入侵檢測系統(tǒng)

1、入侵檢測系統(tǒng)(ids)是近十多年發(fā)展起來的新一代安全防范技術(shù)，它通過對計算機網(wǎng)絡或系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。這是一種集檢測、記錄、報警、響應的動態(tài)安全技術(shù)，不僅能檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動。ids技術(shù)主要面臨著三大挑戰(zhàn)。一、如何提高入侵檢測系統(tǒng)的檢測速度，以適應網(wǎng)絡通信的要求。網(wǎng)絡安全設(shè)備的處理速度一直是影響網(wǎng)絡性能的一大瓶頸，雖然ids通常以并聯(lián)方式接入網(wǎng)絡的，但如果其檢測速度跟不上網(wǎng)絡數(shù)據(jù)的傳輸速度，那么檢測系統(tǒng)就會漏掉其中的部分數(shù)據(jù)包，從而導致漏報而影響系統(tǒng)的準確性和有效性。在ids中，截獲網(wǎng)絡的

2、每一個數(shù)據(jù)包，并分析、匹配其中是否具有某種攻擊的特征需要花費大量的時間和系統(tǒng)資源，因此大部分現(xiàn)有的ids只有幾十兆的檢測速度，隨著百兆、甚至千兆網(wǎng)絡的大量應用，ids技術(shù)發(fā)展的速度已經(jīng)遠遠落后于網(wǎng)絡速度的發(fā)展。二、如何減少入侵檢測系統(tǒng)的漏報和誤報，提高其安全性和準確度?；谀Ｊ狡ヅ浞治龇椒ǖ膇ds將所有入侵行為和手段及其變種表達為一種模式或特征，檢測主要判別網(wǎng)絡中搜集到的數(shù)據(jù)特征是否在入侵模式庫中出現(xiàn)，因此，面對著每天都有新的攻擊方法產(chǎn)生和新漏洞發(fā)布，攻擊特征庫不能及時更新是造成ids漏報的一大原因。而基于異常發(fā)現(xiàn)的ids通過流量統(tǒng)計分析建立系統(tǒng)正常行為的軌跡，當系統(tǒng)運行時的數(shù)值超過正常閾值，

3、則認為可能受到攻擊，該技術(shù)本身就導致了其漏報誤報率較高。另外，大多ids是基于單包檢查的，協(xié)議分析得不夠，因此無法識別偽裝或變形的網(wǎng)絡攻擊，也造成大量漏報和誤報。三、如何提高入侵檢測系統(tǒng)的互動性能，從而提高整個系統(tǒng)的安全性能。在大型網(wǎng)絡中，網(wǎng)絡的不同部分可能使用了多種入侵檢測系統(tǒng)，甚至還有防火墻、漏洞掃描等其他類別的安全設(shè)備，這些入侵檢測系統(tǒng)之間以及ids和其他安全組件之間如何交換信息，共同協(xié)作來發(fā)現(xiàn)攻擊、作出響應并阻止攻擊是關(guān)系整個系統(tǒng)安全性的重要因素。例如，漏洞掃描程序例行的試探攻擊就不應該觸發(fā)ids的報警；而利用偽造的源地址進行攻擊，就可能聯(lián)動防火墻關(guān)閉服務從而導致拒絕服務，這也是互動系

4、統(tǒng)需要考慮的問題。上海廣電應確信有限公司()作為專業(yè)的網(wǎng)絡安全設(shè)備廠商，在ids技術(shù)上，采用了高速網(wǎng)絡數(shù)據(jù)采集技術(shù)，結(jié)合獨特的硬件和軟件優(yōu)化，提高了檢測分析速度，同時以模式匹配技術(shù)為主，結(jié)合異常發(fā)現(xiàn)技術(shù)，采用基于主機和基于網(wǎng)絡兩種方式兼?zhèn)涞姆植际较到y(tǒng)，并使用先進的“基于上下文分析”技術(shù)，提供了更準確的可互動的入侵檢測。本貼來自天極網(wǎng)群樂社區(qū)-基于改進的bm算法在ids中的實現(xiàn)摘 要入侵檢測技術(shù)是一種主動保護自己免受攻擊的網(wǎng)絡安全技術(shù)，是繼防火墻、數(shù)據(jù)加密等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)，作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力，提高信息安

