Windows環(huán)境下基于Snort的入侵檢測系統(tǒng)應(yīng)用.doc

目 錄1 緒論31.1網(wǎng)絡(luò)安全與入侵測31.2 Snort統(tǒng)41.2.1Snort系統(tǒng)介41.2.2Snort系統(tǒng)工作理41.2.3snort系統(tǒng)的特點41.2.4Snort系統(tǒng)的現(xiàn)狀61.3本文研究成果及章節(jié)安排71.3.1本文主要研究成果81.3.2章節(jié)安排.82 入侵檢測系統(tǒng).92.1入侵檢測系統(tǒng)的主要功能及構(gòu)成92.1.1入侵檢測系統(tǒng)的主要功能92.1.2入侵檢測系統(tǒng)的構(gòu)成92.1.3入侵檢測系統(tǒng)的優(yōu)缺點122.2入侵檢測技術(shù)的分類132.2.1根據(jù)原始數(shù)據(jù)的來源132.2.2根據(jù)檢測原理進行分類162.2.3根據(jù)體系結(jié)構(gòu)進行分類172.3入侵檢測技術(shù)的發(fā)展方向183 SNORT系統(tǒng)結(jié)構(gòu)分析203.1SNORT系統(tǒng)的工作流程203.2主模塊213.2.1PV結(jié)構(gòu)213.2.2主函數(shù)分析213.3命令行解析233.4數(shù)據(jù)包的截獲233.4.1Winpca233.4.2打開數(shù)據(jù)包接口263.4.3正式獲取數(shù)據(jù)包273.5數(shù)據(jù)包的解析.273.5.1主要作用273.5.2Packet數(shù)據(jù)結(jié)構(gòu).273.5.3TCP/IP協(xié)議的分層結(jié)構(gòu).273.5.4主要函數(shù)273.5.5數(shù)據(jù)包解析模塊的工作流程293.6 常規(guī)規(guī)則.293.6.1主要功能293.6 .2 主要函數(shù).293.6.3檢測引擎全流程 303.7輸出模塊313.8.1輸出模塊313.8.2插件的使用.313.9 WinXP下實現(xiàn)基于Snort的入侵檢測系統(tǒng).324 SNORT系統(tǒng)的應(yīng)用實例354.1SNORT系統(tǒng)與防火墻技術(shù)的配合使用354.1.1防火墻的局限性354.1.2Snort檢測器(探針)的部署354.2一個基于SNORT的網(wǎng)站入侵檢測系統(tǒng)實現(xiàn)方案364.2.1網(wǎng)站的物理結(jié)構(gòu)364.2.2入侵檢測系統(tǒng)的組成374.2.3入侵檢測系統(tǒng)的物理布局.384.2.4編寫與配置相應(yīng)規(guī)則.385 總結(jié)與展望.445.1 總結(jié)445.2 展望44致謝44參考文獻.44第一章緒論本章首先介紹了典型的網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort的基本知識，闡述了Snort的發(fā)展現(xiàn)狀及研究意義，最后介紹了本文的研究成果和章節(jié)安排。1.1網(wǎng)絡(luò)安全與入侵檢測在信息化社會中，計算機通信網(wǎng)絡(luò)在政治、軍事、金融、商業(yè)、交通、電文教等方面的作用日益增大。社會對計算機網(wǎng)絡(luò)的依賴也日益增強。隨著計算機技術(shù)、數(shù)字通信技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，世界己經(jīng)進入了數(shù)字化、信息化的時代。計算機網(wǎng)絡(luò)己由單個的局域網(wǎng)發(fā)展到目前的跨區(qū)域的、國際性的計算機網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)的開放性、共享性及互聯(lián)性的擴大，特別是Internet的出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。隨著網(wǎng)絡(luò)上各種新業(yè)務(wù)的興起，比如電子商務(wù)、電子現(xiàn)金、數(shù)字貨幣、網(wǎng)絡(luò)銀行等興起，以及各種專用網(wǎng)的建設(shè)，使網(wǎng)絡(luò)安全問題顯得越來越重要。對于企業(yè)或者機關(guān)內(nèi)部網(wǎng)來說，入侵的來源可能是多種多樣的，比如說，它可能是企業(yè)或者機關(guān)內(nèi)部心懷不滿的員工、網(wǎng)絡(luò)黑客，甚至是競爭對手。攻擊者可能竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫的信息，還可以篡改數(shù)據(jù)庫的內(nèi)容，偽造用戶身份，否認自己的簽名。更為嚴重的是攻擊者可以刪除數(shù)據(jù)庫的內(nèi)容，摧毀網(wǎng)絡(luò)的節(jié)點，釋放計算機病毒，直到整個企業(yè)網(wǎng)絡(luò)陷入癱瘓。因此，能否成功阻止網(wǎng)絡(luò)黑客的入侵、保證計算機和網(wǎng)絡(luò)系統(tǒng)的安全和正常運行便成為網(wǎng)絡(luò)管理員所面臨的一個重要問題。入侵檢測技術(shù)是近20年來出現(xiàn)的一種主動保護自己免受黑客攻擊的新型網(wǎng)絡(luò)安全技術(shù)。什么是入侵檢測呢?簡單地說，從系統(tǒng)運行過程中產(chǎn)生的或系統(tǒng)所處理的各種數(shù)據(jù)中查找出威脅系統(tǒng)安全的因素，并對威脅做出相應(yīng)的處理，就是入侵檢測。相應(yīng)的軟件或硬件稱為入侵檢測系統(tǒng)。入侵檢測被認為是防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。而本文所研究的Snort系統(tǒng)就是一個典型的網(wǎng)絡(luò)入侵檢測系統(tǒng)。1.2 Snort系統(tǒng)1.2.1 Snort系統(tǒng)簡介Snort系統(tǒng)是一個以開放源代碼的形式發(fā)行的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)，由MartinRoesch編寫，并由遍布世界各地的眾多程序員共同維護和升級。