《網(wǎng)絡(luò)安全技術(shù)》課件第7章

第7章入侵檢測技術(shù)7.1入侵檢測技術(shù)概述7.2入侵檢測系統(tǒng)分類7.3入侵檢測產(chǎn)品和選購7.4入侵檢測系統(tǒng)實例——Snort系統(tǒng)習(xí)題攻擊技術(shù)的發(fā)展和傳播，同時也促進了防御技術(shù)的提高。傳統(tǒng)的安全保護主要從被動防御的角度出發(fā)，增加攻擊者對網(wǎng)絡(luò)系統(tǒng)破壞的難度。事實證明，這種被動的防護(Prevention)僅僅是安全的一個組成部分，行之有效的安全還應(yīng)該包括實時的檢測(Detection)和響應(yīng)(Response)，并且這些過程應(yīng)該圍繞著統(tǒng)一的策略(Policy)來進行。圖7.1是著名的P2DR動態(tài)安全模型的示意圖。圖7.1P2DR動態(tài)安全模型在P2DR模型中，安全策略處于中心地位，即在整體安全策略的控制和指導(dǎo)下，綜合運用防護工具(Protection，如防火墻、身份認(rèn)證系統(tǒng)、加密設(shè)備等)，同時，利用檢測工具如漏洞評估、入侵檢測系統(tǒng))了解和判斷系統(tǒng)的安全狀態(tài)，當(dāng)發(fā)現(xiàn)入侵行為后，通過適當(dāng)?shù)捻憫?yīng)措施改善系統(tǒng)的防護能力，從而實現(xiàn)基于時間的動態(tài)系統(tǒng)安全，將系統(tǒng)調(diào)整到最安全和風(fēng)險最低的狀態(tài)。防護、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，是一個螺旋式提升安全的立體框架。顯而易見，入侵檢測是P2DR模型中承前啟后的關(guān)鍵環(huán)節(jié)。

7.1入侵檢測技術(shù)概述

關(guān)于入侵檢測技術(shù)的幾個基本概念如下：

入侵(Intrusion)：是指試圖破壞計算機上任何資源完整性、保密性或可用性行為的一系列行為。

入侵檢測(IntrusionDetection，ID)：包括對外部入侵(非授權(quán)使用)行為的檢測和內(nèi)部用戶(合法用戶)濫用自身權(quán)限的檢測兩個方面，即“識別出那些未經(jīng)授權(quán)而使用計算機系統(tǒng)以及那些具有合法訪問權(quán)限，但是濫用這種權(quán)限的人”，或者“識別出未經(jīng)授權(quán)而使用計算機系統(tǒng)的企圖或濫用已有權(quán)限的企圖”。

入侵檢測系統(tǒng)(IntrusionDetectionSystem，IDS)：指能完成入侵檢測任務(wù)的計算機系統(tǒng)，通常由軟、硬件結(jié)合組成。

1.入侵檢測系統(tǒng)功能

入侵檢測系統(tǒng)的目的是檢測網(wǎng)絡(luò)上所有成功和未成功的攻擊行為，其主要功能有：

監(jiān)測并分析用戶和系統(tǒng)的活動；

核查系統(tǒng)配置和漏洞；

評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

識別已知的攻擊行為；

統(tǒng)計分析異常行為；

操作系統(tǒng)日志管理，并識別違反安全策略的用戶行為。

2.入侵檢測系統(tǒng)原理

入侵檢測系統(tǒng)實時監(jiān)控當(dāng)前系統(tǒng)/用戶行為，提取出特征數(shù)據(jù)，與系統(tǒng)的模式庫進行特征匹配，判斷此行為是否屬于入侵行為。如果是，則記錄相關(guān)證據(jù)，并啟動相應(yīng)處理方案(如通知防火墻斷開連接或發(fā)出警告等)。如果不是，入侵行為則繼續(xù)對行為數(shù)據(jù)提取分析。IDS實現(xiàn)原理如圖7.2所示。圖7.2入侵檢測原理

3.入侵檢測系統(tǒng)模型

入侵檢測所采用的數(shù)學(xué)模型是入侵檢測策略選取和應(yīng)用的根據(jù)與基礎(chǔ)。常用的入侵檢測系統(tǒng)模型有以下幾種：

(1)入侵檢測專家系統(tǒng)(IntrusionDetectionExpertSystem，IDES)：是一個通用抽象模型，把入侵檢測作為全新的安全措施加入到計算機系統(tǒng)安全保障體系中，采用了基于統(tǒng)計分析的異常檢測和基于規(guī)則的誤用檢測技術(shù)。(2)入侵檢測模型(IntrusionDetectionModel，IDM)：是一個層次化的入侵檢測模型，給出了在推斷網(wǎng)絡(luò)中的計算機受攻擊時數(shù)據(jù)的抽象過程，彌補了IDES模型依靠分析主機的審計記錄的局限性。

