2s n o r t 插件机制 s n o r t 中运用了插件机制。运用插件机制具有以下优点： ( 1 ) 使程序具有很强的可扩展性； ( 2 ) 简化t s n o r t 的编码工作； ( 3 ) 使代码功能内聚，模块性强，程序相对易读。 下面对插件做一简单介绍： ( 1 ) 预处理插件 s n o r t 的预处理插件的源文件名都以s p p 开头的文件，在规则匹配之前运行。 完成的功能主要包括： 模拟t c p i p 堆栈功能的插件：如p 碎片重组、t c p 流重组插件： 各种解码插件：h a p 解码插件、u n i c o d e 解码插件、r p c 解码插件、t e l n e t 解码 插件等： 规则匹配无法进行攻击检测时所用的插件：端口扫描插件、s p a d e 异常入侵检 测插件、a r p 欺骗检测插件等。从各预处理插件文件名可对此插件功能做出推断。 ( 2 ) 检测处理插件以s p 开头的文件。 处理插件在规则匹配阶段的p a r s e r u l e o p t i o n s o 被调用，辅助完成基于规则 的匹配过程。每个规则处理函数通常对应规则选项中的一个关键字，实现对这个 关键字的解释。其主要功能为： e 夏窑迪盘堂亟堂鱼途塞nq ! 厶缝捡型丕纽三! ：往厘堡 检查协议各字段，如t c p f i a g ，i c m p t y p e ，f r a g b i t s ，r p c ，d s i z e 等：辅助功 能，例如关闭连接、会话记录、攻击响应、严重级别等。 ( 3 ) 检测输出插件 以s p o _ 开头的文件，又分为同志和警告两种类型放在两个列表中，在规则匹 配过程中和匹配结束后调用，以便记录日志和警告。如同其它插件，它们也对应 一个关键字，规则中相应关键字将激活这些插件的运行。 输出插件和预处理插件除了注册到不同的列表中之外，其它的过程很相似：处 理插件的过程其实也是大同小异，只是在初始化过程中有所不同而己。输出和预 处理插件的初始化通常只有一次，在内存中只有一个实例，所以被注册到一个列 表中；处理插件则完成每个匹配规则的一部分功能，所以处理插件为每个匹配规则 初始化一次，然后插入到规则树中。 3 3s n o r t 规则 s n o r t 规则是s n o r t 的重要组成部分，预先设定的规则以固定的格式存放在规 则文件中，在s n o r t 配置文件中指定s n o r t 规则文件的存放位置。s n o r t 的规则在逻 辑上分为两部分：规则头( r u l e h e a d 神和规则选项( r u l e o p t i o n ) 下面对它们进行讲 解。 3 3 1规则头 规则头是s n o r t 规则语法中的重要组成部分，规则头包含了数据包“从哪里来， 到哪里去，要干什么”，以及当定义了规则被触发时该做什么，对应哪一种协议， 以及包括口地址、网络、端口在内的源和目的信息。通过这些限制，规则或者说规 则选项需要处理的数据量可能会被有效地减少。规则头分为4 个部分：规则动作、 协议、源信息、目的信息【6 l 。 ( 1 ) 规则动作 规则的第一项是”规则动作”( r u l ea c t i o n ) ，”规则动作”告诉s n o r t 在发现匹配规 则的包时要干什么。在s n o r t 中有五种动作：a l e r t 、l o g 、p a s s 、a c t i v a t e 和d y n a m i c a l e r t ：使用选择的报警方法生成一个警报，然后记录( 1 0 9 ) 这个包。 l o g ：记录这个包。 p a s s ：丢弃( 忽略) 这个包。 a c t i v a t e ：报警并且激活另一条d y n a m i c 规则。 d y n a m i c ：保持空闲直到被一条a c t i v a t e 规则激活，被激活后就作为一条l o g 规 j e 基窑遭厶堂亟堂僮诠塞snq i 厶经捡捌丕统= 在厦堡 则执行。 ( 2 ) 协议 规则的下一部分是协议。s n o r t 当前分析可疑包的i p 协议育四种：t c p 、u d p 、 i c m p 和i p ，将来可能会更多，例如a r p 、i g r p 、g r e 、o s p f 、r i p 、i p x 等。 ( 3 ) 源和目的地址信息 规则头的下一个部分处理一个给定规则的i p 地址和端口号信息。关键字”a n y 可以被用来定义任何地址。 有一个操作符可以应用在口地址上，它是否定运算符。这个操作符告诉s n o r t 匹配除了列出的碑地址