Snort運行在LibpoaP庫函數(shù)基礎(chǔ)之上，系統(tǒng)代碼遵循GNU/GPL協(xié)議。Snort是一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。所謂的輕量級是指在檢測時盡可能低地影響網(wǎng)絡(luò)的正常操作，一個優(yōu)秀的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)應(yīng)該具備跨系統(tǒng)平臺操作，對系統(tǒng)影響最小等特征并且管理員能夠在短時間內(nèi)通過修改配置進行實時的安全響應(yīng)，更為重要的是能夠成為整體安全結(jié)構(gòu)的重要成員。Snort作為其典型范例，首先可以運行在多種操作系統(tǒng)平臺，例如UNIX系列和Windowsgx.(需要1ibpcapFor win32的支持)，與很多商業(yè)產(chǎn)品相比，它對操作系統(tǒng)的依賴性比較低。其次用戶可以根據(jù)自己的需要及時在短時間內(nèi)調(diào)整檢測策略。就檢測攻擊的種類來說，Snort檢測規(guī)則包括對緩沖區(qū)溢出，端口掃描和CGI攻擊等等。另外Snort還有回應(yīng)入侵行為的輔助功能一發(fā)送RST和ICMP UNREACH數(shù)據(jù)包向攻擊方可以暫緩其對目標主機的攻擊，對于Snort來說，實現(xiàn)該功能必然會降低檢測的效率，尤其是在網(wǎng)絡(luò)流量特別大的時候。另外，Snort還可以作為數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器使用。1.2.2 Snort系統(tǒng)工作原理Snort作為一個基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)，其工作原理為在基于共享網(wǎng)絡(luò)上檢測原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動的角度檢測異常行為，進而采取入侵的預(yù)警或記錄。從檢測模式而言，Snort屬于是誤用檢測(Misuse detection)，即對已知攻擊的特征模式進行匹配。從本質(zhì)上來說，Snort是基于規(guī)則檢測的入侵檢測工具，即針對每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗規(guī)則，從而形成一個規(guī)則數(shù)據(jù)庫。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫逐一匹配，若匹配成功，則認為該入侵行為成立。1.2.3 Snort系統(tǒng)的特點1)Snort是一個輕量級的入侵檢測系統(tǒng)Snort雖然功能強大，但是其代碼極為簡潔、短小，其源代碼壓縮包不到2Ma2)Snort的可移植性很好Snort的跨平臺性能極佳，目前已經(jīng)支持Linux，Solaris，BSD，IRIX，HP一UX，windows等系統(tǒng)。采用插入式檢測引擎，可以作為標準的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)使用;與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS(GatewayIDS與nmap等系統(tǒng)指紋識別工具結(jié)合使用，可以作為基于目標的IDS(Target一based IDS)。3)Snort的功能非常強大Snort具有實時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時地發(fā)出報警。Snort的報警機制很豐富，例如:syslog、用戶指定的文件、一個UNIX套接字，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡單網(wǎng)絡(luò)標記語言，simple network mark一up language)把日志存放到一個文件或者適時報警。Snort能夠進行協(xié)議分析，內(nèi)容的搜索/匹配?，F(xiàn)在Snort能夠分析的協(xié)議有TCP，UDP，ICMP等。將來，可能提供對ARP，ICRP，GRE，OSPF，RIP.IPX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如:緩沖區(qū)溢出、秘密端口掃描、CGI攻擊、SMB探測、探測操作系統(tǒng)指紋特征的企圖等等。Snort的日志格式既可以是topdump式的二進制格式，也可以解碼成ASCH字符形式，更加便于用戶尤其是新手檢查。使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫，當前支持的數(shù)據(jù)庫包括:Postgresql，MySQL，oraCle、任何unix0DBC數(shù)據(jù)庫等。使用TCP流插件(tcpstream)，Snort可以對TCP包進行重組。Snort能夠?qū)P包的內(nèi)容進行匹配，但是對于TCP攻擊，如果攻擊者使用一個程序，每次發(fā)送只有一個字節(jié)的TCP包，完全可以避開Snort的模式匹配。而被攻擊的主機的TCP協(xié)議棧會重組這些數(shù)據(jù)，將其送給在目標端口上監(jiān)聽的進程，從而使攻擊包逃過Snort的監(jiān)視。使用TCP流插件，可以對TCP包進行緩沖，然后進行匹配，使Snort具備了對付上面這種攻擊的能力。使用Spade(Statistieal Paeket Anomaly Deteetion Engine)插件，Snort能夠報告非正常的可疑包，從而對端口掃描進行有效的檢測。Snort還有很強的系統(tǒng)防護能力。使用FlexResp功能，Snort能夠主動斷開惡意連接。4).擴展性能較好，對于新的攻擊威脅反應(yīng)迅速作為一個輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，Snort有足夠的擴展能力。它使用一種簡單的規(guī)則描述語言。最基本的規(guī)則只是包含四個域:處理動作、協(xié)議、方向、注意的端口。還有一些功能選項可以組合使用，實現(xiàn)更為復(fù)雜的功能。 Snort支持插件，可以使用具有特定功能的報告、檢測子系統(tǒng)插件對其功能進行擴展。