計(jì)算機(jī)技術(shù)網(wǎng)絡(luò)安全技術(shù)教程ch5入侵檢測(cè)技術(shù)

5.1入侵檢測(cè)概述返回本章首頁(yè)返回本章首頁(yè)返回本章首頁(yè)1988年TeresaLunt等人進(jìn)一步改進(jìn)了Denning提出的入侵檢測(cè)模型，并創(chuàng)立了IDES〔IntrusionDetectionExpertSystem〕，該系統(tǒng)用于檢測(cè)單一主機(jī)的入侵嘗試，提出了與系統(tǒng)平臺(tái)無(wú)關(guān)的實(shí)時(shí)檢測(cè)思想，1995年開(kāi)發(fā)的NIDES〔Next-GenerationIntrusionDetectionExpertSystem〕作為IDES完善后的版本可以檢測(cè)出多個(gè)主機(jī)上的入侵。返回本章首頁(yè)1990年，Heberlein等人提出了一個(gè)具有里程碑意義的新型概念：基于網(wǎng)絡(luò)的入侵檢測(cè)——網(wǎng)絡(luò)平安監(jiān)視器NSM〔NetworkSecurityMonitor〕。1991年,NADIR〔NetworkAnomalyDetectionandIntrusionReporter〕與DIDS〔DistributeIntrusionDetectionSystem〕提出了通過(guò)收集和合并處理來(lái)自多個(gè)主機(jī)的審計(jì)信息可以檢測(cè)出一系列針對(duì)主機(jī)的協(xié)同攻擊。返回本章首頁(yè)1994年，MarkCrosbie和GeneSpafford建議使用自治代理〔autonomousagents〕以提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合計(jì)算機(jī)科學(xué)其他領(lǐng)域〔如軟件代理，softwareagent〕正在進(jìn)行的相關(guān)研究。另一個(gè)致力于解決當(dāng)代絕大多數(shù)入侵檢測(cè)系統(tǒng)伸縮性缺乏的方法于1996年提出，這就是GrIDS〔Graph-basedIntrusionDetectionSystem〕的設(shè)計(jì)和實(shí)現(xiàn)，該系統(tǒng)可以方便地檢測(cè)大規(guī)模自動(dòng)或協(xié)同方式的網(wǎng)絡(luò)攻擊。返回本章首頁(yè)返回本章首頁(yè)5.1.1入侵檢測(cè)原理返回本章首頁(yè)圖5-2入侵檢測(cè)原理框圖

返回本章首頁(yè)入侵檢測(cè)系統(tǒng)〔IntrusionDetectionSystem，IDS〕就是執(zhí)行入侵檢測(cè)任務(wù)的硬件或軟件產(chǎn)品。IDS通過(guò)實(shí)時(shí)的分析，檢查特定的攻擊模式、系統(tǒng)配置、系統(tǒng)漏洞、存在缺陷的程序版本以及系統(tǒng)或用戶(hù)的行為模式，監(jiān)控與平安有關(guān)的活動(dòng)。一個(gè)根本的入侵檢測(cè)系統(tǒng)需要解決兩個(gè)問(wèn)題：一是如何充分并可靠地提取描述行為特征的數(shù)據(jù)；二是如何根據(jù)特征數(shù)據(jù)，高效并準(zhǔn)確地判定行為的性質(zhì)。返回本章首頁(yè)5.1.2系統(tǒng)結(jié)構(gòu)由于網(wǎng)絡(luò)環(huán)境和系統(tǒng)平安策略的差異，入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)應(yīng)包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四大局部，另外還可能結(jié)合平安知識(shí)庫(kù)、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為完善的平安檢測(cè)及數(shù)據(jù)分析功能〔如圖5-3所示〕。