Snort規(guī)則的分析與制定

Snort規(guī)則的分析與制定

隨著網(wǎng)絡(luò)應(yīng)用的普及，安全性變得日益重要，作為網(wǎng)絡(luò)安全的一個重要組成部分網(wǎng)絡(luò)入侵檢測系統(tǒng)(NetworkIn．trusionDetectionSystem，NIDS)受到業(yè)界更多的關(guān)注，Snort正是一款基于libpcap庫、開放源碼的NIDS系統(tǒng)。這些開放源代碼的數(shù)據(jù)分析軟件包，為我們構(gòu)建規(guī)則處理模塊提供了便利條件，但通常它又有一定的局限性，所以，要開發(fā)一個真正功能強大、實用的網(wǎng)絡(luò)入侵檢測系統(tǒng)，開發(fā)者需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究，才能制定相應(yīng)的安全規(guī)則集和安全策略。它正是構(gòu)建NIDS的工作重點。也是本文關(guān)注的焦點。1Snort簡介代寫論文Snort是用c語言編寫的開放源代碼軟件，它是一個功能強大、跨平臺、輕量級的網(wǎng)絡(luò)入侵檢測工具。當(dāng)前最新的版本是snort-2．7．0．1．tar．gzMonAug610：14：59EDT2007(LastModified)?。新版與以前的版本相比，增加的核心功能就是引入了數(shù)據(jù)匹配相對偏移的概念。在規(guī)則方面增加了若干選項，如content選項增加了distance和within修飾選項，可以使匹配多個有一定順序和固定間隔的模式成為可能。目前ourcdire公司開始推行snort的許可證協(xié)議，以使其可以對一些具有及時性的，經(jīng)過測試的規(guī)則進行收費。nort系統(tǒng)由四個基本模塊組成，如1所示。數(shù)據(jù)采集模塊，在數(shù)據(jù)采集模塊中可以加入預(yù)處理模塊，對網(wǎng)絡(luò)數(shù)據(jù)進行合并、去除冗余信息，從而提高系統(tǒng)的效率；預(yù)處理模塊，用來擴展Snort的功能；檢測引擎，這是Snort的核心模塊；日志與報警輸出模塊，管理員通過它來指定記錄日志和告警的輸出。用戶還可以自己編寫模塊來擴展Snort的功能，以應(yīng)對不斷出現(xiàn)的威脅。2Snort規(guī)則與制定2．1Snort的規(guī)則與鏈表snort的工作原理是解析規(guī)則集形成規(guī)則樹，然后利用lihpcap對采集來的數(shù)據(jù)進行模式匹配，若匹配成功，則認為是有入侵行為發(fā)生，進入報警理模塊。所以Snort規(guī)則是它的核心，必須擁有一個強大的入侵特征數(shù)據(jù)庫，才能準確、高效地捕捉入侵行為。Snort規(guī)則被寫成“規(guī)則頭(選項)”的形式。規(guī)則頭包含規(guī)則動作、協(xié)議、源和目標II，地址與網(wǎng)絡(luò)掩碼、源和目標端口信息和、方向操作符；規(guī)則選項部分包含報警消息內(nèi)容和要檢查的包的具體部分]。規(guī)則選項中可能有一個或多個選項，不同選項之間使用“；”分隔開了，它們之間為“與”的關(guān)系。選項由關(guān)鍵字和參數(shù)組成，每個關(guān)鍵字和它的參數(shù)問使用冒號“：”分隔。一條規(guī)則可書寫為：alerttcp“EXTERNAL—NETany一>”HOME—NETl(msg：“FSITECPWDoverflOWattempt”：flow：estab-lished，to—server；content“SITE”；nocase；content“CP-這條規(guī)則的動作選項是發(fā)出alert，協(xié)議類型是tcp，源IP地址是“EXTERNAL。NET，指任意外網(wǎng)地址，源端口為任意端口(any)，目的IP地址是”HOME—NET，指任意內(nèi)網(wǎng)地址．目的端口是21號端口，網(wǎng)絡(luò)流量的方向是一>，指需要從外網(wǎng)到內(nèi)網(wǎng)的網(wǎng)絡(luò)流量中匹配該特征。Snort將檢測規(guī)則利用鏈表的形式進行組織，建立鏈表時，首先按規(guī)則類型分類，分成了五個單獨的規(guī)則鏈；然后針對這五個規(guī)則鏈的每一個按協(xié)議類型分成相應(yīng)的節(jié)點鏈表；在節(jié)點鏈表之下又分為若干規(guī)則樹節(jié)點(RuleTreeNodeRTN)；每個規(guī)則樹節(jié)點下又有若干規(guī)則選項，稱為選項樹節(jié)點(Opfion~TreeNodeOTN)。每一個RTN對應(yīng)于規(guī)則頭，其中包含協(xié)議類型、源和目的地址、源和目的端口號等；每一個OTN對應(yīng)于規(guī)則選項結(jié)點，其中包含報警信息(msg)、匹配內(nèi)容(content)，TCP標志位(flags)等選項。當(dāng)數(shù)據(jù)包到達檢測引擎時，Snort將首先匹配規(guī)則鏈，然后根據(jù)數(shù)據(jù)包協(xié)議匹配相應(yīng)的節(jié)點鏈表，于是從左至右遍歷RTN，參看源、目的IP及端口號是否匹配，找到一個匹配后，算法向下進行，再進入OTN中尋找匹配，每個OTN結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，當(dāng)數(shù)據(jù)包與所有函數(shù)都匹配成功時，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包，進入告警模塊。2．2Snort規(guī)則的制定在設(shè)計檢測方案時，既要考慮快速地結(jié)束一個無效的檢測過程，也應(yīng)該盡量減少檢測的范圍。如何從眾多的參數(shù)中選出最適合的、最容易達到匹配目的的參數(shù)先進行匹配?以TCP報文來說，獨特的屬性就是源端口和目的端口。端口可以分為兩種，保留端口和非保留端口。對于一般的連接來說，通常在服務(wù)器端采用保留端口，在客戶端采用非保留端口，所以可以利用保留端口作為獨特的參數(shù)。Snort可以觀察保留端口的位置，如果保留端口在源端口，通常情況下就意味著這是從服務(wù)器端發(fā)出的網(wǎng)絡(luò)流量，反之，如果在目的端口，就是從客戶端發(fā)出的流量。比如當(dāng)Snort觀察到一個HTYP請求報文，先檢查它的源端日和目的端口，看是否能找到一個參數(shù)來組成獨特的集合。一般來說，HTrP請求報文的源端口是超過1024的非保留端口，而它的目的端口是80或者其他已知的HTrP服務(wù)端口，此時就可以從特征庫中選出目的端口是80，源端口任意的特征組成一個集合，再進行接下來的匹配工作。Netbus