snort入侵檢測(cè)技術(shù)

1、Snort入侵檢測(cè)系統(tǒng)分析2015年12月6日Snort入侵檢測(cè)系統(tǒng)分析簡(jiǎn)介Snort的一些源代碼是從著名的TCPDUMP件發(fā)展而來(lái)的。snort是一個(gè)基于 LIBPCA包的網(wǎng)絡(luò)監(jiān)控軟件，可以作為一個(gè)十分有效的網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)。它運(yùn) 行在一個(gè)“傳感器”主機(jī)上，監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)。這臺(tái)機(jī)器可能是一臺(tái)簡(jiǎn)陋的運(yùn)行 FREEBSD統(tǒng)的Pentium100 PC,并且至少有一個(gè)網(wǎng)卡。 Snort首先根據(jù)遠(yuǎn)端的 IP地址建立目錄，然后將檢測(cè)到的包以TCPDUMP二進(jìn)制格式記錄或者以自身的 解碼形式存儲(chǔ)到這些目錄中.這樣一來(lái)，你就可以使用snort來(lái)監(jiān)測(cè)或過(guò)濾你所 需要的包.Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，

2、它具有截取網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，進(jìn) 行網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)分析、報(bào)警，以及日志的能力。snort的報(bào)文截取代碼是基于 LIBPCA庫(kù)的，甩8承了 LIBPCA庫(kù)的平臺(tái)兼容性。它能夠進(jìn)行協(xié)議分析，內(nèi)容搜索 /匹配，能夠用來(lái)檢測(cè)各種攻擊和探測(cè)，例如：緩沖區(qū)溢出、隱秘端口掃描、CGI攻擊、SMBf測(cè)、OS指紋特征檢測(cè)等等。snort使用一種靈活的規(guī)則語(yǔ)言來(lái)描述 網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，因此可以對(duì)新的攻擊作出快速地翻譯。snort具有實(shí)時(shí)報(bào)警能力。 可以將報(bào)警信息寫(xiě)到syslog、指定的文件、UNIX套接字或者使用Winpopup消息。snort具有良好的擴(kuò)展能力。它支持插件體系，可以通過(guò)其定義的接口，很方便 地加入新的功能。

3、snort還能夠記錄網(wǎng)絡(luò)數(shù)據(jù)，其日志文件可以是TCPDUMP式,也可以是解碼的ASCII格式。簡(jiǎn)單的說(shuō)，Snort是數(shù)據(jù)包的嗅探器，也是數(shù)據(jù)包 記錄器，還是NIDS 提供數(shù)據(jù)包嗅探和記錄功能只是 Snort的部分功能，Snort 的特點(diǎn)就是其入侵檢測(cè)功能一根據(jù)入侵規(guī)則匹配數(shù)據(jù)包中的內(nèi)容。Snort還是一個(gè)自由，簡(jiǎn)介，快速，易于擴(kuò)展的入侵檢測(cè)系統(tǒng)，已經(jīng)被移植到了各種UNIX平臺(tái)和winY2k上。同時(shí)，它也是目前安全領(lǐng)域中，最活躍的開(kāi)放源碼工程之一。體系結(jié)構(gòu)Snort有5個(gè)主要部件：捕包程序庫(kù)libpcap、包解碼器、預(yù)處理程序、檢 索引擎、輸出組件。圖1 Snort組件數(shù)據(jù)流程圖捕包裝置把包以原

