Snort規(guī)則的分析與制定

1、Snort規(guī)則的分析與制定        隨著應(yīng)用的普及，安全性變得日益重要，作為網(wǎng)絡(luò)安全的一個(gè)重要組成部分網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(Network Intrusion Detection System，NIDS)受到業(yè)界更多的關(guān)注，Snort正是一款基于libpcap庫、開放源碼的NIDS系統(tǒng)。這些開放源代碼的數(shù)據(jù)分析軟件包，為我們構(gòu)建規(guī)則處理模塊提供了便利條件，但通常它又有一定的局限性，所以，要開發(fā)一個(gè)真正功能強(qiáng)大、實(shí)用的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，開發(fā)者需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究

2、，才能制定相應(yīng)的安全規(guī)則集和安全策略。它正是構(gòu)建NIDS的工作重點(diǎn)。也是本文關(guān)注的焦點(diǎn)。1 Snort簡(jiǎn)介代寫Snort是用c語言編寫的開放源代碼軟件，它是一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)工具。當(dāng)前最新的版本是snort-2701targz Mon Aug 6 10：14：59 EDT 2007(Last Modified)。新版與以前的版本相比，增加的核心功能就是引入了數(shù)據(jù)匹配相對(duì)偏移的概念。在規(guī)則方面增加了若干選項(xiàng)，如content選項(xiàng)增加了distance和within修飾選項(xiàng)，可以使匹配多個(gè)有一定順序和固定間隔的模式成為可能。目前ourcdire公司開始推行snort的許可證

3、協(xié)議，以使其可以對(duì)一些具有及時(shí)性的，經(jīng)過測(cè)試的規(guī)則進(jìn)行收費(fèi)。nort系統(tǒng)由四個(gè)基本模塊組成，如1所示。數(shù)據(jù)采集模塊，在數(shù)據(jù)采集模塊中可以加入預(yù)處理模塊，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合并、去除冗余信息，從而提高系統(tǒng)的效率；預(yù)處理模塊，用來擴(kuò)展Snort的功能；檢測(cè)引擎，這是Snort的核心模塊；日志與報(bào)警輸出模塊，管理員通過它來指定記錄日志和告警的輸出。用戶還可以自己編寫模塊來擴(kuò)展Snort的功能，以應(yīng)對(duì)不斷出現(xiàn)的威脅。2 Snort規(guī)則與制定21 Snort的規(guī)則與鏈表snort的工作原理是解析規(guī)則集形成規(guī)則樹，然后利用lihpcap對(duì)采集來的數(shù)據(jù)進(jìn)行模式匹配，若匹配成功，則認(rèn)為是有入侵行為發(fā)生，進(jìn)入報(bào)警理

4、模塊。所以Snort規(guī)則是它的核心，必須擁有一個(gè)強(qiáng)大的入侵特征數(shù)據(jù)庫，才能準(zhǔn)確、高效地捕捉入侵行為。Snort規(guī)則被寫成“規(guī)則頭(選項(xiàng))”的形式。規(guī)則頭包含規(guī)則動(dòng)作、協(xié)議、源和目標(biāo)II，地址與網(wǎng)絡(luò)掩碼、源和目標(biāo)端口信息和、方向操作符；規(guī)則選項(xiàng)部分包含報(bào)警消息內(nèi)容和要檢查的包的具體部分。規(guī)則選項(xiàng)中可能有一個(gè)或多個(gè)選項(xiàng)，不同選項(xiàng)之間使用“；”分隔開了，它們之間為“與”的關(guān)系。選項(xiàng)由關(guān)鍵字和參數(shù)組成，每個(gè)關(guān)鍵字和它的參數(shù)問使用冒號(hào)“：”分隔。一條規(guī)則可書寫為：alert tcp“EXTERNALNET any 一>”HOME NETl(msg：“F SITE CPWD overflOW att