返回本章首頁(yè)圖5-3入侵檢測(cè)系統(tǒng)結(jié)構(gòu)返回本章首頁(yè)入侵檢測(cè)的思想源于傳統(tǒng)的系統(tǒng)審計(jì)，但拓寬了傳統(tǒng)審計(jì)的概念，它以近乎不間斷的方式進(jìn)行平安檢測(cè)，從而可形成一個(gè)連續(xù)的檢測(cè)過(guò)程。這通常是通過(guò)執(zhí)行以下任務(wù)來(lái)實(shí)現(xiàn)的：監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)；系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)；識(shí)別分析知名攻擊的行為特征并告警；異常行為特征的統(tǒng)計(jì)分析；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反平安策略的行為。返回本章首頁(yè)5.1.3系統(tǒng)分類(lèi)由于功能和體系結(jié)構(gòu)的復(fù)雜性，入侵檢測(cè)按照不同的標(biāo)準(zhǔn)有多種分類(lèi)方法?？煞謩e從數(shù)據(jù)源、檢測(cè)理論、檢測(cè)時(shí)效三個(gè)方面來(lái)描述入侵檢測(cè)系統(tǒng)的類(lèi)型。

1．基于數(shù)據(jù)源的分類(lèi)

通?？梢园讶肭謾z測(cè)系統(tǒng)分為五類(lèi)，即基于主機(jī)、基于網(wǎng)絡(luò)、混合入侵檢測(cè)、基于網(wǎng)關(guān)的入侵檢測(cè)系統(tǒng)以及文件完整性檢查系統(tǒng)。返回本章首頁(yè)2．基于檢測(cè)理論的分類(lèi)從具體的檢測(cè)理論上來(lái)說(shuō)，入侵檢測(cè)又可分為異常檢測(cè)和誤用檢測(cè)。異常檢測(cè)〔AnomalyDetection〕指根據(jù)使用者的行為或資源使用狀況的正常程度來(lái)判斷是否入侵，而不依賴(lài)于具體行為是否出現(xiàn)來(lái)檢測(cè)。誤用檢測(cè)〔MisuseDetection〕指運(yùn)用攻擊方法，根據(jù)已定義好的入侵模式，通過(guò)判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè)。返回本章首頁(yè)3．基于檢測(cè)時(shí)效的分類(lèi)IDS在處理數(shù)據(jù)的時(shí)候可以采用實(shí)時(shí)在線檢測(cè)方式，也可以采用批處理方式，定時(shí)對(duì)處理原始數(shù)據(jù)進(jìn)行離線檢測(cè)，這兩種方法各有特點(diǎn)〔如圖5-5所示〕。離線檢測(cè)方式將一段時(shí)間內(nèi)的數(shù)據(jù)存儲(chǔ)起來(lái)，然后定時(shí)發(fā)給數(shù)據(jù)處理單元進(jìn)行分析，如果在這段時(shí)間內(nèi)有攻擊發(fā)生就報(bào)警。在線檢測(cè)方式的實(shí)時(shí)處理是大多數(shù)IDS所采用的方法，由于計(jì)算機(jī)硬件速度的提高，使得對(duì)攻擊的實(shí)時(shí)檢測(cè)和響應(yīng)成為可能。返回本章首頁(yè)返回本章首頁(yè)返回本章首頁(yè)5.2.1入侵檢測(cè)分析模型分析是入侵檢測(cè)的核心功能，它既能簡(jiǎn)單到像一個(gè)已熟悉日志情況的管理員去建立決策表，也能復(fù)雜得像一個(gè)集成了幾百萬(wàn)個(gè)處理的非參數(shù)系統(tǒng)。入侵檢測(cè)的分析處理過(guò)程可分為三個(gè)階段：構(gòu)建分析器，對(duì)實(shí)際現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析，反響和提煉過(guò)程。其中，前兩個(gè)階段都包含三個(gè)功能：數(shù)據(jù)處理、數(shù)據(jù)分類(lèi)〔數(shù)據(jù)可分為入侵指示、非入侵指示或不確定〕和后處理。