5、全基礎(chǔ)結(jié)構(gòu)的完整性。本文首先對入侵檢測現(xiàn)狀、入侵檢測系統(tǒng)組成進行了分析和總結(jié)，重點研究了網(wǎng)絡入侵檢測的核心技術(shù)入侵檢測算法。模式匹配算法是基于特征匹配的入侵檢測系統(tǒng)中的核心算法，是當前入侵檢測設(shè)備中普遍應用的算法。模式匹配的效率決定了入侵檢測系統(tǒng)的性能。通過對開放源代碼的snort中模式匹配技術(shù)的改進，提出了一種更快的模式匹配算法，該算法可以加快入侵檢測系統(tǒng)的檢測速度，提高現(xiàn)有入侵檢測系統(tǒng)的檢測能力。關(guān)鍵詞：bm算法；入侵檢測系統(tǒng)；模式匹配；單模式匹配算法implementation of improved bm algorithm in idsabstractintrusion detect

6、ion technology is such a kind of safe technologies that can make one avoid being attacked by network practices voluntarily, a new generation of security technology after the traditional security protective measure, such as fire wall, data encrypted etc. as a rational supplement of fire wall, intrusi

7、on detection technique can help the system to deal with attacks from network and expand security managerial ability of system manager, and raise the integrality of the security infrastructure of the information.first, this dissertation analyses and summarizes the current status of intrusion research

8、, focuses on research and practice on intrusion detection system (ids) algorithm which is technique difficulties in network intrusion detection. pattern matching algorithm is central algorithm in signature based on ids. the effect of these ids is dominated by pattern matching algorithm used. by mean

9、s of improving the pattern matching technique in open source code-snort, an even faster algorithm of pattern matching is presented so that the detection speed of ids can be increased and the detective ability of available ids is proved.key words: bm algorithm; ids; pattern-matching; single pattern-m

10、atching algorithm目 錄1 引言11.1 課題背景11.2 本課題研究的意義22 入侵檢測系統(tǒng)概述22.1 入侵檢測的概念22.2 入侵檢測系統(tǒng)的組成及部署22.2.1 入侵檢測系統(tǒng)的組成22.2.2 入侵檢測系統(tǒng)的部署32.3 網(wǎng)絡入侵檢測系統(tǒng)snort32.3.1 snort系統(tǒng)概述32.3.2 snort系統(tǒng)簡要分析42.3.3 snort系統(tǒng)部分源碼簡介63 bm算法63.1 bm算法63.1.1 bm算法具體介紹63.1.2 bm算法預處理83.1.3 bm算法查找93.2 bm算法字符匹配實例94 bm算法的改進和實現(xiàn)124.1 bm算法的改進思想124.2 改進的

11、bm算法144.3 改進的bm算法與bm算法的性能比較164.3.1 性能實例比較164.3.2 性能測試比較174.4改進的bm算法在snort系統(tǒng)中的實現(xiàn)18結(jié) 論19參考文獻19致 謝20聲 明211 引言1.1 課題背景由于計算機網(wǎng)絡自身存在的局限性和信息系統(tǒng)的脆弱性，使得計算機網(wǎng)絡系統(tǒng)上的硬件資源，通信資源，軟件及信息資源等因為可預見或不可預見的甚至惡意的原因而遭到破壞、更改、泄露或功能失效，使得信息系統(tǒng)處于異常狀態(tài)，甚至引起系統(tǒng)的崩潰癱瘓，造成巨大的經(jīng)濟損失。在這樣的形式下，以保護網(wǎng)絡中的信息免受各種攻擊為目的的網(wǎng)絡安全變得越來越重要，對安全方面的考慮提高到了越來越重要的地位上。在

12、設(shè)計現(xiàn)有防護系統(tǒng)的時候，只可能考慮到已知的安全威脅與有限范圍的未知安全威脅。防護技術(shù)只能做到盡量阻止攻擊企圖的得逞或者延緩這個過程，而不能阻止各種攻擊事件的發(fā)生，這時就需要引入入侵檢測手段加以彌補。入侵檢測系統(tǒng)（ids）就是按照一定的安全策略建立相應的安全輔助措施的保障系統(tǒng)。目前ids軟件的開發(fā)方式基本上就是按照這個思路進行的。對ids的要求是：如果系統(tǒng)遭到攻擊，ids應盡可能的檢測到，甚至是實時的檢測到入侵攻擊，然后采取適當?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預防的措施以防止入侵事件的發(fā)生，入侵檢測作為安全技術(shù)其作用在于：(1)識別入侵者；(2)識別入侵行為；(3)檢測和監(jiān)視已成功的安全突破