4、始狀態(tài)捕獲后送給解碼器。解碼器是進(jìn)入Snort的第一步，它將特殊協(xié)議元素翻譯成內(nèi)部數(shù)據(jù)結(jié)構(gòu)。它的目的是剝落包頭。利用TCP-IP棧解碼并且將包放入一個(gè)數(shù)據(jù)結(jié)構(gòu)中。 在最初的捕包和解碼完成后，有預(yù)處理程 序處理流量。許多插入式預(yù)處理程序?qū)ΠM(jìn)行檢查或操作后將它們交給下一個(gè)組 件一一檢索引擎。檢索引擎對(duì)每一個(gè)包的一個(gè)方面進(jìn)行簡(jiǎn)單的檢驗(yàn)以檢測(cè)入侵。 最后一個(gè)組件是輸出插件，它對(duì)可疑行為產(chǎn)生報(bào)警。大規(guī)模的應(yīng)用程序很少采用 單機(jī)模式，Snort通常采用分布式體系對(duì)網(wǎng)絡(luò)進(jìn)行入侵檢測(cè)。最典型的安裝方式 是三層體系，即傳感器層、服務(wù)器層、分析員控制臺(tái)。捕包程序庫(kù)libpcap和包解碼器運(yùn)行在傳感器上，負(fù)責(zé)對(duì)抓

5、來(lái)的包進(jìn)行解釋 并傳遞警報(bào)。由于傳感器必須放置在要監(jiān)控入侵的網(wǎng)段，為了保證安全，通常只安裝Snort和它在之上運(yùn)行的支撐應(yīng)用程序。建議 Linux或BS/ UNIX類型的 操作系統(tǒng)。傳感器的兩塊網(wǎng)卡一塊用作捕包接口不分配IP, 一塊用作管理接口分配IP o捕包程序庫(kù)libpcap 運(yùn)行在Libpcap平臺(tái)上，由于Libpcap平臺(tái)的獨(dú) 立性使得Snort可以被移植到任何地方，成為一個(gè)真正與平臺(tái)無(wú)關(guān)的應(yīng)用程序。 預(yù)處理程序預(yù)處理是Snort的一類插件。它在檢測(cè)引擎之前對(duì)數(shù)據(jù)進(jìn)行處理，并且努力 與不斷變化的漏洞和攻擊保持同步。可以添加新的協(xié)議為Snort提供支持。它既能對(duì)數(shù)據(jù)包操作以便檢測(cè)引擎能正

6、確分析包，又能檢測(cè)特征檢測(cè)所不能單獨(dú)發(fā)現(xiàn)的可疑流量。按功能可以分為三類：數(shù)據(jù)標(biāo)準(zhǔn)化，協(xié)議分析和非特征匹配檢測(cè)。數(shù)據(jù)標(biāo)準(zhǔn)化新的攻擊方法和IDS 躲避技術(shù)不斷涌現(xiàn)，以至 Snort 的檢測(cè)引擎要么不能檢測(cè)， 要么檢測(cè)效率不高。預(yù)處理程序可以將數(shù)據(jù)標(biāo)準(zhǔn)化以便檢測(cè)引擎能正確對(duì)其分析。多態(tài)病毒是為了躲避反病毒程序的特征匹配引擎而將病毒代碼任意改造和變異。同樣的技術(shù)也被用于遠(yuǎn)程利用，shell 代碼具有多種形態(tài)。Fnord 預(yù)處理程序能檢測(cè)出變異的 NO-OP sled,從而避免了由于緩沖區(qū)溢出使處理器強(qiáng)制執(zhí)行惡意代碼導(dǎo)致的程序崩潰。No-op sled 能被許多IDS 輕易地檢測(cè)到，除非它在每次被使用時(shí)

7、都做修改。如果沒(méi)有Fnord 預(yù)處理， Snort 將無(wú)法檢測(cè)多態(tài)shell代碼。協(xié)議分析由于檢測(cè)引擎能分析的協(xié)議很少，所以用協(xié)議處理程序來(lái)協(xié)助檢測(cè)。ASNI_decode就能檢測(cè) ASNI （Abstract Syntax Notation 抽象語(yǔ)法標(biāo)記）協(xié)議 中的不一致性。較高的協(xié)議比如 SNMP LDA所口 SSL都依賴ASNI。幾乎所有起用 SNMP勺設(shè)備都受到緩沖區(qū)溢出或是拒絕服務(wù)（DoS攻擊的影響。非特征匹配檢測(cè)這類預(yù)處理程序利用不同特征匹配的方法來(lái)捕獲惡意流量。例如所謂的偵察攻擊通常只是一個(gè)報(bào)警信號(hào)，無(wú)法確定是不是攻擊。信息收集嘗試?yán)昧瞬缓弦?guī)格的流量，但這些流量通常在性質(zhì)上是無(wú)