(3)公共入侵檢測框架(CommonIntrusionDetectionFramework，CIDF)：CIDF是定義了IDS表達檢測信息的標(biāo)準(zhǔn)語言以及IDS組件之間的通信協(xié)議的一套規(guī)范，符合CIDF規(guī)范的IDS可以共享檢測信息，相互通信，協(xié)同工作，還可以與其他系統(tǒng)配合實施統(tǒng)一的配置響應(yīng)和恢復(fù)策略。CIDF在系統(tǒng)擴展性和規(guī)范性上具有顯著優(yōu)勢，最早體現(xiàn)了分布式入侵檢測

的思路。(4)基于Agent的入侵檢測：Agent是一種在特定軟、硬件環(huán)境下封裝的計算單元，可以自動運行在主機上，對網(wǎng)絡(luò)中的數(shù)據(jù)進行收集?；贏gent的入侵檢測是一個在主機上執(zhí)行某項特定安全監(jiān)控功能的軟件，通過對Agent提供的數(shù)據(jù)進行分析來判斷是否有入侵行為發(fā)生。基于Agent的入侵檢測系統(tǒng)不僅能夠?qū)崿F(xiàn)分布式入侵檢測，同時還具有智能化的特點，適用于檢測不斷出現(xiàn)的新的入侵方式。

4.入侵檢測系統(tǒng)功能結(jié)構(gòu)

應(yīng)用于不同的網(wǎng)絡(luò)環(huán)境和不同的系統(tǒng)安全策略，入侵檢測系統(tǒng)在具體實現(xiàn)上也有所不同。從功能結(jié)構(gòu)上看，入侵檢測系統(tǒng)主要有數(shù)據(jù)源、分析引擎和響應(yīng)三個功能模塊，三者相輔相成，如圖7.3所示。圖7.3入侵檢測系統(tǒng)功能結(jié)構(gòu)

(1)數(shù)據(jù)源模塊，在入侵檢測系統(tǒng)中居于基礎(chǔ)地位，負責(zé)提取用于系統(tǒng)監(jiān)視的審計記錄流，并完成數(shù)據(jù)的過濾及預(yù)處理工作，為分析引擎模塊提供原始的安全審計數(shù)據(jù)，是入侵檢測系統(tǒng)的數(shù)據(jù)采集器。對于數(shù)據(jù)源模塊來說，最關(guān)鍵的是要保證高速和低丟包率，這不僅僅取決于硬件的處理能力，還同軟件的效率有關(guān)。

(2)分析引擎模塊，是入侵檢測系統(tǒng)的核心，負責(zé)分析監(jiān)測數(shù)據(jù)并生成報警信息，包括對原始數(shù)據(jù)的同步、整理、組織、分類、特征提取以及各種類型的細致分析，提取其中所包含的系統(tǒng)活動特征或模式，用于正常和異常行為的判斷。這種行為的鑒別可以實時進行，也可以事后分析。顯然，準(zhǔn)確性和快速性是衡量檢測引擎性能的重要指標(biāo)。

(3)響應(yīng)模塊，其目的在于當(dāng)發(fā)現(xiàn)了入侵行為或入侵結(jié)果后，需要系統(tǒng)做出及時的反應(yīng)，并根據(jù)預(yù)定的策略，采取有效措施阻止入侵的延續(xù)，從而盡最大可能消除或減小潛在的損失。從策略的角度來看，響應(yīng)方式可分為主動響應(yīng)和被動響應(yīng)。一般情況下，主動響應(yīng)的代價比被動響應(yīng)的代價要高。

7.2入侵檢測系統(tǒng)分類

從不同的角度，入侵檢測系統(tǒng)可以分為不同的種類。本文主要從數(shù)據(jù)源、檢測方法兩個方面來描述入侵檢測系統(tǒng)的類型。

1.基于數(shù)據(jù)源分類

入侵檢測系統(tǒng)首先需要解決的問題是數(shù)據(jù)源，或者說是審計事件發(fā)生器。按照數(shù)據(jù)源所處的位置，入侵檢測系統(tǒng)可分為主機入侵檢測系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)。