返回本章首頁(yè)5.2.2誤用檢測(cè)〔MisuseDetection〕誤用檢測(cè)是按照預(yù)定模式搜尋事件數(shù)據(jù)的，最適用于對(duì)模式的可靠檢測(cè)。執(zhí)行誤用檢測(cè)，主要依賴(lài)于可靠的用戶(hù)活動(dòng)記錄和分析事件的方法。1．條件概率預(yù)測(cè)法條件概率預(yù)測(cè)法是基于統(tǒng)計(jì)理論來(lái)量化全部外部網(wǎng)絡(luò)事件序列中存在入侵事件的可能程度。返回本章首頁(yè)2．產(chǎn)生式/專(zhuān)家系統(tǒng)用專(zhuān)家系統(tǒng)對(duì)入侵進(jìn)行檢測(cè)，主要是檢測(cè)基于特征的入侵行為。所謂規(guī)那么，即是知識(shí)，專(zhuān)家系統(tǒng)的建立依賴(lài)于知識(shí)庫(kù)的完備性，而知識(shí)庫(kù)的完備性又取決于審計(jì)記錄的完備性與實(shí)時(shí)性。產(chǎn)生式/專(zhuān)家系統(tǒng)是誤用檢測(cè)早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了這種方法。返回本章首頁(yè)3．狀態(tài)轉(zhuǎn)換方法狀態(tài)轉(zhuǎn)換方法使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來(lái)描述和檢測(cè)入侵，采用最優(yōu)模式匹配技巧來(lái)結(jié)構(gòu)化誤用檢測(cè)，增強(qiáng)了檢測(cè)的速度和靈活性。目前，主要有三種實(shí)現(xiàn)方法：狀態(tài)轉(zhuǎn)換分析、有色Petri-Net和語(yǔ)言/應(yīng)用編程接口〔API〕。返回本章首頁(yè)返回本章首頁(yè)5．KeystrokeMonitor和基于模型的方法KeystrokeMonitor是一種簡(jiǎn)單的入侵檢測(cè)方法，它通過(guò)分析用戶(hù)擊鍵序列的模式來(lái)檢測(cè)入侵行為，常用于對(duì)主機(jī)的入侵檢測(cè)。該方法具有明顯的缺點(diǎn)，首先，批處理或Shell程序可以不通過(guò)擊鍵而直接調(diào)用系統(tǒng)攻擊命令序列；其次，操作系統(tǒng)通常不提供統(tǒng)一的擊鍵檢測(cè)接口，需通過(guò)額外的鉤子函數(shù)〔Hook〕來(lái)監(jiān)測(cè)擊鍵。返回本章首頁(yè)5.2.3異常檢測(cè)〔AnomalyDetection〕異常檢測(cè)基于一個(gè)假定：用戶(hù)的行為是可預(yù)測(cè)的、遵循一致性模式的，且隨著用戶(hù)事件的增加異常檢測(cè)會(huì)適應(yīng)用戶(hù)行為的變化。用戶(hù)行為的特征輪廓在異常檢測(cè)中是由度量〔measure〕集來(lái)描述，度量是特定網(wǎng)絡(luò)行為的定量表示，通常與某個(gè)檢測(cè)閥值或某個(gè)域相聯(lián)系。異常檢測(cè)可發(fā)現(xiàn)未知的攻擊方法，表達(dá)了強(qiáng)健的保護(hù)機(jī)制，但對(duì)于給定的度量集能否完備到表示所有的異常行為仍需要深入研究。返回本章首頁(yè)1．Denning的原始模型DorothyDenning于1986年給出了入侵檢測(cè)的IDES模型，她認(rèn)為在一個(gè)系統(tǒng)中可以包括四個(gè)統(tǒng)計(jì)模型，每個(gè)模型適合于一個(gè)特定類(lèi)型的系統(tǒng)度量?！?〕可操作模型〔2〕平均和標(biāo)準(zhǔn)偏差模型〔3〕多變量模型〔4〕Markov處理模型返回本章首頁(yè)2．量化分析異常檢測(cè)最常用的方法就是將檢驗(yàn)規(guī)那么和屬性以數(shù)值形式表示的量化分析，這種度量方法在Denning的可操作模型中有所涉及。