5、empt”：flow：estab-lished，to server；content“SITE ”；nocase；content“CP-這條規(guī)則的動(dòng)作選項(xiàng)是發(fā)出alert，協(xié)議類型是tcp，源IP地址是“EXTERNAL。NET，指任意外網(wǎng)地址，源端口為任意端口(any)，目的IP地址是”HOMENET，指任意內(nèi)網(wǎng)地址目的端口是21號(hào)端口，網(wǎng)絡(luò)流量的方向是一> ，指需要從外網(wǎng)到內(nèi)網(wǎng)的網(wǎng)絡(luò)流量中匹配該特征。Snort將檢測(cè)規(guī)則利用鏈表的形式進(jìn)行組織，建立鏈表時(shí)，首先按規(guī)則類型分類，分成了五個(gè)單獨(dú)的規(guī)則鏈；然后針對(duì)這五個(gè)規(guī)則鏈的每一個(gè)按協(xié)議類型分成相應(yīng)的節(jié)點(diǎn)鏈表；在節(jié)點(diǎn)鏈表之下又分為若干規(guī)則樹

6、節(jié)點(diǎn)(Rule TreeNode RTN)；每個(gè)規(guī)則樹節(jié)點(diǎn)下又有若干規(guī)則選項(xiàng)，稱為選項(xiàng)樹節(jié)點(diǎn)(OpfionTree Node OTN)。每一個(gè)RTN對(duì)應(yīng)于規(guī)則頭，其中包含協(xié)議類型、源和目的地址、源和目的端口號(hào)等；每一個(gè)OTN對(duì)應(yīng)于規(guī)則選項(xiàng)結(jié)點(diǎn)，其中包含報(bào)警信息(msg)、匹配內(nèi)容(content)，TCP標(biāo)志位(flags)等選項(xiàng)。當(dāng)數(shù)據(jù)包到達(dá)檢測(cè)引擎時(shí)，Snort將首先匹配規(guī)則鏈，然后根據(jù)數(shù)據(jù)包協(xié)議匹配相應(yīng)的節(jié)點(diǎn)鏈表，于是從左至右遍歷RTN，參看源、目的IP及端口號(hào)是否匹配，找到一個(gè)匹配后，算法向下進(jìn)行，再進(jìn)入OTN中尋找匹配，每個(gè)OTN結(jié)點(diǎn)包含一條規(guī)則所對(duì)應(yīng)的全部選項(xiàng)，當(dāng)數(shù)據(jù)包與所有函數(shù)都

7、匹配成功時(shí)，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包，進(jìn)入告警模塊。22 Snort規(guī)則的制定在設(shè)計(jì)檢測(cè)方案時(shí)，既要考慮快速地結(jié)束一個(gè)無效的檢測(cè)過程，也應(yīng)該盡量減少檢測(cè)的范圍。如何從眾多的參數(shù)中選出最適合的、最容易達(dá)到匹配目的的參數(shù)先進(jìn)行匹配?以TCP報(bào)文來說，獨(dú)特的屬性就是源端口和目的端口。端口可以分為兩種，保留端口和非保留端口。對(duì)于一般的連接來說，通常在服務(wù)器端采用保留端口，在客戶端采用非保留端口，所以可以利用保留端口作為獨(dú)特的參數(shù)。Snort可以觀察保留端口的位置，如果保留端口在源端口，通常情況下就意味著這是從服務(wù)器端發(fā)出的網(wǎng)絡(luò)流量，反之，如果在目的端口，就是從客戶端發(fā)出的流量。比如當(dāng)Snort觀察到