Snort當前支持的插件包括:數(shù)據(jù)庫日志輸出插件、碎數(shù)據(jù)包檢測插件、端口掃描檢測插件、HTTP URI normalization插件、XML插件等。同時，它支持多種格式的特征碼規(guī)則輸入方式，如數(shù)據(jù)庫、XML等。Snort的規(guī)則語言非常簡單，能夠?qū)π碌木W(wǎng)絡(luò)攻擊做出很快的反應(yīng)。發(fā)現(xiàn)新的攻擊后，可以很快根據(jù)其特征碼，寫出檢測規(guī)則。因為其規(guī)則語言簡單，所以很容易上手，節(jié)省人員的培訓(xùn)費用。5)多用途性Snort系統(tǒng)不但可以作為入侵檢測系統(tǒng)，還可以作為數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器使用。6)遵循公共通用許可證GPLSnort遵循GPL，所以任何企業(yè)、個人、組織都可以免費使用它作為自己的入侵檢測系統(tǒng)。但是，Snort系統(tǒng)也有很大的局限性，其系統(tǒng)結(jié)構(gòu)決定了其檢測規(guī)則只能使用落后的簡單模式匹配技術(shù)，適應(yīng)目前不斷出現(xiàn)的新的攻擊方式的能力有限:并且它在網(wǎng)絡(luò)數(shù)據(jù)流量很大的時候容易產(chǎn)生漏報和誤報，這對于目前的寬帶潮流是一個很大的缺點。1.2.4 Snort系統(tǒng)的現(xiàn)狀1.發(fā)展現(xiàn)狀由于遍布世界各地的眾多程序員共同維護和升級，目前Snort系統(tǒng)的更新是很快的，目前版本2.0.5，其系統(tǒng)結(jié)構(gòu)日趨合理，功能不斷增強，檢測規(guī)則也不斷增新和完善，但系統(tǒng)的基本架構(gòu)沒有變。而且，自由軟件開發(fā)人員陸續(xù)開發(fā)了眾多輔助性的軟件。這些軟件包括圖形化的管理系統(tǒng)、日志分析工具、檢測插件、圖形化的規(guī)則編寫軟件，以及規(guī)則自動升級軟件等。對這些軟件進行合理地選擇、集成，可以形成一套比較完善的網(wǎng)絡(luò)入侵檢測系統(tǒng)。2.應(yīng)用現(xiàn)狀Snort作為自由軟件，二次開發(fā)費用低廉，預(yù)算比較緊張的企業(yè)，目前廣泛的應(yīng)用Snort作為主要網(wǎng)絡(luò)入侵檢測系統(tǒng)。而且Snort系統(tǒng)是非常典型的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它的體系結(jié)構(gòu)是多數(shù)商用軟件結(jié)構(gòu)的基礎(chǔ)，目前國內(nèi)現(xiàn)有的大多數(shù)網(wǎng)絡(luò)入侵檢測產(chǎn)品的設(shè)計模式都是以Snort系統(tǒng)的基本架構(gòu)為基礎(chǔ)的，其檢測方式也多與Snort系統(tǒng)類似。3.研究意義及研究現(xiàn)狀1)學術(shù)上的意義作為典型的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其系統(tǒng)架構(gòu)和檢測方式是非常有代表性的.對其源代碼的徹底剖析和對其規(guī)則的分析是將來對通用入侵檢測架構(gòu)標準進一步研究所必須要做的前期工作，對系統(tǒng)的詳細分析也是將來對其功能進行升級革新的前提。同時，研究Snort系統(tǒng)對于改變國內(nèi)目前入侵檢測系統(tǒng)研發(fā)的落后局面，也具有非常重要的意義。2)商業(yè)應(yīng)用上的意義Snort系統(tǒng)是自由軟件，相對于昂貴的商業(yè)入侵檢測系統(tǒng)，應(yīng)用Snort作為入侵檢測系統(tǒng)和對其進行專用性的二次開發(fā)的費用是非常低的。同時，它的強大功能和多功能性對企業(yè)也具有很大吸引力。而且，國內(nèi)目前多數(shù)的入侵檢測系統(tǒng)都是以Snort系統(tǒng)的基本原理和結(jié)構(gòu)為基礎(chǔ)的。因此，對Snort系統(tǒng)的研究無疑具有很大的商業(yè)意義。3)對于保密工作的意義如多數(shù)自由軟件一樣，Snort系統(tǒng)是否含有未知的可能導(dǎo)致泄密的隱藏代碼同樣需要搞清楚，這對于Snort系統(tǒng)在機要、國防方面的應(yīng)用是非常重要的。徹底的對整個Snort系統(tǒng)進行解析是最好的方法。目前國內(nèi)對Snort系統(tǒng)的研究取得了一定成果，而對Snort系統(tǒng)基本架構(gòu)的研究尚處于起步階段，對架構(gòu)的研究僅限于系統(tǒng)的大體流程，對于各模塊細節(jié)的研究遠遠不夠，還沒有出現(xiàn)以詳細流程圖的形式對Snort系統(tǒng)基本架構(gòu)及的細致描述。對于Snort規(guī)則的研究也不徹底，缺乏細致的剖析。而本文以系統(tǒng)結(jié)構(gòu)和規(guī)則為主要研究對象，對其進行詳細的剖析。1.3 本文研究成果及章節(jié)安排1.3.1本文主要研究成果l)細致的剖析了Snort系統(tǒng)源代碼，以系統(tǒng)流程圖為主要形式描述了系統(tǒng)基本架構(gòu)和各模塊工作流程。目前尚未發(fā)現(xiàn)國內(nèi)有類似的工作。2)具體分析了Snort的一些典型規(guī)則，對其特點進行了總結(jié)。3)結(jié)合實際提出了一個Snort系統(tǒng)的典型應(yīng)用方案。1.3.2 章節(jié)安排本文共分為六章，第一章為緒論，介紹了應(yīng)用入侵檢測技術(shù)的必要性，以及Snort系統(tǒng)的基本知識，闡述了Snort系統(tǒng)的發(fā)展現(xiàn)狀和研究意義，并列舉了本文的研究成果及內(nèi)容安排。第二章介紹了入侵檢測系統(tǒng)的基本原理。第三章為系統(tǒng)結(jié)構(gòu)分析，主要用流程圖的形式細致的描述了整個Snort系統(tǒng)的基本架構(gòu)和各模塊工作流程。第四章為Snort規(guī)則的分析與編寫，具體的分析了Snort系統(tǒng)一些具有代表意義的規(guī)則實例，總結(jié)了Snort規(guī)則的特點，并提出了編寫Snort規(guī)則所要注意的一些問題。第五章為Snort系統(tǒng)的應(yīng)用實例，先闡述了Snort作為入侵檢測系統(tǒng)與防火墻的配合問題，隨后提出了一個典型應(yīng)用方案。