8、害的。Portscan2 和 stream4 就能發(fā)現(xiàn)這類流量和一些惡意黑客使用的躲避技術(shù)。檢測(cè)引擎檢測(cè)引擎是Snort 的一個(gè)主要部件，有兩個(gè)主要功能：規(guī)則分析和特征檢測(cè)。檢測(cè)引擎通過(guò)分析Snort 規(guī)則來(lái)建立攻擊特征。Snort 規(guī)則被載入到檢測(cè)引擎并以樹(shù)形數(shù)據(jù)結(jié)構(gòu)分類。規(guī)則按功能分為兩個(gè)部分：規(guī)則頭（規(guī)則樹(shù)節(jié)點(diǎn)）和規(guī)則選項(xiàng)（選項(xiàng)樹(shù)節(jié)點(diǎn)）。規(guī)則頭包含特征應(yīng)用的條件信息。樹(shù)形結(jié)構(gòu)通過(guò)最小化發(fā)現(xiàn)可疑行為的必要檢測(cè)次數(shù)來(lái)提高效率。惡意行為被發(fā)現(xiàn)后，Snort 將入侵?jǐn)?shù)據(jù)寫(xiě)入許多輸出插件。檢測(cè)可疑凈荷Snort 特征能檢測(cè)的不只限于包頭數(shù)據(jù)，它也能檢測(cè)藏在一個(gè)看似正常的包中的可疑凈荷。某些可疑凈荷

9、可能會(huì)引起Windows協(xié)議的緩沖區(qū)溢出并導(dǎo)致目標(biāo) 主機(jī)崩潰。Snort還能捕獲大范圍的內(nèi)容類型：任何來(lái)自最新的P2P文件共享工具的流量都帶有導(dǎo)致遠(yuǎn)程緩沖區(qū)溢出的內(nèi)容。Snort 能用來(lái)對(duì)任何你所擔(dān)心的包凈荷進(jìn)行監(jiān)控并報(bào)警。通過(guò)特征檢測(cè)可疑流量最有效的檢測(cè)對(duì)系統(tǒng)或網(wǎng)絡(luò)的攻擊的方法是基于特征的檢測(cè)。基于特征的檢測(cè)的基礎(chǔ)是異?；驉阂饩W(wǎng)絡(luò)流量符合一種獨(dú)特的模式，而正?；蛄夹粤髁坎环?。 對(duì) Snort 來(lái)說(shuō)， 一個(gè)惡意流量特征可以被創(chuàng)建成一個(gè)規(guī)則以載入它的檢測(cè)引擎，用于進(jìn)行特征匹配。Internet 控制報(bào)文協(xié)議（Internet Control Message Protocol,ICMP ）主要用

10、于 ping 命令來(lái)檢查某個(gè)IP 地址是否有主機(jī)存在。它被用于黑客常常使用的一個(gè)網(wǎng)絡(luò)發(fā)現(xiàn)工具 NMAP NMAPJ用的ICMP ping的特征將ICMP類型域設(shè)為8并且凈荷數(shù)據(jù)為空。這與在Windows或UNIX操作系統(tǒng)下直接用ping命令不同。 根據(jù)這一點(diǎn)，就可以創(chuàng)建一條相關(guān)規(guī)則，如果網(wǎng)絡(luò)中有匹配這一特征的流量就會(huì)引起報(bào)警。需要強(qiáng)調(diào)的是：Snort 不一定要運(yùn)行在這一流量要到達(dá)的計(jì)算機(jī)上，它只需要處于同一個(gè)網(wǎng)段就能嗅探到該流量。因此，Snort 能檢測(cè)出針對(duì)大量受保護(hù)主機(jī)的NMAP ping掃描。檢測(cè)具體協(xié)議元素Snort 特征可以具體針對(duì)特殊協(xié)議的一個(gè)元素描述。例如 .ida 擴(kuò)展名是一個(gè)