(1)主機入侵檢測系統(tǒng)(Host-basedIDS,HIDS)。系統(tǒng)通常部署在權(quán)限被授予和跟蹤的主機上，依據(jù)一定的算法對主機的網(wǎng)絡(luò)實時連接及日志文件中的審計數(shù)據(jù)(包括可查事件和可查信息，如多次登錄失敗的記錄等)進行分析，得出非法用戶的登錄企圖、冒充合法用戶等入侵行為，從而采取相應(yīng)措施保護主機安全。(2)網(wǎng)絡(luò)入侵檢測系統(tǒng)(Network-basedIDS,NIDS)。網(wǎng)絡(luò)入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式(PromiscMode)，通過監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊。這種機制為進行網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)視和入侵檢測提供了必要的數(shù)據(jù)來源。該系統(tǒng)目前應(yīng)用比較廣泛，如ISS公司的RealSecure等。

(3)混合入侵檢測系統(tǒng)(HybridIDS)。混合入侵檢測系統(tǒng)結(jié)合了HIDS和NIDS，兩種技術(shù)優(yōu)勢互補，這樣既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。但這種方案覆蓋面較大，需要考慮到由此引起的巨大數(shù)據(jù)量和費用。

2.基于檢測方法分類

從具體的檢測方法上，可以將入侵檢測系統(tǒng)分為異常檢測和誤用檢測兩種類型。

(1)異常檢測系統(tǒng)(AnomalyDetectionSystem)。異常檢測是根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否有入侵發(fā)生。異常檢測的關(guān)鍵問題在于正常模式的建立，以及如何利用該模式對當(dāng)前的系統(tǒng)/用戶行為進行比較，從而判斷出與正常模式的偏離程度。模式(Profiles)通常使用一組系統(tǒng)的度量(Metrics)來定義。每個度量都對應(yīng)于一個門限值(Threshold)或相關(guān)的變動范圍。異常檢測與系統(tǒng)相對無關(guān)，通用性較強，甚至能檢測出未知的攻擊方法。其主要缺陷在于誤檢率較高；另外，入侵者的惡意訓(xùn)練是目前異常檢測所面臨的一大困難。同時門限值如果選擇得不恰當(dāng)，就會導(dǎo)致系統(tǒng)出現(xiàn)大量的錯誤報警，包括漏報(FalseNegatives)和誤報(FalsePositives)。(2)誤用檢測系統(tǒng)(MisuseDetectionSystem)。誤用檢測有時也被稱為特征分析或基于知識的檢測。根據(jù)已定義好的入侵模式，通過判斷在實際的安全審計數(shù)據(jù)中是否出現(xiàn)這些入侵模式來完成檢測功能。這種檢測準(zhǔn)確度較高，檢測結(jié)果有明確的參照，為響應(yīng)提供了方便。主要缺陷在于無法檢測未知的攻擊類型，漏報率較高。

誤用檢測和異常檢測各有優(yōu)劣。在很多實際的檢測系統(tǒng)中，考慮到兩者的互補性，往往結(jié)合使用，即同時包含了誤用檢測和異常檢測兩種部件，將誤用檢測用于網(wǎng)絡(luò)數(shù)據(jù)包的監(jiān)測，將異常檢測用于系統(tǒng)日志的分析。

7.3入侵檢測產(chǎn)品和選購

選購入侵檢測產(chǎn)品必須根據(jù)網(wǎng)絡(luò)的實際需求以及產(chǎn)品的性能進行綜合考慮。

1.入侵檢測系統(tǒng)產(chǎn)品

常用的入侵檢測系統(tǒng)除了國外的Cisco、ISS、Axent、CA、NFR等公司外，國內(nèi)也有如中聯(lián)綠盟、中科網(wǎng)威、啟明星辰等數(shù)家公司推出了自己相應(yīng)的產(chǎn)品。(1)

Cisco公司的NetRanger。NetRanger產(chǎn)品分為監(jiān)測網(wǎng)絡(luò)包和告警傳感器以及接收并分析告警和啟動對策的控制器兩部分，另外，至少還需要一臺運行Sun的Solaris傳感器程序的PC以及一臺運行控制器程序的配備了OpenView或NetView網(wǎng)管系統(tǒng)的SunSparcStation。NetRanger的優(yōu)點是性能高，易于裁剪，能夠監(jiān)測多個數(shù)據(jù)包上下文的聯(lián)系，適合用于大型網(wǎng)絡(luò)監(jiān)控。NetRanger的缺點是由于被設(shè)計集成在OpenView或NetView下，在網(wǎng)絡(luò)運行中心(NOC)使用，其配置需要對Unix有詳細的了解，對硬件軟件均要求高且價格昂貴，因此不適合一般的局域網(wǎng)。(2)