第六章為結(jié)束語，闡述了本文的貢獻和下一步研究的方向。第二章入侵檢測系統(tǒng)本章介紹了入侵檢測系統(tǒng)的基本原理入侵檢測是指通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應(yīng)。入侵檢測系統(tǒng)(IDs:I咖sionDetectinnsystem)是實現(xiàn)入侵檢測功能的一系列的軟件、硬件的組合。作為一種安全管理工具，它從不同的系統(tǒng)資源收集信息，分析反映誤用或異常行為模式的信息，對檢測的行為做出自動的反應(yīng)，并報告檢測過程的結(jié)果。入侵檢測系統(tǒng)就其最基本的形式來講，可以說是一個分類器，它是根據(jù)系統(tǒng)的安全策略來對收集到的事件、狀態(tài)信息進行分類處理，從而判斷出入侵和非入侵行為。2.1 入侵檢測系統(tǒng)的主要功能及構(gòu)成2.1.1入侵檢測系統(tǒng)的主要功能監(jiān)督并分析用戶和系統(tǒng)的活動檢查系統(tǒng)配置和漏洞檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識別代表己知攻擊的活動模式對反常行為模式的統(tǒng)計分析對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)包括程序、文件和硬件設(shè)備等)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。2.1.2 入侵檢測系統(tǒng)的構(gòu)成入侵檢測系統(tǒng)一般由信息收集模塊、信息分析模塊、用戶接口組成。1.信息收集入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息，這除了盡可能擴大檢測范圍的因素外，還有一個重要的因素就是從一個源來的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。 當然，入侵檢測很大程度上依賴于收集信息的可靠性和正確性，因此，很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客經(jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、庫和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣，而實際上不是。例如，UNIX系統(tǒng)的PS指令可以被替換為一個不顯示侵入過程的指令，或者是編輯器被替換成一個讀取不同于指定文件的文件(黑客隱藏了初試文件并用另一版本代替)。這需要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當強的堅固性，防止被篡改而收集到錯誤的信息。入侵檢測利用的信息一般來自以下四個方面:1)系統(tǒng)和網(wǎng)絡(luò)日志文件黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID改變、用戶對文件的訪問、授權(quán)和認證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。2)目錄和文件中的不期望的改變網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除)，特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。3)程序執(zhí)行中的不期望行為網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，例如數(shù)據(jù)庫服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn)。每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中，這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進程，以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。4)物理形式的入侵信息這包括兩個方面的內(nèi)容，一是未授權(quán)的對網(wǎng)絡(luò)硬件連接;二是對物理資源的未授權(quán)訪問。黑客會想方設(shè)法去突破網(wǎng)絡(luò)的周邊防衛(wèi)，如果他們能夠在匆理上訪問內(nèi)部網(wǎng)，就能安裝他們自己的設(shè)備和軟件。依此，黑客就可以知道網(wǎng)上的由用戶加上去的不安全(未授權(quán))設(shè)備，然后利用這些設(shè)備訪問網(wǎng)絡(luò)。例如、用戶在家里可能安裝Modem以訪問遠程辦公室，與此同時黑客正在利用自動工具來識別在公共電話線上的Medem，如果一撥號訪問流量經(jīng)過了這些自動工具，那么這一撥號訪問就成為了威脅網(wǎng)絡(luò)安全的后門。黑客就會利用這個后門來訪問內(nèi)部網(wǎng)，從而越過了內(nèi)部網(wǎng)絡(luò)原有的防護措施，然后捕獲網(wǎng)絡(luò)流量，進而攻擊其它系統(tǒng)，并偷取敏感的私有信息等等。2.信息分析上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進行分析:模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。1)模式匹配模式匹配就是將收集到的信息與己知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令)，也可以很復(fù)雜(如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化)。一般來講，一種進攻模式可以用一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權(quán)限)來表示。該方法的一大優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負擔，且技術(shù)己相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。