8、一個(gè)HTYP請(qǐng)求報(bào)文，先檢查它的源端日和目的端口，看是否能找到一個(gè)參數(shù)來組成獨(dú)特的集合。一般來說，HTrP請(qǐng)求報(bào)文的源端口是超過1024的非保留端口，而它的目的端口是80或者其他已知的HTrP服務(wù)端口，此時(shí)就可以從特征庫中選出目的端口是80，源端口任意的特征組成一個(gè)集合，再進(jìn)行接下來的匹配工作。Netbus是一個(gè)流行的用于遠(yuǎn)端控制的黑客軟件。Netbus通過TCPIP協(xié)議，可以遠(yuǎn)程將應(yīng)用程序指派到某一套接字端口來運(yùn)行，Netbus的執(zhí)行行為具有典型性，它發(fā)出的l12信息包具有多種可分辨的特性。下面就分析IDS是如何針對(duì)它制定規(guī)則的。1      

9、;   1netbus木馬的客戶端有兩種，開放的都是12345或12346端口，如果僅僅連接其中任一端口，如TCP 12345就觸發(fā)事件，那么就定義規(guī)則為：alert tcp $ EXTE RNAL_NET any 一> $ HOME NET12345(msg：“BACKDOOR netbus backdoor”；flow：toserver，established；)該規(guī)則僅僅指定目的端口為TCP 12345的即為netbus后門，這樣即便是其它鏈接，如Telnet HOST 12345也會(huì)觸發(fā)該事件，容易產(chǎn)生誤報(bào)。2如果對(duì)TCP 12345端口發(fā)送“Get

10、lnfo0dI”，觸發(fā)事件那么就定義規(guī)則為：alert tcp $ EXTE RNALNET an y 一> $ HOME NE2345(msg：“BACKDOOR netbus getinfo”；flow：toserver，established；content：“Getlnfo10dI”；)該規(guī)則相對(duì)第一種來說好些，它同時(shí)對(duì)端口和字符特征進(jìn)行匹配，但是也存在很大的局限，因?yàn)槿绻诳蛯⒛抉R的通訊端口改為TCP 2345，而不是用默認(rèn)的TCP 12345，那么該規(guī)則也就失效了。3如果對(duì)非TCP12345端口的其他端口發(fā)送“GInfo10dI”就可以觸發(fā)事件，那么定義規(guī)則為：alert t

11、cp $ EXTE RNAL NET any 一> $ HOME NETny(msg：“BACKDOOR netbus getinfo”；flow：toserver，e8-tablished；content：“Getlnfo10dI”；)該規(guī)則只要對(duì)非TCP 12345端口的其他端口發(fā)送包含“Getlnfo10dI”就可以觸發(fā)該事件。由于端口并不是肯定的共性，因此這種定義方式也容易產(chǎn)生誤報(bào)。從以上規(guī)則的定義，可以看出多數(shù)TCP規(guī)則定義的特點(diǎn)是以端口為特征、以標(biāo)志位或者協(xié)議的字段為特征、以某個(gè)數(shù)據(jù)段為字符串特征。在定義規(guī)則時(shí)，抓住這些特征或特征的組合，可以有效提高IDS的工作效率。3結(jié)語準(zhǔn)確、快速是NDIS的兩個(gè)重要指標(biāo)。由于規(guī)則是根據(jù)若干屬性分類組織成為規(guī)則集，當(dāng)一個(gè)數(shù)據(jù)包被檢測(cè)時(shí)，Snort檢測(cè)每個(gè)規(guī)則集的預(yù)設(shè)參數(shù)，當(dāng)該規(guī)則集中的所有規(guī)則被檢測(cè)完后，接著搜索下一規(guī)則集中的參數(shù)，檢測(cè)過程重新開始。每一個(gè)數(shù)據(jù)包又必須經(jīng)過從頭到尾的匹配過程。這對(duì)于規(guī)則集中有很多條規(guī)則時(shí)，這樣的檢測(cè)方法就難以符合快速的要求。所以要實(shí)現(xiàn)這兩個(gè)指標(biāo)，對(duì)規(guī)則集改進(jìn)將是大有可為的。 ：1 SnortEBOLhttp：wwwsnortorg2 魏宇欣，武穆清智能網(wǎng)格入侵檢測(cè)系統(tǒng)