InternetSecuritySystem公司的RealSecure。RealSecure的結(jié)構(gòu)也分成引擎和控制臺兩部分，其中引擎部分負責(zé)監(jiān)測信息包并生成告警，控制臺接收報警并作為配置及產(chǎn)生數(shù)據(jù)庫報告的中心點，兩部分都可以在NT、Solaris、SunOS和Linux上運行，并可以在混合的操作系統(tǒng)或匹配的操作系統(tǒng)環(huán)境下使用，也可以將引擎和控制臺放在同一臺機器上運行。RealSecure的優(yōu)勢在于其簡潔性和低價格，可以對CheckPointSoftware的FireWall-1重新進行配置，適用于中小型網(wǎng)絡(luò)。

(3)?AxentTechnologies公司的OmniGuard/IntruderAlert。OmniGuard/IntruderAlert(ITA)在結(jié)構(gòu)上分為審計器、控制臺、代理三部分，代理用來瀏覽系統(tǒng)的日志并將統(tǒng)計結(jié)果送往審計器。系統(tǒng)安全員用控制臺的GUI界面來接收告警、查看歷史記錄以及系統(tǒng)的實時行為。ITA能在Windows、Netware和多種Unix下運行，因此提供了更廣泛的平臺支持。ITA最大的特點是可以對來自主流的操作系統(tǒng)、防火墻廠商、Web服務(wù)器廠商、數(shù)據(jù)庫應(yīng)用以及路由器制造商的一些解決方案進行剪裁以適合多種網(wǎng)絡(luò)的入侵檢測的需求。(4)

NFR公司的IntrusionDetectionAppliance4.0。NFR是提出開放源代碼概念的唯一IDS廠商，通過NFR“研究版”免費發(fā)布了它早期版本的源代碼，提供了一個完整的IDS方案。在IDA4.0中，程序采用了一個基于Windows32的GUI管理工具來配置和監(jiān)視部署的NFR傳感器，操作較以往簡單。另外，除了入侵檢測外，NFR還允許用戶收集通過網(wǎng)絡(luò)的Telnet、FTP和Web數(shù)據(jù)，對于那些想擁有這類集中化信息(尤其是當(dāng)跨越多個平臺時)的用戶來講卻是非常有用的，因此NFR是一個非常有用的網(wǎng)絡(luò)監(jiān)視和報告工具。(5)

ComputerAssociates公司的SessionWall-3/eTrustIntrusionDetection。SessionWall-3/eTrustIntrusionDetection運行在Windows系統(tǒng)主機上，不需要對網(wǎng)絡(luò)和地址做任何的變動，也不會給獨立于平臺的網(wǎng)絡(luò)帶來任何傳輸延遲，可以完全自動地識別網(wǎng)絡(luò)使用模式與特殊網(wǎng)絡(luò)應(yīng)用，并能夠識別基于網(wǎng)絡(luò)的各種入侵、攻擊和濫用活動。另外，SessionWall-

3/eTrustIntrusionDetection還可以將網(wǎng)絡(luò)上發(fā)生的各種有關(guān)生產(chǎn)應(yīng)用、網(wǎng)絡(luò)安全和公司策略方面的眾多疑點提取出來，用會話視窗對網(wǎng)絡(luò)入侵進行監(jiān)視和審計，并可以為電子通信的濫用現(xiàn)象提供充分的證據(jù)。SessionWall-3/eTrustIntrusionDetection代表了最新一代Internet和Intranet網(wǎng)絡(luò)保護產(chǎn)品，它具備前所未有的訪問控制水平、用戶的透明度，性能的靈活性、適應(yīng)性和易用性，可以滿足各種網(wǎng)絡(luò)保護需求，它的主要應(yīng)用對象包括審計人員、安全咨詢?nèi)藛T、執(zhí)法監(jiān)督機構(gòu)、金融機構(gòu)、中小型商務(wù)機構(gòu)、大型企業(yè)、ISP、教育機構(gòu)和政府機構(gòu)等。(6)中科網(wǎng)威的“天眼”入侵檢測系統(tǒng)。中科網(wǎng)威信息技術(shù)有限公司的“天眼”入侵檢測系統(tǒng)、“火眼”網(wǎng)絡(luò)安全漏洞檢測系統(tǒng)是國內(nèi)少有的幾個入侵檢測系統(tǒng)之一。它根據(jù)系統(tǒng)的安全策略作出反映，實現(xiàn)了對非法入侵的定時報警、事件記錄，方便取證以及自動阻斷通信連接，重置路由器、防火墻，及時發(fā)現(xiàn)問題并提出解決方案等功能。它可列出可參考的全熱鏈接網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用及可能被黑客利用的薄弱環(huán)節(jié)，防范黑客攻擊。(7)啟明星辰的SkyBell(天闐)。啟明星辰公司的黑客入侵檢測與預(yù)警系統(tǒng)主要由探測器和控制器兩部分組成，探測器能夠監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，根據(jù)用戶定義的條件進行檢測，識別出網(wǎng)絡(luò)中正在進行的攻擊。實時檢測到入侵信息并向控制器管理控制臺發(fā)出告警，由控制臺給出定位顯示，從而將入侵者從網(wǎng)絡(luò)中清除出去。探測器能夠監(jiān)測所有類型的TCP/IP網(wǎng)絡(luò)，集成了網(wǎng)絡(luò)監(jiān)聽監(jiān)控、實時協(xié)議分析、入侵行為分析及詳細日志審計跟蹤等功能，對黑客入侵能進行全方位的檢測，準(zhǔn)確地判斷黑客攻擊方式，及時地進行報警或阻斷等其它措施。SkyBell(天闐)可以在Internet和Intranet兩種環(huán)境中運行，強大的檢測功能，為用戶提供了最為全面、有效的入侵檢測能力，從而保護了企業(yè)整個網(wǎng)絡(luò)的安全。