13、；(4)為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴大。從這些角度看待安全問題，入侵檢測非常必要，它將彌補傳統(tǒng)安全保護措施的不足。從目前入侵檢測技術(shù)的研究來看，一個重要的環(huán)節(jié)是對入侵行為特征進行匹配，即規(guī)則匹配。規(guī)則匹配的過程就是對從網(wǎng)絡上捕獲的每一條數(shù)據(jù)報文和預先定義的入侵規(guī)則樹進行匹配的過程。如果發(fā)現(xiàn)存在某條規(guī)則匹配這個報文，就表示檢測到一個攻擊，然后按照規(guī)則指定的行為進行處理；如果搜索完所有的規(guī)則都沒有找到匹配的規(guī)則，就表示報文是正常的報文。bm算法和kmp算法是情報學中應用范圍最廣的一種字符匹配算法，近年來在入侵檢測系統(tǒng)中也得到應用，典型的入侵檢測系統(tǒng)snort就采用了bm算法

14、。但由于bm算法自身存在的缺陷，導致在高速網(wǎng)絡環(huán)境下入侵檢測的速度可能跟不上數(shù)據(jù)包到達速率，進而可能導致丟包現(xiàn)象。本文提出了bm算法的改進算法，充分利用了badchar函數(shù)在匹配過程中起到的移動指針的主導作用，去掉了goodsuffix函數(shù)的煩瑣計算，并對badchar函數(shù)進行了一定程度的修改，提高了匹配速度。在1998年,martin roesch先生用c語言開發(fā)了開放源代碼(open source)的入侵檢測系統(tǒng)snort.直至今天,snort已發(fā)展成為一個多平臺(multi-platform),實時(real-time)流量分析,網(wǎng)絡ip數(shù)據(jù)包(pocket)記錄等特性的強大的網(wǎng)絡入侵檢

15、測/防御系統(tǒng)(network intrusion detection/prevention system),即nids/nips.snort符合通用公共許可(gplgun general pubic license),在網(wǎng)上可以通過免費下載獲得snort,并且只需要幾分鐘就可以安裝并開始使用它.snort基于libpcap。snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測模式是最復雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，

16、并根據(jù)檢測結(jié)果采取一定的動作。 編輯本段相關(guān)條目snort最重要的用途還是作為網(wǎng)絡入侵檢測系統(tǒng)(nids)。 使用簡介 snort并非復雜難以操作的軟體。 snort可以三個模式進行運作： 偵測模式（sniffer mode）：此模式下，snort將在現(xiàn)有的網(wǎng)域內(nèi)擷取封包，并顯示在螢幕上。封包紀錄模式（packet logger mode）：此模式下，snort將已擷取的封包存入儲存媒體中（如硬碟）。上線模式（inline mode）：此模式下，snort可對擷取到的封包做分析的動作，并根據(jù)一定的規(guī)則來判斷是否有網(wǎng)路攻擊行為的出現(xiàn)。 基本指令：偵測模式 若你想要在螢幕上顯示網(wǎng)路封包的標頭檔（h

17、eader）內(nèi)容，請使用 ./snort -v 如果想要在螢幕上顯示正在傳輸?shù)姆獍鼧祟^檔內(nèi)容，請使用 ./snort -vd 如果除了以上顯示的內(nèi)容之外，欲另外顯示資料連結(jié)層（data link layer）的資料的話，請使用 ./snort -vde 編輯本段基本指令 封包記錄模式在記錄封包之前，您必須先指定一個目錄來儲存該資料。舉例而言，若您在您目前的目錄下建立了一個名為log的目錄，欲存紀錄資料于該目錄下的話，請使用 ./snort -dev -l ./log 若想要以二進位碼（binary code）的方式來儲存封包資料的話，請使用 ./snort -l ./log -b 若欲讀取某已