11、很少用到的微軟ISS 索引服務(wù)的組件，能遠(yuǎn)程導(dǎo)致嚴(yán)重的緩沖區(qū)溢出進(jìn)而遠(yuǎn)程控制WebK務(wù)器，還能產(chǎn)生大量紅色代碼蠕蟲(chóng)，使得合法用戶幾乎從外部通過(guò).ida 文件使用的索引服務(wù)。Snort的這個(gè)特征規(guī)則是只搜索URLrt容而不是整個(gè)凈荷， 因而更為高效。用客戶規(guī)則擴(kuò)展覆蓋面Snort 支持的規(guī)則對(duì)所有網(wǎng)絡(luò)是通用的，要想做好入侵檢測(cè)工作，需要能針對(duì)具體網(wǎng)絡(luò)指定特定的規(guī)則，Snort 的一個(gè)特色就是能賦予程序員編寫(xiě)自己規(guī)則的能力。啟發(fā)式的可疑流量檢測(cè)特征匹配雖然高效，但不能達(dá)到100%的準(zhǔn)確率，因?yàn)橛行┯泻α髁繘](méi)有可識(shí)別的特征。統(tǒng)計(jì)包異常檢測(cè)引擎（SPADE模塊就是通過(guò)啟發(fā)式匹配對(duì)無(wú)可匹 配特征的可疑流

12、量進(jìn)行檢測(cè)。SPADE®測(cè)網(wǎng)絡(luò)并建立一張描述網(wǎng)絡(luò)低流量的表。這張表記載的數(shù)據(jù)包括包的類型和源地址、目的地址。在表達(dá)到一定大小后，SPAD囹B出的每一個(gè)包將被賦給一個(gè)數(shù)值，該數(shù)值的大小取決于它在表中出現(xiàn)的頻率。頻率越低，則該數(shù)值越大。當(dāng)該數(shù)值達(dá)到某一匹配好的極限時(shí)就會(huì)產(chǎn)生報(bào)警。這種方法對(duì)檢測(cè)黑客的偵察行動(dòng)是很有效的。黑客常常緩慢地掃描端口，企圖通過(guò)把自己的掃描數(shù)據(jù)淹沒(méi)在大量的數(shù)據(jù)中來(lái)隱蔽自己。但即使一個(gè)黑客使用多個(gè)源地址進(jìn)行活動(dòng)，也會(huì)被 SPADED®。分布式拒絕服務(wù)攻擊（ DDoS） 是多臺(tái)受控主機(jī)向一臺(tái)主機(jī)發(fā)送大量偽造的請(qǐng)求使得合法用戶無(wú)法訪問(wèn)服務(wù)器，但它也能被SPADE

13、僉測(cè)到。采集入侵?jǐn)?shù)據(jù)想預(yù)知黑客會(huì)對(duì)網(wǎng)絡(luò)進(jìn)行哪些惡意行為幾乎是不可能的，唯一的解決方案是將與惡意流量對(duì)應(yīng)的所有凈荷保存起來(lái)。Snort 可以將所有可能含有惡意的凈荷記入日志。評(píng)估威脅凈荷包含的數(shù)據(jù)常常是反映攻擊者意圖的窗口。凈荷數(shù)據(jù)能協(xié)助確定一次攻擊是否是人為操縱。蠕蟲(chóng)病毒加大了這一任務(wù)的難度。蠕蟲(chóng)可以具有復(fù)雜的攻擊步驟，包括一張關(guān)于攻擊手段和受害主機(jī)后門的詳細(xì)清單。常常與人類攻擊者遵循相同的模式。如果能夠檢查凈荷數(shù)據(jù)，就有可能將他與蠕蟲(chóng)的已知行為比較，并弄清你面對(duì)的是哪種類型的威脅。如果最終確定是人進(jìn)行的攻擊，就可以通過(guò)凈荷數(shù)據(jù)來(lái)確定攻擊者的技術(shù)水平， 是腳本族還是黑客高手。腳本族可以通過(guò)將攻

