计算机网络安全第五章入侵检测技术.ppt

响应单元 事件分析器 事件数据库 事件产生器 输出：对事件的响应 输出：高级 中断事件 输出：事件的存储信息 输出：原始或 低级事件 输入：原始事件源 图5-15 CIDF体系结构图 5.5 入侵检测系统示例 为了直观地理解入侵检测的使用、配置等情况，这里我们以Snort为例，对构建以Snort为基础的入侵检测系统做概要介绍。 5.5.1 Snort简介 Snort 是一个开放源代码的免费软件，它基于libpcap 的数据包嗅探器，并可以作为一个轻量级的网络入侵检测系统（NIDS）。 Snort具有很多优势：代码短小、易于安装、便于配置。功能十分强大和丰富。集成了多种告警机制支持实时告警功能。具有非常好扩展能力。遵循GPL，可以免费使用。 5.5.2 Snort的体系结构 Snort在结构上可分为数据包捕获和解码子系统、检测引擎，以及日志及报警子系统三个部分。 1．数据包捕获和解码子系统 该子系统的功能是捕获共享网络的传输数据，并按照TCP/ IP协议的不同层次将数据包解析。 2．检测引擎 检测引擎是NIDS实现的核心，准确性和快 速性是衡量其性能的重要指标。 为了能够快速准确地进行检测和处理，Snort在检测规则方面做了较为成熟的设计。 Snort 将所有已知的攻击方法以规则的形式存放在规则库中，每一条规则由规则头和规则选项两部分组成。规则头对应于规则树结点RTN（Rule Tree Node），包含动作、协议、源（目的）地址和端口以及数据流向，这是所有规则共有的部分。规则选项对应于规则选项结点OTN（Optional Tree Node）， 包 含 报 警 信 息 （ msg）、 匹 配 内 容（content）等选项，这些内容需要根据具体规则的性质确定。 检测规则除了包括上述的关于“要检测什么”，还应该定义“检测到了该做什么”。Snort定义了三种处理方式： alert （发送报警信息）、log（记录该数据包）和pass（忽略该数据包），并定义为规则的第一个匹配关键字。 这样设计的目的是为了在程序中可以组织整个规则库，即将所有的规则按照处理方式组织成三个链表，以用于更快速准确地进行匹配。 如图5-17所示。 规则链表头 Src/Des IP Src/Des Port 规则链表选项 Content TCP Flags ICMP Code/Type Payload Size etc 规则链表选项 Content ······ RTN 规则链表头 Src/Des IP Src/Des Port 规则链表头 ······· 规则链表选项 Content TCP Flags ICMP Code/Type Payload Size etc RTN RTN OTN OTN OTN 图5-17 Snort规则链逻辑结构图 当Snort 捕获一个数据包时，首先分析该数据包使用哪个IP协议以决定将与某个规则树进行匹配。然后与RTN 结点依次进行匹配，当与一个头结点相匹配时，向下与OTN 结点进行匹配。每个OTN 结点包含一条规则所对应的全部选项，同时包含一组函数指针，用来实现对这些选项的匹配操作。当数据包与某个OTN 结点相匹配时，即判断此数据包为攻击数据包。 具体流程见图5-18所示。 开始 获取RuleList头 链表中有记录 根据协议类型选择规则链表头 顺序查找规则链表头直至找到匹配的项 找到匹配项 调用相应函数处理 根据Tag信息进行记录 结束 查找规则链表选项直至找到相匹配的项 找到匹配项 匹配剩余规则头 开始RuleListNode 下一个结点 N N Y Y Y N 图5-18 Snort规则匹配流程图 3．日志及报警子系统 一个好的NIDS，更应该提供友好的输出界面或发声报警等。Snort是一个轻量级的NIDS，它的另外一个重要功能就是数据包记录器，它主要采取用TCPDUMP的格式记录信息、向syslog发送报警信息和以明文形式记录报警信息三种方式。 值得提出的是，Snort 在网络数据流量非常大时，可以将数据包信息压缩从而实现快速报警。 5.5.3 Snort的安装与使用 1.Snort安装模式 Snort可简单安装为守护进程模式，也可安装为包括很多其他工具的完整的入侵检测系统。简单方式安装时，可以得到入侵数据的文本文件或二进制文件，然后用文本编辑器等工具进行查看。Snort若与其它工具一起安装，则可以支持更为复杂的操作。例如，将Snort数据发送给数据库系统，从而支持通过Web界面进行数据分析，以增强对Snort捕获数据的直观认识，避免耗费大量时间查晦涩的日志文件。 2．Snort的简单安装 Snort 的安装程序可以在 Snor