量化分析通過(guò)采用從簡(jiǎn)單的加法到比較復(fù)雜的密碼學(xué)計(jì)算得到的結(jié)果作為誤用檢測(cè)和異常檢測(cè)統(tǒng)計(jì)模型的根底?！?〕閥值檢驗(yàn)〔2〕基于目標(biāo)的集成檢查〔3〕量化分析和數(shù)據(jù)精簡(jiǎn)返回本章首頁(yè)3．統(tǒng)計(jì)度量統(tǒng)計(jì)度量方法是產(chǎn)品化的入侵檢測(cè)系統(tǒng)中常用的方法，常見(jiàn)于異常檢測(cè)。運(yùn)用統(tǒng)計(jì)方法，有效地解決了四個(gè)問(wèn)題：〔1〕選取有效的統(tǒng)計(jì)數(shù)據(jù)測(cè)量點(diǎn)，生成能夠反映主體特征的會(huì)話(huà)向量；〔2〕根據(jù)主體活動(dòng)產(chǎn)生的審計(jì)記錄，不斷更新當(dāng)前主體活動(dòng)的會(huì)話(huà)向量；〔3〕采用統(tǒng)計(jì)方法分析數(shù)據(jù)，判斷當(dāng)前活動(dòng)是否符合主體的歷史行為特征；〔4〕隨著時(shí)間推移，學(xué)習(xí)主體的行為特征，更新歷史記錄。返回本章首頁(yè)返回本章首頁(yè)5．基于規(guī)那么的方法上面討論的異常檢測(cè)主要基于統(tǒng)計(jì)方法，異常檢測(cè)的另一個(gè)變種就是基于規(guī)那么的方法。與統(tǒng)計(jì)方法不同的是基于規(guī)那么的檢測(cè)使用規(guī)那么集來(lái)表示和存儲(chǔ)使用模式?！?〕Wisdom&Sense方法〔2〕基于時(shí)間的引導(dǎo)機(jī)〔TIM〕返回本章首頁(yè)返回本章首頁(yè)返回本章首頁(yè)2．免疫學(xué)方法NewMexico大學(xué)的StephanieForrest提出了將生物免疫機(jī)制引入計(jì)算機(jī)系統(tǒng)的平安保護(hù)框架中。免疫系統(tǒng)中最根本也是最重要的能力是識(shí)別“自我/非自我〞〔self/nonself〕，換句話(huà)講，它能夠識(shí)別哪些組織是屬于正常機(jī)體的，不屬于正常的就認(rèn)為是異常，這個(gè)概念和入侵檢測(cè)中異常檢測(cè)的概念非常相似。返回本章首頁(yè)返回本章首頁(yè)4．基因算法基因算法是進(jìn)化算法〔evolutionaryalgorithms〕的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇的概念〔優(yōu)勝劣汰、適者生存〕對(duì)系統(tǒng)進(jìn)行優(yōu)化。該算法對(duì)于處理多維系統(tǒng)的優(yōu)化是非常有效的。在基因算法的研究人員看來(lái)，入侵檢測(cè)的過(guò)程可以抽象為：為審計(jì)事件記錄定義一種向量表示形式，這種向量或者對(duì)應(yīng)于攻擊行為，或者代表正常行為。返回本章首頁(yè)返回本章首頁(yè)5.3分布式入侵檢測(cè)

分布式入侵檢測(cè)〔DistributedIntrusionDetection〕是目前入侵檢測(cè)乃至整個(gè)網(wǎng)絡(luò)平安領(lǐng)域的熱點(diǎn)之一。到目前為止，還沒(méi)有嚴(yán)格意義上的分布式入侵檢測(cè)的商業(yè)化產(chǎn)品，但研究人員已經(jīng)提出并完成了多個(gè)原型系統(tǒng)。通常采用的方法中，一種是對(duì)現(xiàn)有的IDS進(jìn)行規(guī)模上的擴(kuò)展，另一種那么通過(guò)IDS之間的信息共享來(lái)實(shí)現(xiàn)。具體的處理方法上也分為兩種：分布式信息收集、集中式處理；分布式信息收集、分布式處理。返回本章首頁(yè)5.3.1分布式入侵檢測(cè)的優(yōu)勢(shì)分布式入侵檢測(cè)由于采用了非集中的系統(tǒng)結(jié)構(gòu)和處理方式，相對(duì)于傳統(tǒng)的單機(jī)IDS具有一些明顯的優(yōu)勢(shì)：〔1〕檢測(cè)大范圍的攻擊行為〔2〕提高檢測(cè)的準(zhǔn)確度〔3〕提高檢測(cè)效率〔4〕協(xié)調(diào)響應(yīng)措施返回本章首頁(yè)返回本章首頁(yè)5.3.3分布式入侵檢測(cè)現(xiàn)狀返回本章首頁(yè)2．