2.產(chǎn)品選購原則

選購入侵檢測系統(tǒng)可從以下幾個方面考慮。

1)入侵檢測系統(tǒng)的價格

入侵檢測系統(tǒng)本身的價格是必須考慮的要點，不過，性能價格比以及要保護的系統(tǒng)的價值是更重要的因素。像反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法，而特征庫升級與維護是需要額外費用的。2)部署入侵檢測系統(tǒng)的環(huán)境

在選購入侵檢測系統(tǒng)之前，首先要分析產(chǎn)品所部署的網(wǎng)絡(luò)環(huán)境，如果在512K或2M專線上部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，則只需要100M的入侵檢測引擎；而在負荷較高的環(huán)境中，則需要采用1000M的入侵檢測引擎。

3)入侵檢測系統(tǒng)的實際性能

產(chǎn)品的實際檢測性能是否穩(wěn)定，對于一些常見的針對入侵檢測系統(tǒng)的攻擊手法(如分片、TTL欺騙、異常TCP分段、慢掃描和協(xié)同攻擊)是否能準(zhǔn)確地識別。4)產(chǎn)品的可伸縮性

入侵檢測系統(tǒng)所支持的傳感器數(shù)目、數(shù)據(jù)庫大小及傳感器與控制臺之間通信帶寬是否可以升級。

5)產(chǎn)品的入侵響應(yīng)方式

產(chǎn)品的入侵響應(yīng)方式要從本地、遠程等多個角度考慮，通常的一些響應(yīng)方式有：短信、手機、傳真、郵件、警報、SNMP等。6)是否通過了國家權(quán)威機構(gòu)的測評

考查產(chǎn)品是否獲得了《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》、《國家信息安全產(chǎn)品測評認(rèn)證證書》、《軍用信息安全產(chǎn)品認(rèn)證證書》和《涉密網(wǎng)絡(luò)安全產(chǎn)品科技成果鑒定》等要件。

7.4入侵檢測系統(tǒng)實例——Snort系統(tǒng)

Snort是一個用C語言編寫的、免費的、開放源代碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，最初只是一個簡單的網(wǎng)絡(luò)管理工具，現(xiàn)已發(fā)展成為一個遍布全球、使用最廣泛的網(wǎng)絡(luò)入侵檢測系統(tǒng)，具有很好的擴展性和可移植性。在各種現(xiàn)實環(huán)境中，Snort都是一種入侵檢測的實用解決方案，被譽為安全從業(yè)者的瑞士軍刀。作為一個輕量級的入侵檢測系統(tǒng)，無論從技術(shù)分析角度，還是從學(xué)習(xí)軟件開發(fā)技術(shù)來看，Snort都是一個非常好的學(xué)習(xí)范本。7.4.1Snort系統(tǒng)概述

1.

Snort的用途

Snort主要有三個用途：數(shù)據(jù)包嗅探、數(shù)據(jù)包記錄、網(wǎng)絡(luò)入侵檢測。這些功能是互相關(guān)聯(lián)的。然而，數(shù)據(jù)包嗅探和數(shù)據(jù)包記錄的功能基本上一樣，它們使用同樣的代碼，二者之間的區(qū)別在于數(shù)據(jù)包記錄的功能是把數(shù)據(jù)包以文件的形式保存，反之，Snort也可以讀取保存的數(shù)據(jù)包文件。

2.

