浅析轻量级入侵检测系统Snort工作模式总体系统架构与规则分析.docVIP

浅析轻量级入侵检测系统Snort工作模式总体系统架构与规则分析 　　一、技术背景 　　 　　随着Internet的发展，给生活带来越来越多的便捷，Internet自身协议的开放性极大地方便了各种计算机联网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视以及在使用和管理上的无政府状态，逐渐使Internet自身的安全受到严重威胁，与它有关的安全事故屡有发生。 　　电子商务、网络银行、电子政府等等的网络应用都要求构建在安全的平台上，对网络安全的需求日益强烈。当今网络安全技术主要包括以下几个方面：加密与认证类技术、防火墙技术、防病毒技术、漏洞检测与入侵检测技术等。 　　一个优秀的网络安全系统应该是：在网络入口设置多重防火墙；使用漏洞检测技术对网络与主机系统进行配置；安装有效的入侵检测系统，实时捕捉入侵行为并组织还击；在广域网上使用加密与认证技术；建立起严格与规范的管理制度。 　　目前，企业为其网络安全的考虑主要是设置防火墙，防火墙只是一个静态的被动的防御系统，虽然为网络提供了较好的身份认证和访问控制技术，但防火墙并不能检测到所有的入侵行为。例如：1999年4月，通过Cold Fusion的一个bug，许多站点被黑。这些站点都有防火墙，并且只开放了80端口，然而Web服务器还是被攻击。 　　防火墙的防范只是在网络的边界上。大概有80%的攻击是来自于网络内部的攻击。处于网络边界的防火墙看不到内部发生的事件，只能看到内部网和Internet间的通信，对于发生在内部网上的入侵行为，防火墙是无能为力的。 　　入侵检测系统(IDS: Intrusion Detection System)专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。我们作一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 　　现在已经出现了很多商业的入侵检测系统，但是它们大多配置和操作比较复杂和难以掌握，而且比较昂贵，一般的用户无法承受，因此它们在市场上面临着强劲的对手：Snort。Snort是高效的、稳定的，并拥有一个不断成长的用户群体，最重要的是，Snort是开放源代码的。 　　Snort是一个强大的轻量级的网络入侵检测系统，它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，Snort具有很好的扩展性和可移植性。这个软件遵循通用公共许可证GPL，所以只要遵守GPL任何组织和个人都可以自由使用。 　　Snort具有实时流量分析和日志IP 网络数据包的能力，能够快速地检测网络攻击，及时地发出报警。Snort 的报警机制很丰富，例如：Syslog、用户指定的文件、一个Unix套接字，还有使用SAMBA协议向Windows客户程序发出WinPopup消息。利用XML插件，Snort可以使用SNML(简单网络标记语言，Simple Network Markup Language)把日志存放到一个文件或者适时报警。 　　Snort 能够进行协议分析、内容的搜索/匹配。现在Snort能够分析的协议有TCP、UDP和ICMP，将来，可能提供对ARP、ICRP、GRE、OSPF、RIP、IPX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端口扫描、CGI 攻击、SMB 探测、探测操作系统指纹特征的企图等等。 　　 　　二、Snort的工作模式 　　 　　Snort 是一个典型的轻量级入侵检测系统，首先可以运行在多种操作系统平台，例如Unix系列和Windows系列(需要 libpcap for Win32 的支持)，与很多商业产品相比，它对操作系统的依赖性比较低。它的分发源码文件压缩包大约只有 l00KB，在一台一般性能的计算机上编译安装时大约只需几分钟的时间，另外配置激活大约也只需要十几分钟的时间，安装以后即便不对它进行维护也能长时间稳定运行。其次用户可以根据自己的需要及时地在短时间内调整检测策略。就检测攻击的种类来说，其最新的规则包文件包括了对缓冲区溢出，端口扫描和CGI攻击等种类。 　　 　　三、Snort系统架构分析 　　 　　1．Snort总体结构 　　Snort系统总体上是由规则集及Snort可执行程序两大部分构成。 　　1）Snort的规则集。规则集是Snort的攻击特征库，每条规则是一条攻击标识，Snort通过它来识别攻击行为。 　　2）Snort可执行程序。可执行程序由4个重要的子系统构成： 　　数据包捕获和解码子系统、检测引擎、日志/报警子系统、预处理器。