14、擊特征與常用工具的特征進(jìn)行比較來(lái)識(shí)別。利用輸出插件進(jìn)行報(bào)警Snort 利用輸出插件從檢測(cè)引擎獲取入侵?jǐn)?shù)據(jù)，程序員可以根據(jù)需要自行配置。輸出插件的目的是將報(bào)警數(shù)據(jù)轉(zhuǎn)存到另一種資源或文件中。 Snort輸出以各 種格式記入日志以便入侵?jǐn)?shù)據(jù)能方便地為其他應(yīng)用程序或工具使用。 輸出插件有 以下功能：聚集數(shù)據(jù)以一種工業(yè)標(biāo)準(zhǔn)格式從許多完全不同的安全裝置聚集數(shù)據(jù)。從而進(jìn)行事件相用統(tǒng)一格式和Barnyard程序記錄日志傳統(tǒng)的關(guān)系數(shù)據(jù)庫(kù)輸出插件是制約 Snort處理帶寬能力的因素之一， Barnyard能將二進(jìn)制數(shù)據(jù)解析成與它相關(guān)的數(shù)據(jù)庫(kù)插件能識(shí)別的格式，以完全 獨(dú)立于Snort的方式運(yùn)行，而不影響Snort的

15、捕包能力。報(bào)警Snort有兩種主要的報(bào)警方法：syslog和swatch報(bào)警、入侵?jǐn)?shù)據(jù)庫(kù)控制臺(tái) ACID報(bào)警。Swatch是一種簡(jiǎn)單且功能強(qiáng)大的工具。它能積極地監(jiān)控系統(tǒng)日志，當(dāng)發(fā)生 了事先配置的事件是就發(fā)出報(bào)警。可采用傳呼、 email或聲音等方式。ACID是從數(shù)據(jù)庫(kù)讀取入侵?jǐn)?shù)據(jù)并以友好的格式把它顯示在瀏覽器中，供分 析員處理。它具有復(fù)雜查詢功能。還可以按邏輯功能對(duì)報(bào)警分組并關(guān)聯(lián)到 Internet上CVE標(biāo)準(zhǔn)漏洞庫(kù)的又t應(yīng)記錄上。ACID還有一個(gè)繪圖組件可以用來(lái)生 成統(tǒng)計(jì)圖表。分層報(bào)警IDS領(lǐng)域的報(bào)警分為三類：無(wú)優(yōu)先級(jí)報(bào)警、嚴(yán)格編碼的優(yōu)先級(jí)報(bào)警、可定制 的優(yōu)先級(jí)報(bào)警。無(wú)優(yōu)先級(jí)報(bào)警：不能按嚴(yán)重

16、程度進(jìn)行分類，通告會(huì)變得非常多，無(wú)法采用緊 急時(shí)間自動(dòng)通知機(jī)制。嚴(yán)格編碼的優(yōu)先級(jí)報(bào)警：由銷售商為你決定哪些報(bào)警重要，程序員可以進(jìn)行 排序和篩選，但這種“一個(gè)標(biāo)準(zhǔn)適用全部”的方法對(duì)于報(bào)警并不適合?？啥ㄖ频膬?yōu)先級(jí)報(bào)警：這是現(xiàn)代網(wǎng)絡(luò)的模塊化和獨(dú)特性所需要的。 報(bào)警能基 于事先設(shè)置的優(yōu)先級(jí)進(jìn)行排序。Snort自帶了 32種預(yù)定義的警報(bào)分類，像特征 一樣，警報(bào)分類也是通過(guò)簡(jiǎn)單的規(guī)則來(lái)定義的。功能入侵檢測(cè)工具的主要作用是檢測(cè)網(wǎng)絡(luò)中是否存在攻擊行為。目前的入侵檢測(cè)工具一般應(yīng)用模式匹配、特征匹配、簽名技術(shù)等手段對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行識(shí)別，如 果數(shù)據(jù)包的某項(xiàng)內(nèi)容符合其中的一種， 則被認(rèn)定為使網(wǎng)絡(luò)數(shù)據(jù)包異常行為， 入侵