Agent-Based基于Agent的IDS由于其良好的靈活性和擴(kuò)展性，是分布式入侵檢測(cè)的一個(gè)重要研究方向。國(guó)外一些研究機(jī)構(gòu)在這方面已經(jīng)做了大量工作，其中Purdue大學(xué)的入侵檢測(cè)自治代理〔AAFID〕和SRI的EMERALD最具代表性。AAFID的體系結(jié)構(gòu)如圖5-10所示，其特點(diǎn)是形成了一個(gè)基于代理的分層順序控制和報(bào)告結(jié)構(gòu)。返回本章首頁(yè)返回本章首頁(yè)3．DIDSDIDS〔DistributedIntrusionDetectionSystem〕是由UCDavis的SecurityLab完成的，它集成了兩種已有的入侵檢測(cè)系統(tǒng)，Haystack和NSM。前者由TracorAppliedSciencesandHaystack實(shí)驗(yàn)室針對(duì)多用戶(hù)主機(jī)的檢測(cè)任務(wù)而開(kāi)發(fā)，數(shù)據(jù)源來(lái)自主機(jī)的系統(tǒng)日志。NSM那么是由UCDavis開(kāi)發(fā)的網(wǎng)絡(luò)平安監(jiān)視器，通過(guò)對(duì)數(shù)據(jù)包、連接記錄、應(yīng)用層會(huì)話(huà)的分析，結(jié)合入侵特征庫(kù)和正常的網(wǎng)絡(luò)流或會(huì)話(huà)記錄的模式庫(kù)，判斷當(dāng)前的網(wǎng)絡(luò)行為是否包含入侵或異常。返回本章首頁(yè)4．GrIDSGrIDS〔Graph-basedIntrusionDetectionSystem〕同樣由UCDavis提出并實(shí)現(xiàn)，該系統(tǒng)實(shí)現(xiàn)了一種在大規(guī)模網(wǎng)絡(luò)中使用圖形化表示的方法來(lái)描述網(wǎng)絡(luò)行為的途徑，其設(shè)計(jì)目標(biāo)主要針對(duì)大范圍的網(wǎng)絡(luò)攻擊，例如掃描、協(xié)同攻擊、網(wǎng)絡(luò)蠕蟲(chóng)等。GrIDS的缺陷在于只是給出了網(wǎng)絡(luò)連接的圖形化表示，具體的入侵判斷仍然需要人工完成，而且系統(tǒng)的有效性和效率都有待驗(yàn)證和提高。返回本章首頁(yè)5．IntrusionStrategyBoeing公司的Ming-YuhHuang從另一個(gè)角度對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行了研究，針對(duì)分布式入侵檢測(cè)所存在的問(wèn)題，他認(rèn)為可以從入侵者的目的〔IntrusionIntention〕，或者是入侵策略〔IntrusionStrategy〕入手，幫助我們確定如何在不同的IDS組件之間進(jìn)行協(xié)作檢測(cè)。對(duì)入侵策略的分析可以幫助我們調(diào)整審計(jì)策略和參數(shù)，構(gòu)成自適應(yīng)的審計(jì)檢測(cè)系統(tǒng)。返回本章首頁(yè)6．?dāng)?shù)據(jù)融合〔DataFusion〕TimmBass提出將數(shù)據(jù)融合〔DataFusion〕的概念應(yīng)用到入侵檢測(cè)中，從而將分布式入侵檢測(cè)任務(wù)理解為在層次化模型下對(duì)多個(gè)感應(yīng)器的數(shù)據(jù)綜合問(wèn)題。在這個(gè)層次化模型中，入侵檢測(cè)的數(shù)據(jù)源經(jīng)歷了從數(shù)據(jù)〔Data〕到信息〔Information〕再到知識(shí)〔Knowledge〕三個(gè)邏輯抽象層次。返回本章首頁(yè)7．