2)統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性(如訪問次數(shù)、操作失敗次數(shù)和延時等)。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，統(tǒng)計分析可能標識一個不正常行為，因為它發(fā)現(xiàn)一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優(yōu)點是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點和迅速發(fā)展之中。3)完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特絡(luò)伊化的應(yīng)用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)，它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)。盡管如此完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進行全面地掃描檢查。3.用戶接口入侵檢測系統(tǒng)的用戶接口使得用戶容易觀察系統(tǒng)的輸出信號，并對系統(tǒng)行為進行控制。2.1.3 入侵檢測系統(tǒng)的優(yōu)缺點入侵檢測系統(tǒng)的優(yōu)點在于:提高了信息安全體系其它部分的完整性提高了系統(tǒng)的監(jiān)察能力跟蹤用戶從進入到退出的所有活動或影響識別并報告數(shù)據(jù)文件的改動發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正識別特定類型的攻擊，并向相應(yīng)人員報警，以作出防御反應(yīng)可使系統(tǒng)管理人員最新的版本升級添加到程序中允許非專家人員從事系統(tǒng)安全工作為信息安全策略的創(chuàng)建提供指導(dǎo)同時入侵檢測系統(tǒng)并不是無所不能的，它們無法彌補力量薄弱的識別和確認機制，具體表現(xiàn)在:在無人干預(yù)的情況下，無法執(zhí)行對攻擊的檢查無法感知公司安全策略的內(nèi)容不能彌補網(wǎng)絡(luò)協(xié)議的漏洞不能彌補由于系統(tǒng)提供信息的質(zhì)量或完整性的問題它們不能分析網(wǎng)絡(luò)繁忙時所有事務(wù)它們不能總是對數(shù)據(jù)包級的攻擊進行處理它們不能應(yīng)付現(xiàn)代網(wǎng)絡(luò)的硬件及特性2.2 入侵檢測技術(shù)的分類隨著入侵檢測技術(shù)的發(fā)展，到目前為止出現(xiàn)了很多入侵檢測系統(tǒng)，不同的入侵檢測系統(tǒng)具有不同的特征。根據(jù)不同的分類標準，入侵檢測系統(tǒng)可分為不同的類別。對于入侵檢測系統(tǒng)，要考慮的因素(分類依據(jù))主要有:信息源、入侵、事件生成、事件處理、檢測方法等。下面就不同的分類依據(jù)及分類結(jié)果分別加以介紹。2.2.1 根據(jù)原始數(shù)據(jù)的來源入侵檢測系統(tǒng)要對其所監(jiān)控的網(wǎng)絡(luò)或主機的當前狀態(tài)做出判斷，并不是憑空臆測，它需要以原始數(shù)據(jù)中包含的信息為基礎(chǔ)，做出判斷。按照原始數(shù)據(jù)的來源，可以將入侵檢測系統(tǒng)分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于應(yīng)用的入侵檢測系統(tǒng)。l)基于主機的入侵檢測系統(tǒng)主要用于保護運行關(guān)鍵應(yīng)用的服務(wù)器。它通過監(jiān)視與分析主機的審計記錄和日志文件來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。通常，基于主機的IDS可監(jiān)測系統(tǒng)、事件和Windows.VT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄，從中發(fā)現(xiàn)可疑行為。當有文件發(fā)生變化時，IDS將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警并向別的目標報告，以采取措施。對關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的入侵檢測的一個常用方法，是通過定期檢查校驗和來進行的，以便發(fā)現(xiàn)意外的變化。反應(yīng)的快慢與輪詢間隔的頻率有直接的關(guān)系。此外，許多IDS還監(jiān)聽主機端目的活動，并在特定端口被訪問時向管理員報警。盡管基于主機的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實具有基于網(wǎng)絡(luò)的系統(tǒng)無法比擬的優(yōu)點。這些優(yōu)點包括:能確定攻擊是否成功主機是攻擊的目的所在，所以基于主機的IDS使用含有已發(fā)生的事件信息，可以比基于網(wǎng)絡(luò)的IDS更加準確地判斷攻擊是否成功。就這一方面而言，基于主機的IDS與基于網(wǎng)絡(luò)的IDS互相補充，網(wǎng)絡(luò)部分盡早提供針對攻擊的警告，而主機部分則可確定攻擊是否成功。監(jiān)控粒度更細基于主機的IDS，監(jiān)控的目標明確，視野集中，它可以檢測一些基于網(wǎng)絡(luò)的IDS不能檢測的攻擊。它可以很容易地監(jiān)控系統(tǒng)的一些活動，如對敏感文件、目錄、程序或端口的存取。例如，基于主機的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶在連接到網(wǎng)絡(luò)以后的行為。它還可監(jiān)視通常只有管理員才能實施的非正常行為。針對系統(tǒng)的一些活動，有時并不通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，有時雖然通過網(wǎng)絡(luò)傳輸數(shù)據(jù)但所傳輸?shù)臄?shù)據(jù)并不能提供足夠多的信息，從而使得基于網(wǎng)絡(luò)的系統(tǒng)檢測不到這些行為，或者檢測到這個程度非常困難。.