入侵检测系统规则分析及其创建研究

1/5入侵检测系统规则分析及其创建研究【摘要】文章通过实例分析IDS规则提出应该如何完善规则以便降低IDS误报率的方法，最后阐述IDS规则的创建方法。【关键词】IDS规则规则分析规则创建误报率1IDS规则实例的分析当网站允许恶意代码被插入到一个动态创建的网页中时，跨站脚本攻击就发生了。我们来看一个IDS规则ALERTTCPANYANYANYANYCONTENT“SCRIPT“MSG“WEBMISCCROSSSITESCRIPTINGATTEMPT“规则选项CONTENT包含了“SCRIPT”字符串，正好可以匹配跨站脚本攻击的特征，跨站脚本攻击会触发这个规则。可是许多其他的正常流量也会触发这个规则，IDS根据该规则发出报警从而产生误报。为了避免这种情况的发生就需要修改这个规则使其仅仅在WEB流量中触发ALERTTCPEXTERNAL_NETANYHTTP_SERVERSHTTP_PORTSCONTENT“SCRIPT“MSG“WEBMISCCROSSSITESCRIPTINGATTEMPT“现在，仅在来自WEB服务器的相关HTTP会话中检测到SCRIPT内容时才会触发该规则。当流量开始于一个外2/5部的IP地址，并被发送给WEB服务器上HTTP服务端口时，该规则才被触发。当正确地标识公司所有的WEB服务器和所运行的端口后，跨站脚本规则仅当含有脚本标记的数据流被发送到WEB服务器上时才触发。LOCALHOST但是，载入这个规则后会发现无论何时有包含JAVASCRIPT的请求时都会产生大量的误报。因此需要更进一步地提炼这个规则，找到跨站脚本攻击数据流的唯一特征。ALERTTCPEXTERNAL_NETANYHTTP_SERVERSHTTP_PORTSMSG“WEBMISCCROSSSITESCRIPTINGATTEMPT“FLOWTO_SERVER,ESTABLISHEDCONTENT“SCRIPT“这个校正后的规则使用了FLOW选项，使用IDS的TCP重建特征来鉴别流量的方向。通过应用特定的FLOW选项，TO_SERVER和ESTABLISHED，规则仅仅对从客户端向服务器端发起的会话有效。一个跨站脚本攻击只会发生在这个方向传输的流量上，而反方向上的流量可能是一个包含JAVASCRIPT标记的正常的HTTP会话。现在规则已经可以识别跨站脚本攻击了，且产生误报的可能性大大减少。接着需要利用大小写敏感性确保攻击者不能躲避该规则。CONTENT选项是区分大小写的，然而HTML不是，因此攻击者可以通过将脚本标记修改为SCRIPT或SCRIPT避开这个规则，为了弥补这一点，3/5应用NOCASE选项来指定不区分大小写。ALERTTCPEXTERNAL_NETANYHTTP_SERVERSHTTP_PORTSMSG“WEBMISCCROSSSITESCRIPTINGATTEMPT“FLOWTO_SERVER,ESTABLISHEDCONTENT“SCRIPT“NOCASEIDS规则的编写方法1利用网络知识创造新规则首先需要编写规则头。WEB服务器请求响应是一个HTTP数据流，因此规则头的协议部分应使用TCP。要想监控指定的任何外部地址，源地址部分可以使用EXTERNAL_NET变量。因为我们想让该规则应用于WEB服务器请求响应，所以源端口部分应使用HTTP_PORTS变量来标识与HTTP连接相关的端口列表。如果想监控整个内部网络，目标地址部分应使用HOME_NET变量。HTTP请求可以使用任何随机选取的高端端口，因此可以将目的端口部分设为ANY。最后我们希望该规则匹配数据流后报警，那么规则行为部分应设为ALERT，这样就形成了下面的规则头ALERTTCPEXTERNAL_NETHTTP_PORTSHOME_NETANY，接下来指定规则选项。2利用流量分析创建新规则下面通过创建一个监控OPENSSLSLAPPER蠕虫的规则的例子进行说明。将嗅探器放在一个防火墙后面，防火墙仅仅开放4/5SLAPPER使用的那个端口。SLAPPER是利用了OPENSSL中的一个安全漏洞，因此在防火墙中打开端口443/TCP后开始监控服务器，如果一段时间后，服务器发出一个像“NOJOBCONTROLINTHISSHELL”这样的响应，就说明服务器遭到SLAPPER攻击了。记录下遭到攻击的时间，然后使用GREP对这段时间TCPDUMP日志记录的数据进行分析。从这个信息中找出一个特征内容赋给规则选项CONTENT表达式，并使该特征与IDS规则库中其他规则CONTENT表达式内容不同，即是唯一的。这里可以使用CONTENT”XTERMEXECBASHI”来创建该特征。接着开始写规则头。规则实现的功能应该可以对来自任何外部源、任何端口输入的，目的为WEB服务器的HTTPS端口，且满足攻击特征的TCP流量进行报警，所以规则头可写为ALERTTCPEXTERNAL_NETANYHOME_SERVERS43，加上报警消息和版本号后，规则选项为（MSG”SLAPPERATTACK”FLOWTO_SERVER,ESTABLISHEDCONTENT”XTERMEXECBASHI”NOCASEPRIORITY1REV1）联接规则头和规则选项，完成规则如下ALE