基于抽象〔Abstraction-based〕的方法GMU的PengNing在其博士論文中提出了一種基于抽象〔Abstraction-based〕的分布式入侵檢測(cè)系統(tǒng)，根本思想是設(shè)立中間層〔systemview〕，提供與具體系統(tǒng)無(wú)關(guān)的抽象信息，用于分布式檢測(cè)系統(tǒng)中的信息共享，抽象信息的內(nèi)容包括事件信息〔event〕以及系統(tǒng)實(shí)體間的斷言〔dynamicpredicate〕。中間層用于表示IDS間的共享信息時(shí)使用的對(duì)應(yīng)關(guān)系為：IDS檢測(cè)到的攻擊或者IDS無(wú)法處理的事件信息作為event，IDS或受IDS監(jiān)控的系統(tǒng)的狀態(tài)那么作為dynamicpredicates。返回本章首頁(yè)5.4入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。為了提高IDS產(chǎn)品、組件及與其他平安產(chǎn)品之間的互操作性，DARPA和IETF的入侵檢測(cè)工作組〔IDWG〕發(fā)起制訂了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語(yǔ)言格式等方面來(lái)標(biāo)準(zhǔn)IDS的標(biāo)準(zhǔn)。返回本章首頁(yè)5.4.1IETF/IDWG

IDWG定義了用于入侵檢測(cè)與響應(yīng)〔IDR〕系統(tǒng)之間或與需要交互的管理系統(tǒng)之間的信息共享所需要的數(shù)據(jù)格式和交換規(guī)程。IDWG提出了三項(xiàng)建議草案：入侵檢測(cè)消息交換格式〔IDMEF〕、入侵檢測(cè)交換協(xié)議〔IDXP〕以及隧道輪廓〔TunnelProfile〕。返回本章首頁(yè)5.4.2CIDFCIDF的工作集中表達(dá)在四個(gè)方面：IDS的體系結(jié)構(gòu)、通信機(jī)制、描述語(yǔ)言和應(yīng)用編程接口API。CIDF在IDES和NIDES的根底上提出了一個(gè)通用模型，將入侵檢測(cè)系統(tǒng)分為四個(gè)根本組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元和事件數(shù)據(jù)庫(kù)。其結(jié)構(gòu)如圖5-15所示。返回本章首頁(yè)返回本章首頁(yè)5.5入侵檢測(cè)系統(tǒng)例如為了直觀地理解入侵檢測(cè)的使用、配置等情況，這里我們以Snort為例，對(duì)構(gòu)建以Snort為根底的入侵檢測(cè)系統(tǒng)做概要介紹。Snort是一個(gè)開(kāi)放源代碼的免費(fèi)軟件，它基于libpcap的數(shù)據(jù)包嗅探器，并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)〔NIDS〕。通過(guò)在中小型網(wǎng)絡(luò)上部署Snort系統(tǒng)，可以在分析捕獲的數(shù)據(jù)包根底上，進(jìn)行入侵行為特征匹配工作，或從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，并完成入侵的預(yù)警或記錄。返回本章首頁(yè)5.5.1Snort的體系結(jié)構(gòu)Snort在結(jié)構(gòu)上可分為數(shù)據(jù)包捕獲和解碼子系統(tǒng)、檢測(cè)引擎，以及日志及報(bào)警子系統(tǒng)三個(gè)局部。1．?dāng)?shù)據(jù)包捕獲和解碼子系統(tǒng)該子系統(tǒng)的功能是捕獲共享網(wǎng)絡(luò)的傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議的不同層次將數(shù)據(jù)包解析。2．檢測(cè)引擎檢測(cè)引擎是NIDS實(shí)現(xiàn)的核心，準(zhǔn)確性和快速性是衡量其性能的重要指標(biāo)。