入侵检测系统规则分析及其创建研究的论文.docVIP

　　入侵检测系统规则分析及其创建研究的论文 【摘 要】文章通过实例分析ids规则提出应该如何完善规则以便降低ids误报率的方法，最后阐述ids规则的创建方法。 　　【关键词】ids规则 规则分析 规则创建 误报率 　　 　　1 ids规则实例的分析 　　当网站允许恶意代码被插入到一个动态创建的网页中时，跨站脚本攻击就发生了。我们来看一个ids规则：alert tcp any any -＞ any any (content:＜script＞;msg:isc cross site scripting attempt;) 　　规则选项content包含了“＜script＞”字符串，正好可以匹配跨站脚本攻击的特征，跨站脚本攻击会触发这个规则。可是许多其他的正常流量也会触发这个规则，ids根据该规则发出报警从而产生误报。为了避免这种情况的发生就需要修改这个规则使其仅仅在sg:isc cross site scripting attempt;) 　　现在，仅在来自sg:isc cross site scripting attempt; flol不是，因此攻击者可以通过将脚本标记修改为＜script＞或＜script＞避开这个规则，为了弥补这一点，应用nocase选项来指定不区分大小写。 　　alert tcp $external_ any -＞ $http_servers $http_ports(msg:isc cross site scripting attempt;floe_变量。http请求可以使用任何随机选取的高端端口，因此可以将目的端口部分设为any。最后我们希望该规则匹配数据流后报警，那么规则行为部分应设为alert，这样就形成了下面的规则头：alert tcp $external_ $http_ports-＞$home_ any，接下来指定规则选项。 　　2.2利用流量分析创建新规则 　　下面通过创建一个监控openssl slapper蠕虫的规则的例子进行说明。 　　将嗅探器放在一个防火墙后面，防火墙仅仅开放slapper使用的那个端口。slapper是利用了openssl中的一个安全漏洞，因此在防火墙中打开端口443/tcp后开始监控服务器，如果一段时间后，服务器发出一个像“no job control in this shell”这样的响应，就说明服务器遭到slapper攻击了。记录下遭到攻击的时间，然后使用grep对这段时间tcpdump日志记录的数据进行分析。从这个信息中找出一个特征内容赋给规则选项content表达式，并使该特征与ids规则库中其他规则content表达式内容不同，即是唯一的。这里可以使用content:”export.term=xterm; exec bash –i”来创建该特征。 　??接着开始写规则头。规则实现的功能应该可以对来自任何外部源、任何端口输入的，目的为e_servers 443， 　　加上报警消息和版本号后，规则选项为： 　　（msg:”slapper attack”;flo=xterm; exec bash –i”;nocase;priority:1;rev:1） 　　联接规则头和规则选项，完成规则如下： 　　alert tcp $external_ any-＞$home_servers 443（msg:”slapper attack”; flo=xterm; exec bash –i”; nocase; priority:1; rev:1） 　　至此就完成了监控slapper蠕虫的规则。显然，利用流量分析的方法创建新规则，其工作重点在于识别含有确切攻击的正确数据包，并从中找出区别于其他攻击的唯一特征。