配置靈活每一個主機有其自己的基于主機的IDS，用戶可根據(jù)自己的實際情況對其進行配置。可用于加密的以及交換的環(huán)境加密和交換設(shè)備加大了基于網(wǎng)絡(luò)IDS收集信息的難度，但由于基于主機的IDS安裝在要監(jiān)控的主機上，根本不會受這些因素的影響。.對網(wǎng)絡(luò)流量不敏感基于主機的IDS一般不會因為網(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視。.不需要額外的硬件基于主機的入侵檢測系統(tǒng)的主要缺點是:它會占用主機的資源，在服務(wù)器上產(chǎn)生額外的負載;缺乏平臺支持，可移植性差，因而應(yīng)用范圍受到嚴重限制。在網(wǎng)絡(luò)環(huán)境中，某些活動對于單個主機來說可能構(gòu)不成入侵，但是對于整個網(wǎng)絡(luò)是入侵活動。例如“旋轉(zhuǎn)門柄”攻擊，入侵者企圖登錄到網(wǎng)絡(luò)主機，他對每臺主機只試用一次用戶ID和口令，并不窮盡搜索，如果不成功，便轉(zhuǎn)向其他主機。這種攻擊方式，各主機上的入侵檢測系統(tǒng)顯然無法檢測到，這就需要建立面向網(wǎng)絡(luò)的入侵檢測系統(tǒng)。2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)主要用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它偵聽網(wǎng)絡(luò)上的所有數(shù)據(jù)包來采集數(shù)據(jù)，分析可疑現(xiàn)象。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的IDS通常利用一個運行在混雜模式下網(wǎng)絡(luò)的適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，當然也可能采用其他特殊硬件獲得原始網(wǎng)絡(luò)包?；诰W(wǎng)絡(luò)的IDS有許多僅靠基于主機的入侵檢測所無法提供的功能。實際上，許多客戶在最初使用IDS時，都配置了基于網(wǎng)絡(luò)的入侵檢測?；诰W(wǎng)絡(luò)的檢測有以下優(yōu)點:.監(jiān)測速度快基于網(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。隱蔽性好一個網(wǎng)絡(luò)上的監(jiān)測器不像一個主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊?；诰W(wǎng)絡(luò)的監(jiān)視器不運行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計算機，因此可以做得比較安全。視野更寬可以檢測一些主機檢測不到的攻擊，如淚滴(teardroP)攻擊，基于網(wǎng)絡(luò)SYN洪水等。還可以檢測不成功的攻擊和惡意企圖。較少的監(jiān)測器由于使用一個監(jiān)測器就可以保護一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。相反地，如果基于主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難于管理。但是，如果在一個交換環(huán)境下，就需要特殊的配置。攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通信進行實時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。許多黑客都熟知審計記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何阻止需要這些信息的基于主機的系統(tǒng)去檢測入侵。操作系統(tǒng)無關(guān)性基于網(wǎng)絡(luò)的IDS作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果?？梢耘渲迷趯ｉT的機器上，不會占用被保護的設(shè)備上的任何資源基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要缺點是:只能監(jiān)視本網(wǎng)段的活動，精確度不高;在交換環(huán)境下難以配置;防入侵欺騙的能力較差;難以定位入侵者。3)基于應(yīng)用(APPlication)的入侵檢測系統(tǒng)基于應(yīng)用的入侵檢測系統(tǒng)可以說是基于主機的入侵檢測系統(tǒng)的一個特殊子集，也可以說是基于主機入侵檢測系統(tǒng)實現(xiàn)的進一步的細化，所以其特性、優(yōu)缺點與基于主機的IDS基本相同。主要特征是使用監(jiān)控傳感器在應(yīng)用層收集信息。由于這種技術(shù)可以更準確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意。它監(jiān)控在某個軟件應(yīng)用程序中發(fā)生的活動，信息來源主要是應(yīng)用程序的日志。它監(jiān)控的內(nèi)容更為具體，相應(yīng)的監(jiān)控的對象更為狹窄。這三種入侵檢測系統(tǒng)具有互補性，基于網(wǎng)絡(luò)的入侵檢測能夠客觀地反映網(wǎng)絡(luò)活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū):而基于主機的和基于應(yīng)用的入侵檢測能夠更加精確地監(jiān)視系統(tǒng)中的各種活動。實際系統(tǒng)大多是這三種系統(tǒng)的混合體。2.2.2 根據(jù)檢測原理進行分類傳統(tǒng)的觀點根據(jù)入侵行為的屬性將其分為異常和誤用兩種，然后分別對其建立異常檢測模型和誤用檢測模型。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。異常入侵檢測試圖用定量的方式描述可以接受的行為特征，以區(qū)分非正常的、潛在的入侵行為。A刀derson做了如何通過識別“異?！毙袨閬頇z測入侵的早期工作。他提出了一個威脅模型，將威脅分為外部闖入、內(nèi)部滲透和不當行為三種類型，并使用這種分類方法開發(fā)了一個安全監(jiān)視系統(tǒng)，可檢測用戶的異常行為。