17、 檢測(cè)系統(tǒng)會(huì)主動(dòng)報(bào)告系統(tǒng)管理員相關(guān)信息。因?yàn)槭褂玫氖瞧ヅ浼夹g(shù)，所以入侵檢測(cè)系統(tǒng)存在著誤報(bào)和漏報(bào)的情況，但總體來(lái)說(shuō)，它還是系統(tǒng)管理員需要掌握的一 項(xiàng)重要工具。Snort可提供Protocol分析、內(nèi)容查找和匹配，可以用來(lái)檢測(cè)各 種攻擊和探測(cè)，如緩沖區(qū)溢出、隱蔽端口掃描、CGI攻擊、SM的測(cè)、操作系統(tǒng)Snort指紋識(shí)別嘗試等.其中的包嗅探、數(shù)據(jù)包記錄和入侵檢測(cè)是其重要功能.的架構(gòu)決定了它的各種功能，而 Snort架構(gòu)由以下4個(gè)基本模塊構(gòu)成:嗅探器 預(yù)處理器檢測(cè)引擎輸出模塊Snort的最簡(jiǎn)單形式就是包嗅探器，但當(dāng)Snort獲取到數(shù)據(jù)包后會(huì)將數(shù)據(jù)包傳送 到與處理模塊，然后通過(guò)檢測(cè)引擎判斷這些數(shù)據(jù)包是否

18、違反了某些預(yù)定義規(guī)則。Snort的預(yù)處理器、檢測(cè)引擎和報(bào)警模塊都以插件形式存在.插件就是符合Snort 接口定義的程序，這些程序曾經(jīng)是Snort內(nèi)核代碼的一部分，現(xiàn)在獨(dú)立出來(lái)使內(nèi) 核部分的修改變得簡(jiǎn)單可靠.包嗅探器用來(lái)監(jiān)聽(tīng)數(shù)據(jù)網(wǎng)絡(luò)，可以是硬件也可以是 軟件. 一個(gè)網(wǎng)絡(luò)嗅探器使應(yīng)用程序或者硬件設(shè)備能夠監(jiān)聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)流.互聯(lián)網(wǎng)多是IP數(shù)據(jù)流，在本地局域網(wǎng)或傳統(tǒng)網(wǎng)絡(luò)中多是IPX或AppleTalk數(shù)據(jù)流.具 體來(lái)說(shuō)，包嗅探器不僅可以進(jìn)行網(wǎng)絡(luò)分析及錯(cuò)誤處理、性能分析及基準(zhǔn)測(cè)量、監(jiān) 聽(tīng)明文密碼及其他感興趣的數(shù)據(jù).預(yù)處理器得到原始數(shù)據(jù)包，使用不同的插件檢 測(cè)數(shù)據(jù)包，這些插件檢測(cè)數(shù)據(jù)包的某些特定行為. 一旦數(shù)據(jù)包被確認(rèn)具有某些特 定行為，就會(huì)被送到檢測(cè)模塊.插件可以根據(jù)需要在與處理層被啟用或停用，從而更具網(wǎng)絡(luò)優(yōu)化級(jí)被分配計(jì)算資源并生成報(bào)警，插件是入侵檢測(cè)系統(tǒng)的一個(gè)非常 有用的功能.檢測(cè)引擎接收預(yù)處理器及其插件穿送來(lái)的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對(duì)數(shù)據(jù)進(jìn)行檢測(cè).如果這些規(guī)則和數(shù)據(jù)包中的數(shù)據(jù)相匹配，就將數(shù)據(jù)包傳送給報(bào)警處理器.當(dāng)數(shù)據(jù)通過(guò)檢測(cè)引擎后，Snort會(huì)對(duì)其數(shù)據(jù)進(jìn)行不同的處理.如 果數(shù)據(jù)和檢測(cè)引擎的規(guī)則相匹配，Snort就會(huì)觸發(fā)報(bào)警.報(bào)警可以通過(guò)網(wǎng)絡(luò)連接、 UNIX的套接字或 WindowsPopup(SMB)甚至SNMpg阱機(jī)制發(fā)送到日志文件.也 可以使用Snort的一些附加