Snort系統(tǒng)的特點

Snort是一個跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)。這里“輕量級”意思是占用的資源非常少，能運行在現(xiàn)有的商用硬件平臺上，支持幾乎所有的操作系統(tǒng)。

從入侵檢測技術(shù)來說，Snort是一種基于特征匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)。它采用基于規(guī)則的網(wǎng)絡(luò)信息搜索機制，對數(shù)據(jù)包進行內(nèi)容的模式匹配，從中發(fā)現(xiàn)入侵。這種基于規(guī)則的檢測機制十分簡單、靈活，檢測效率較高，報警實時。另外，Snort采用靈活的體系結(jié)構(gòu)，大量使用插件機制，將比較關(guān)鍵且可能需要擴充的功能部件(如預(yù)處理器、處理和輸出模塊)設(shè)計成插件，最大限度地減少了因功能增加而對系統(tǒng)的影響。從功能模塊上看，各個功能模塊明晰，相對獨立，設(shè)計合理。從編碼上看，它具有很好的編程風(fēng)格和詳細的注釋，易于理解。

Snort的現(xiàn)實意義在于，作為開放源代碼軟件，其填補了商業(yè)入侵檢測系統(tǒng)的空白，可以幫助中小網(wǎng)絡(luò)的系統(tǒng)管理員有效地監(jiān)視網(wǎng)絡(luò)流量和檢測入侵行為。7.4.2Snort體系結(jié)構(gòu)

Snort的體系結(jié)構(gòu)主要由嗅探器、解碼器、預(yù)處理器、檢測引擎和輸出插件五個基本功能模塊組成，如圖7.4所示。

IDScenter是一個基于Windows的Snort安裝程序，解決了原來Snort只能以命令行執(zhí)行的方式。該程序采用可配置的圖形管理界面，使Snort的易用性大大增強。以下結(jié)合IDSCenter使用界面對Snort的嗅探器、解碼器、預(yù)處理器、檢測引擎和輸出插件五個基本功能模塊分別進行介紹。圖7.4Snort體系結(jié)構(gòu)

1.嗅探器

Snort的最基本功能之一是嗅探器，主要捕獲互聯(lián)網(wǎng)上的IP數(shù)據(jù)包，主要有兩種實現(xiàn)方式：

1)將網(wǎng)卡設(shè)置為混雜模式

與網(wǎng)絡(luò)監(jiān)聽技術(shù)類似，Snort可以通過將網(wǎng)卡設(shè)置為混雜模式來監(jiān)聽連接在網(wǎng)絡(luò)中的所有流量。例如，將SnortIDS的一塊網(wǎng)卡設(shè)置為工作在混雜模式，此時從主機A傳到Windows2000服務(wù)器上或者主機B的數(shù)據(jù)包將被SnortIDS監(jiān)聽、捕獲到，如圖7.5所示。圖7.5Snort數(shù)據(jù)包嗅探功能網(wǎng)絡(luò)結(jié)構(gòu)2)利用Libpcap接口直接從網(wǎng)卡捕獲網(wǎng)絡(luò)數(shù)據(jù)包

Libpcap是一個外部的捕包程序庫，可以運行在任何一種硬件和操作系統(tǒng)的組合中，所以被Snort用作捕獲數(shù)據(jù)包的基本工具——利用Libpcap獨立地從物理鏈路上捕獲原始數(shù)據(jù)包。Snort實現(xiàn)數(shù)據(jù)包嗅探功能的命令如下：

Snort–d–v–e

-v：Snort進入數(shù)據(jù)包的嗅探模式(只對TCP頭有效)。

-d：嗅探所有類型的數(shù)據(jù)包(TCP、UDP、ICMP)。

-e：嗅探數(shù)據(jù)包的鏈路層包頭。

在DOS界面下鍵入此命令行，屏幕上不斷顯示嗅探到的數(shù)據(jù)包，顯示滿一頁后就不斷滾屏，使用Ctrl-C鍵可以退出程序。然后屏幕上會顯示出Snort嗅探到數(shù)據(jù)包的統(tǒng)計數(shù)據(jù)，有數(shù)據(jù)包的類型、鏈路層信息、分片數(shù)據(jù)包的信息等。如圖7.6所示。圖7.6Snort數(shù)據(jù)包嗅探統(tǒng)計

2.解碼器

解碼器是Snort第一個對數(shù)據(jù)包進行處理的內(nèi)部組件。數(shù)據(jù)包一旦被捕獲后，Snort要對數(shù)據(jù)鏈路層原始數(shù)據(jù)包的每一個具體協(xié)議(TCP、UDP、以太網(wǎng)、令牌環(huán)等)元素逐一進行解碼分析，并將解碼后的數(shù)據(jù)按一定的格式存入專門數(shù)據(jù)結(jié)構(gòu)中，然后再將其送到預(yù)處理器進行分析。