誤用入侵檢測是指利用己知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測不同，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查出與正常行為相違背的行為。綜上，可根據(jù)系統(tǒng)所采用的檢測模型，將入侵檢測分為兩類:異常檢測和誤用檢測。l)異常檢測在異常檢測中，觀察到的不是己知的入侵行為，而是所研究的通信過程中的異常現(xiàn)象，它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標為“異?！保⑷绾巫龀鼍唧w決策。2)誤用檢測在誤用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。誤用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏警。2.2.3 根據(jù)體系結(jié)構(gòu)分類按照體系結(jié)構(gòu)，IDS可分為集中式、等級式和協(xié)作式三種。l)集中式這種結(jié)構(gòu)的IDS可能有多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務(wù)器。審計程序把當?shù)厥占降臄?shù)據(jù)蹤跡發(fā)送給中央服務(wù)器進行分析處理。但這種結(jié)構(gòu)的IDS在可伸縮性、可配置性方面存在致命缺陷。隨著網(wǎng)絡(luò)規(guī)模的增加，主機審計程序和服務(wù)器之間傳送的數(shù)據(jù)量就會驟增，導(dǎo)致網(wǎng)絡(luò)性能大大降低。并且，一旦中央服務(wù)器出現(xiàn)故障，整個系統(tǒng)就會陷入癱瘓。根據(jù)各個主機的不同需求配置服務(wù)器也非常復(fù)雜。2)等級式在這種IDS中，定義了若干個分等級的監(jiān)控區(qū)域，每個IDS負責一個區(qū)域，每一級IDS只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。這種結(jié)構(gòu)也存在一些問題:首先，當網(wǎng)絡(luò)拓撲結(jié)構(gòu)改變時，區(qū)域分析結(jié)果的匯總機制也需要做相應(yīng)的調(diào)整:第二，這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級的檢測服務(wù)器進行全局分析，所以系統(tǒng)的安全性并沒有實質(zhì)性的改進。3)協(xié)作式將中央檢測服務(wù)器的任務(wù)分配給多個基于主機或網(wǎng)絡(luò)的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C或者網(wǎng)段的某些活動。所以，其可伸縮性、安全性都得到了顯著的提高，但維護成本卻高了很多，并且增加了所監(jiān)控主機的工作負荷，如通信機制、審計開銷、蹤跡分析等，網(wǎng)絡(luò)流量也增大。2.3 入侵檢測技術(shù)的發(fā)展方向可以看到，在入侵檢測技術(shù)發(fā)展的同時，入侵技術(shù)也在更新，一些黑客組織己經(jīng)將如何繞過IDS或攻擊IDS系統(tǒng)作為研究重點。高速網(wǎng)絡(luò)，尤其是交換技術(shù)的發(fā)展以及通過加密信道的數(shù)據(jù)通信，使得通過共享網(wǎng)段偵聽的網(wǎng)絡(luò)數(shù)據(jù)采集方法顯得不足，而大量的通信量對數(shù)據(jù)分析也提出了新的要求。隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越重要，信息戰(zhàn)己逐步被各個國家重視，信息戰(zhàn)中的主要攻擊“武器”之一就是網(wǎng)絡(luò)的入侵技術(shù)，信息戰(zhàn)的防御主要包括“保護”、“檢測”與“響應(yīng)”，入侵檢測則是其中“檢測”與“響應(yīng)”環(huán)節(jié)不可缺少的部分。近年對入侵檢測技術(shù)有幾個主要發(fā)展方向:l)分布式入侵檢測與通用入侵檢測架構(gòu)傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足。同時不同的IDS系統(tǒng)之間不能協(xié)同工作，為解決這一問題，需要分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。2)應(yīng)用層入侵檢測許多入侵的語義只有在應(yīng)用層才能理解，而目前的IDS僅能檢測如WEB之類的通用協(xié)議，而不能處理如LOtusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護。3)智能的入侵檢測入侵方法越來越多樣化與綜合化，盡管己經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究，但是這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究以解決其自學習與自適應(yīng)能力。4)入侵檢測的評測方法用戶需對眾多的IDS系統(tǒng)進行評價，評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS系統(tǒng)自身的可靠性。從而設(shè)計通用的入侵檢測測試與評估方法與平臺，實現(xiàn)對多種IDS系統(tǒng)的檢測己成為當前IDS的另一重要研究與發(fā)展領(lǐng)域。5)全面的安全防御方案即使用安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案?？傊肭謾z測作為一種積極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。第三章Snort系統(tǒng)結(jié)構(gòu)分析本章詳細介紹了Snort系統(tǒng)的基本結(jié)構(gòu)框架及工作流程。3.1 snort系統(tǒng)的工作流程圖3.1 Snort系統(tǒng)流程圖整個系統(tǒng)是由七個模塊組成的:主模塊、命令行解析、數(shù)據(jù)包截獲、數(shù)據(jù)包解析、規(guī)則解析、檢測引擎、輸出模塊(需要說明的是，本文把Snort系統(tǒng)作為網(wǎng)絡(luò)入侵檢測系統(tǒng)進行分析，所有流程都是以Snort系統(tǒng)的入侵檢測狀態(tài)為前提的)。