返回本章首頁(yè)為了能夠快速準(zhǔn)確地進(jìn)行檢測(cè)和處理，Snort在檢測(cè)規(guī)那么方面做了較為成熟的設(shè)計(jì)。Snort將所有的攻擊方法以規(guī)那么的形式存放在規(guī)那么庫(kù)中，每一條規(guī)那么由規(guī)那么頭和規(guī)那么選項(xiàng)兩局部組成。規(guī)那么頭對(duì)應(yīng)于規(guī)那么樹(shù)結(jié)點(diǎn)RTN〔RuleTreeNode〕，包含動(dòng)作、協(xié)議、源〔目的〕地址和端口以及數(shù)據(jù)流向，這是所有規(guī)那么共有的局部。規(guī)那么選項(xiàng)對(duì)應(yīng)于規(guī)那么選項(xiàng)結(jié)點(diǎn)OTN〔OptionalTreeNode〕，包含報(bào)警信息〔msg〕、匹配內(nèi)容〔content〕等選項(xiàng)，這些內(nèi)容需要根據(jù)具體規(guī)那么的性質(zhì)確定。返回本章首頁(yè)檢測(cè)規(guī)那么除了包括上述的關(guān)于“要檢測(cè)什么〞，還應(yīng)該定義“檢測(cè)到了該做什么〞。Snort定義了三種處理方式：alert〔發(fā)送報(bào)警信息〕、log〔記錄該數(shù)據(jù)包〕和pass〔忽略該數(shù)據(jù)包〕，并定義為規(guī)那么的第一個(gè)匹配關(guān)鍵字。這樣設(shè)計(jì)的目的是為了在程序中可以組織整個(gè)規(guī)那么庫(kù)，即將所有的規(guī)那么按照處理方式組織成三個(gè)鏈表，以用于更快速準(zhǔn)確地進(jìn)行匹配。如圖5-17所示。返回本章首頁(yè)返回本章首頁(yè)當(dāng)Snort捕獲一個(gè)數(shù)據(jù)包時(shí)，首先分析該數(shù)據(jù)包使用哪個(gè)IP協(xié)議以決定將與某個(gè)規(guī)那么樹(shù)進(jìn)行匹配。然后與RTN結(jié)點(diǎn)依次進(jìn)行匹配，當(dāng)與一個(gè)頭結(jié)點(diǎn)相匹配時(shí)，向下與OTN結(jié)點(diǎn)進(jìn)行匹配。每個(gè)OTN結(jié)點(diǎn)包含一條規(guī)那么所對(duì)應(yīng)的全部選項(xiàng)，同時(shí)包含一組函數(shù)指針，用來(lái)實(shí)現(xiàn)對(duì)這些選項(xiàng)的匹配操作。當(dāng)數(shù)據(jù)包與某個(gè)OTN結(jié)點(diǎn)相匹配時(shí)，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包。具體流程見(jiàn)圖5-18所示。返回本章首頁(yè)返回本章首頁(yè)3．日志及報(bào)警子系統(tǒng)

一個(gè)好的NIDS，更應(yīng)該提供友好的輸出界面或發(fā)聲報(bào)警等。Snort是一個(gè)輕量級(jí)的NIDS，它的另外一個(gè)重要功能就是數(shù)據(jù)包記錄器，它主要采取用TCPDUMP的格式記錄信息、向syslog發(fā)送報(bào)警信息和以明文形式記錄報(bào)警信息三種方式。值得提出的是，Snort在網(wǎng)絡(luò)數(shù)據(jù)流量非常大時(shí)，可以將數(shù)據(jù)包信息壓縮從而實(shí)現(xiàn)快速報(bào)警。

返回本章首頁(yè)5.5.2安裝使用Snort

以為例，可執(zhí)行以下命令安裝：假設(shè)從的/dl/signatures/下載最新的規(guī)那么庫(kù)，那么右側(cè)命令可將規(guī)那么庫(kù)安裝到適當(dāng)位置：返回本章首頁(yè)5.5.3Snort與TCPDump的比較從外表上看，Snort與TCPDump是非常相似的，Snort與它的最大共同之處在于都是基于libpcap庫(kù)，且都支持BPF過(guò)濾機(jī)制