3.預(yù)處理器

預(yù)處理器調(diào)用相應(yīng)的插件數(shù)據(jù)進行預(yù)處理，通過分析，從中發(fā)現(xiàn)這些數(shù)據(jù)包的“行為”——數(shù)據(jù)包的應(yīng)用層表現(xiàn)是什么，以便檢測引擎模塊對數(shù)據(jù)包的匹配操作。

預(yù)處理器模塊主要有數(shù)據(jù)包分片重組與數(shù)據(jù)流重組、協(xié)議解碼規(guī)范化、異常檢測三種功能。1)數(shù)據(jù)包分片重組與數(shù)據(jù)流重組

基于特征的檢測只對單個數(shù)據(jù)包內(nèi)容和定義好的良好模式進行匹配。如果一個攻擊者有意將一個數(shù)據(jù)包分解成多個分片傳輸，顯然每個單獨的分片都將不會匹配IDS中的特征，即一般基于特征檢測IDS不能對跨包的數(shù)據(jù)進行檢測。對此，Snort采用了Frag2預(yù)處理器和Stream4插件分別進行數(shù)據(jù)分片和數(shù)據(jù)流的重組，來檢測匹配數(shù)據(jù)分布在多個數(shù)據(jù)包中的攻擊。2)協(xié)議解碼規(guī)范化

Snort是基于規(guī)則的模式匹配，然而這種機制難以處理具有多種數(shù)據(jù)表達形式的協(xié)議，因此需要用預(yù)處理器將所有的數(shù)據(jù)轉(zhuǎn)為統(tǒng)一格式。同時，還對數(shù)據(jù)流進行標(biāo)準(zhǔn)化處理，將二進制協(xié)議轉(zhuǎn)換為文本或其他的表達形式，以便檢測引擎能夠準(zhǔn)確地匹配特征，避免攻擊躲避檢測。3)異常檢測

一些攻擊通過規(guī)則匹配或數(shù)據(jù)流重組的方法不能被檢測出來。這時Snort需要引入異常檢測的預(yù)處理器插件，通過統(tǒng)計和學(xué)習(xí)正常的網(wǎng)絡(luò)流量之后，再對不正常的行為進行報警。

常用的預(yù)處理器插件如圖7.7所示。圖7.7Snort預(yù)處理器模塊

4.檢測引擎

檢測引擎是Snort系統(tǒng)的核心模塊，它有兩個主要功能：規(guī)則分析和特征檢測。當(dāng)數(shù)據(jù)包從預(yù)處理器發(fā)送過來后，檢測引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中內(nèi)容和某條規(guī)則相匹配，就通知報警模塊。Snort規(guī)則表如圖7.8所示。圖7.8Snort規(guī)則表Snort的每條規(guī)則定義了一個特征和相應(yīng)的事件日志描述。規(guī)則按功能分為兩個邏輯部分：規(guī)則頭(RuleHeader)和規(guī)則選項(RuleOptions)。規(guī)則頭包含了規(guī)則動作類型(記錄或報警)、數(shù)據(jù)包的協(xié)議類型(IP、TCP、UDP、ICMP等)、IP源地址和目的地址、子網(wǎng)掩碼、源端口與目的端口值以及數(shù)據(jù)流向等信息；而規(guī)則選項則包含警報信息以及用于是否觸發(fā)響應(yīng)規(guī)則動作而必須要檢查的數(shù)據(jù)包區(qū)域位置的相關(guān)信息。Snort規(guī)則信息如圖7.9所示。圖7.9Snort規(guī)則信息與防火墻規(guī)則檢測類似，Snort在進行規(guī)則檢測時，先根據(jù)數(shù)據(jù)包的IP地址和端口號，在規(guī)則頭鏈表中找到相對應(yīng)的規(guī)則頭，找到后再接著匹配此規(guī)則頭附帶的規(guī)則鏈表。如果發(fā)現(xiàn)存在一條規(guī)則匹配某一數(shù)據(jù)包，就表示檢測到一個攻擊，然后按照規(guī)則指定的行為動作處理(如發(fā)送警告等)；如果搜索完所有的規(guī)則都沒有找到匹配的規(guī)則，就表示該數(shù)據(jù)包是正常的。