18、儲存的封包記錄檔案（假設(shè)其檔名為packet.log），請使用 ./snort -dvr packet.log 若欲讀取該檔案中特定網(wǎng)路協(xié)定的資訊（假設(shè)是tcp協(xié)定），請使用 ./snort -dvr packet.log tcp 編輯本段基本指令 入侵偵測模式若欲使用入侵偵測模式，請使用 ./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf 其中snort.conf是封包的簽章檔案 若不需要得知資料連結(jié)層的資訊，請使用 ./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf 以下是snort

19、在入侵偵測模式的指令選項： -a fast快速警告模式 -a full完整警告模式（預設(shè)） -a unsock將警告訊息送至unix的socket上，供其他裝置檢視 -a none關(guān)閉警告功能 -a console將警告訊息送至終端機（console） 線上模式 封包的抓取不透過libcap，而是透過防火墻，并可告知防火墻是否讓此封包通過。啟用線上模式使用./snort -qd -h 192.168.0.0/16 -l ./log -c snort.conf 防火墻的設(shè)定 * linux o iptables -t nat -a prerouting -j queue 編輯snort偵測規(guī)則

20、以下是一種編輯偵測規(guī)則（snort rule）的例子： alert tcp any any -192.168.1.0/24 111 依次分為以下幾個部份： 標頭 標頭的部份指的是此規(guī)則欲執(zhí)行的動作。以上的例子為alert，即警示。完整的標頭選項列表如下： alert產(chǎn)生警示 log紀錄該封包 pass忽略該封包 activate產(chǎn)生警示，并開啟另一個動態(tài)規(guī)則 dynamic被activate指令觸發(fā)后所執(zhí)行的規(guī)則 drop讓iptable丟棄該類型封包并記錄下來 reject讓iptable丟棄該類型封包，并送出tcp重新啟動（tcp reset）的封包 sdrop讓iptable丟棄該類型封

21、包，但不記錄 通訊協(xié)定 通訊協(xié)定指出執(zhí)行該規(guī)則的協(xié)定為何。上述的例子是tcp協(xié)定。 目前snort支援四種通訊協(xié)定： tcp, udp, icmp, ip 并計劃在未來支援以下的協(xié)定： arp, igrp, gre, ospf, rip, ipx等等 進階規(guī)則編輯 includes: include允許指令的規(guī)則檔包含其他的規(guī)則檔。 include: 請注意，在該行結(jié)尾處沒有分號。被包含的規(guī)則檔會把任何預設(shè)的變數(shù)值替換為其本身的變數(shù)。 variables : 在snort中定義的變數(shù)。 var: 例子： var net 192.168.1.0/24 alert tcp any any - $n

22、et any (flags: s; msg: fin packet;) 變數(shù)名稱可以用多種方法修改?？梢栽?符號之后定義變數(shù)。 ?和-可用于變數(shù)修改符號。 $var -定義變數(shù)。 $(var) -用變數(shù)var的值替換。 $(var:-default) -用變數(shù)var的值替換。若var沒有定義，則使用default替換。 $(var:?messagexxx) -用變數(shù)var的值替換，或列印出錯誤訊息messagexxx。例子： var net $(net:-192.168.1.0/24) log tcp any any - $(net:?net is undefined!) 23 config

23、snort的很多配置和命令行選項都可以在配置檔中設(shè)置。 config : 編輯本段主要指令order改變規(guī)則順序( snort -o ) alertfile建立警告輸出檔，例如：config alertfile: alertlog classification將規(guī)則分類。 decode_arp開啟arp解碼功能。 （snort -a） dump_chars_only開啟字元擷取功能。 （snort -c） dump_payload擷取應用層資料。 (snort -d) decode_data_link解碼資料連結(jié)層的標頭檔。 (snort -e) bpf_file指定bpf篩檢程式（snort

24、 -f）。例如：config bpf_file: filename.bpf set_gid改變gid (snort -g)。例如：config set_gid: snort_group daemon以背景方式執(zhí)行。 (snort -d) reference_net設(shè)置該區(qū)域的網(wǎng)路。 (snort -h)。例如：config reference_net:192.168.1.0/24 interface設(shè)置網(wǎng)路介面（snort i）。例如：config interface: xl0 alert_with_interface_name警示時附加上介面資訊。 (snort -i) logdir設(shè)置記錄目錄(snort -l