系統(tǒng)的總體工作流程大體如下:首先執(zhí)行主函數(shù)，其中包括對命令行參數(shù)的解析及各種標識符的設(shè)置。主函數(shù)還調(diào)用相關(guān)例程對預(yù)處理器模塊、輸出模塊和規(guī)則選項關(guān)鍵字模塊進行初始化工作，其實質(zhì)是構(gòu)建各種處理模塊或初始化模塊的鏈表結(jié)構(gòu)。而后調(diào)用規(guī)則解析模塊，實質(zhì)是構(gòu)建規(guī)則鏈表。接著啟動數(shù)據(jù)包的截獲和處理。在對數(shù)據(jù)包進行處理時，首先是調(diào)用各種網(wǎng)絡(luò)協(xié)議解析函數(shù)，對當前數(shù)據(jù)包進行分層協(xié)議格式字段的分析，并將分析結(jié)果存入到數(shù)據(jù)結(jié)構(gòu)Packet中去。然后系統(tǒng)調(diào)用入侵檢測模塊，根據(jù)給定的各種規(guī)則和當前所截獲的數(shù)據(jù)包的協(xié)議分析結(jié)果，做出是否發(fā)生入侵行為的判斷。如果當前數(shù)據(jù)包符合某條檢測規(guī)則所指定的情況，則系統(tǒng)可根據(jù)該條規(guī)則所定義的響應(yīng)方式以及輸出模塊的初始化定義情況，選擇進行各種方式的日志記錄或報警操作。Snort系統(tǒng)較多的采用了“插件”的模式，這包括檢測引擎、規(guī)則解析中的預(yù)處理器子模塊、規(guī)則選項關(guān)鍵字子模塊和輸出模塊。采用此種靈活的結(jié)構(gòu)模式，用戶可以加入自己編寫的模塊增強系統(tǒng)的功能或者滿足用戶自己的特殊需求。3.2 主模塊該模塊包括全局變量和重要數(shù)據(jù)結(jié)構(gòu)的定義和主函數(shù)3.2.1 PV結(jié)構(gòu)該數(shù)據(jù)結(jié)構(gòu)用于存儲程序所用到的各種變量以及命令行參數(shù)的解析結(jié)果。3.2.2 主函數(shù)分析1.主要作用各處理模塊初始化，調(diào)用命令行參數(shù)解析，調(diào)用檢測規(guī)則解析，啟動數(shù)據(jù)包截獲和處理。2.主函數(shù)流程系統(tǒng)初始化部分主要包括系統(tǒng)工作模式、系統(tǒng)默認根目錄設(shè)置、完整性檢查等等，不贅述。主函數(shù)通過對Parsecmdiine函數(shù)的調(diào)用啟動對命令行的解析，解析過程實質(zhì)是對Pv結(jié)構(gòu)的相應(yīng)字段賦值;接著用Openpcap函數(shù)打開數(shù)據(jù)截獲接口(網(wǎng)絡(luò)接口或者文件);而后調(diào)用SetPktprocessor函數(shù)，獲得當前網(wǎng)絡(luò)接口層的協(xié)議類型，保存到全局變量Grinder中;隨后是插件的初始化，包括預(yù)處理器插件(InitPreproeessor)、規(guī)則選項關(guān)鍵字插件(InitPlugins)和輸出插件(hiitoutPutPlugins);調(diào)用Parserulefile函數(shù)，解析規(guī)則文件:隨后設(shè)置報警模式和日志模式;調(diào)用pcaPloop函數(shù)，啟動對數(shù)據(jù)包的截獲，同時調(diào)用ProcessPacket函數(shù)，啟動對所獲數(shù)據(jù)包的處理;最后關(guān)閉數(shù)據(jù)包截獲設(shè)備，釋放資源退出，實際初始化部分將數(shù)據(jù)包截獲總數(shù)設(shè)為無限個，使系統(tǒng)進入無限循環(huán)處理的過程中，除非出錯，不會退出。主函數(shù)流程如圖3.2所示。圖3.2主函數(shù)流程圖3.3 命令行解析系統(tǒng)采用命令行開關(guān)選項的方式對系統(tǒng)進行配置，也可以采用高級規(guī)則CONFIG配置系統(tǒng)，實質(zhì)都是對PV結(jié)構(gòu)的相應(yīng)字段賦值。命令行的使用方式為:Snort.EXE參數(shù)WIN32下的命令行的使用方式為:Snort.EXE/SERVICE/INSTALL參數(shù))系統(tǒng)用Pajrsecmdiine函數(shù)實現(xiàn)命令行解析模塊的全部功能。Parseemdiine函數(shù)結(jié)構(gòu)非常簡單，就是順次讀取命令行開關(guān)后的各個參數(shù)，針對不同參數(shù)和字符串選項設(shè)置PV結(jié)構(gòu)中的對應(yīng)字段。下面對部分命令行參數(shù)結(jié)合PV結(jié)構(gòu)相應(yīng)字段及后文配置規(guī)則CONFIG的相應(yīng)關(guān)鍵字進行說明。3.4 數(shù)據(jù)包的截獲該子系統(tǒng)的功能為捕獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，Snort系統(tǒng)利用libpe即庫函數(shù)(Windows下需要llbpeap for Win32，即winpcaP的支持)進行采集數(shù)據(jù)，該庫函數(shù)可以為應(yīng)用程序提供直接從網(wǎng)絡(luò)接口層捕獲數(shù)據(jù)包的接口函數(shù)并可以設(shè)置數(shù)據(jù)包的過濾器以來捕獲指定的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)截獲機制是整個KIDS實現(xiàn)的基礎(chǔ)，目前，Snort可以處理以太網(wǎng)，令牌環(huán)以及SLIP等多種網(wǎng)絡(luò)接口類型的包。下面以WINDOWS下數(shù)據(jù)包截獲的實現(xiàn)，分析數(shù)據(jù)包截獲的過程。3.4.1Winpcap1.WinPcap結(jié)構(gòu)WinPcap包括三個部分第一個模塊NPF(NetgrouP Packet Filter)，是一個虛擬設(shè)備驅(qū)動程序文件。它的功能是過濾數(shù)據(jù)包，并把這些數(shù)據(jù)包原封不動地傳給用戶級模塊，這個過程中包括了一些操作系統(tǒng)特有的代碼。第二個模塊Pa