5.輸出插件

Snort從檢測引擎獲得的數(shù)據(jù)必須進行有意義的記錄和顯示，并通過輸出插件輸出結(jié)果，提供給用戶，并對入侵?jǐn)?shù)據(jù)進行管理。

Snort能夠把捕獲的數(shù)據(jù)信息顯示在屏幕上，還能把它們按IP地址的不同生成不同的文件夾中的文件并保存在某個目錄下。例如想記錄主機0/24的數(shù)據(jù)，并把捕獲的數(shù)據(jù)文件保存到Snort/log目錄下，使用命令“Snort-dev-l/snort/log-h0/24”，則生成如圖7.10所示文件。圖7.10Snort數(shù)據(jù)包記錄功能輸出插件可以采用多種方式配置以支持實時報警。這些插件允許把報警和日志以更加靈活的格式和表現(xiàn)形式呈現(xiàn)給管理員。插件定義了數(shù)據(jù)存儲的方式、格式以及數(shù)據(jù)傳輸方式。插件具有開放的API，這樣便于結(jié)合實際環(huán)境定制插件以滿足相應(yīng)的需求。如圖7.11所示。圖7.11Snort輸出插件7.4.3Windows平臺下Snort的應(yīng)用

【實驗背景】

Snort是一種跨平臺、輕量級、基于特征匹配的網(wǎng)絡(luò)入侵檢測系統(tǒng)。系統(tǒng)采用靈活的體系結(jié)構(gòu)，大量使用插件機制，具有很好的擴展性和可移植性。本試驗要實現(xiàn)采用流光軟件對目標(biāo)主機進行掃描；用Winpcap軟件捕獲數(shù)據(jù)包；用Snort進行分析，并介紹Windows平臺下的Snort應(yīng)用軟件IDSCenter。主要下載站點有/、/、/?！緦嶒?zāi)康摹?/p>

掌握用Snort作為基于主機的入侵檢測系統(tǒng)(HIDS)的使用。

【實驗條件】

(1)

Winpcap2.3，Snort2.0，IDScenter1.1，RC2，F(xiàn)luxay5；

(2)

HIDS主機A：Windows2000/2003，IP地址0/24；

(3)攻擊主機B：Windows2000/2003，IP地址1/24?！緦嶒炄蝿?wù)】

(1)學(xué)習(xí)使用Snort數(shù)據(jù)包檢測和記錄功能；

(2)通過IDScenter配置功能加強對Snort原理的理解。

【實驗內(nèi)容】

1.安裝數(shù)據(jù)包捕獲軟件

由于Snort本身沒有數(shù)據(jù)包捕獲功能，因此需要用其他軟件來捕獲數(shù)據(jù)包。Winpcap是libpcap抓包庫的Windows版本，它同libpcap具有相同的功能，可以捕獲原始形式的包。在HIDS主機上安裝Winpcap過程如下：

(1)雙擊winpcap-2-3.exe啟動安裝；

(2)屏幕出現(xiàn)歡迎對話框，單擊“Next”按鈕；

(3)下一個對話框提示安裝過程完成，單擊“OK”按鈕完成軟件安裝。

(4)

Winpcap安裝成功，重新啟動計算機。

2.安裝Snort軟件

在HIDS主機上安裝Snort軟件過程如下：

(1)雙擊Snort-2.0.exe，啟動安裝程序；

(2)啟動安裝以后，會看到關(guān)于Snort的一篇文獻，閱讀并單擊“IAgree”按鈕；

(3)出現(xiàn)的是安裝選項對話框，單擊“Next”按鈕；

(4)將選擇安裝部件，選擇完畢后單擊“Next”按鈕；

(5)現(xiàn)在提示安裝位置，使用默認(rèn)的，并單擊“Install”按鈕；

(6)安裝完成，單擊“Close”按鈕。

3.在攻擊主機B上安裝流光5(Fluxay5)掃描軟件，默認(rèn)安裝即可

4.

Snort數(shù)據(jù)包嗅探及包記錄應(yīng)用

(1)用Ping命令測試HIDS主機A與攻擊主機B網(wǎng)絡(luò)連通。

(2)在A機器上單擊“開始”→“運行”，在【運行】窗口中輸入“cmd”打開DOS界面，如果在Snort安裝時選擇的默認(rèn)安裝路徑為C：\，則在DOS界面中打入命令“cdC:\snort\bin”進入snort安裝目錄，然后打入如下命令以數(shù)據(jù)包記錄的形式啟動Snort：

snort-dev-l/snort/log-h0/24。

此命令為記錄子網(wǎng)為0/24的數(shù)據(jù)，并把捕獲的數(shù)據(jù)文件保存到Snort/log目錄下，此時可以