張治國　秦國亮　駱德全

摘要：隨著互聯(lián)網(wǎng)的不斷發(fā)展，入侵檢測系統(tǒng)已變成計算機網(wǎng)絡(luò)安全防范體系的重要組成部分之一。本文是在介紹了入侵檢測系統(tǒng)的基本原理的基礎(chǔ)上，從體系結(jié)構(gòu)、工作原理兩個方面分析了Snort入侵檢測系統(tǒng)，并介紹了怎樣根據(jù)自己的網(wǎng)絡(luò)環(huán)境，編寫規(guī)則來保護網(wǎng)絡(luò)的安全。

關(guān)鍵詞：入侵檢測系統(tǒng)；Snort；編寫規(guī)則

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)18-20ppp-0c

Research of Snort-based Intrusion Detection System

ZHANG Zhi-guo, QIN Guo-liang, LUO De-quan

(Computer school, Sichuan University, Chengdu 610065, China)

Abstract: With the development of Internet, IDS has become one important part of network security system. This paper analyzes IDS Snort in structure and working principle aspects, which based on introduction of basic principle of IDS, then we introduce how to create Snort rule to protect our network according to our network environment.

Key words: IDS; Snort; Writing rule

1 引言

互聯(lián)網(wǎng)的不斷發(fā)展，網(wǎng)上不斷增多的服務(wù)種類，使得網(wǎng)絡(luò)的安全問題變得越來越突出。要保證網(wǎng)絡(luò)的安全，首先要防范對網(wǎng)絡(luò)的攻擊行為，通常采用防火墻技術(shù)。但是，防火墻存在很多的缺陷。因此，通過使用入侵檢測系統(tǒng)來加強網(wǎng)絡(luò)的安全已變得很重要了。而Snort是一種開放的源代碼的入侵檢測工具，這使得基于Snort的入侵檢測系統(tǒng)應(yīng)用得很廣泛。本文就是在這些的基礎(chǔ)上，對基于Snort入侵檢測系統(tǒng)進行了分析和研究。

2 入侵檢測系統(tǒng)

入侵檢測(Intrusion Detection，ID)，是在有內(nèi)部非授權(quán)行為或外部攻擊行為時，及時發(fā)現(xiàn)并進行記錄和報告，以便有可能采取進一步措施以保護網(wǎng)絡(luò)的技術(shù)，把入侵檢測的軟件和硬件的組合便構(gòu)成了入侵檢測系統(tǒng)(Intrusion Detection System, IDS)。入侵檢測系統(tǒng)主要完成以下功能:監(jiān)視、分析用戶及系統(tǒng)活動；系統(tǒng)構(gòu)造和弱點的審計；識別反映已知攻擊的活動模式并向相關(guān)人士報警；異常行為模式的統(tǒng)計分析；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；操作系統(tǒng)的審計跟蹤管理，并為識別用戶違反安全策略的制定提供指南。其通用的模型如圖1。

圖1入侵檢測系統(tǒng)的通用模型

3 Snort入侵檢測系統(tǒng)的簡介

在市面上有很多的入侵檢測系統(tǒng)，比如有ISS公司的Real Secure入侵檢測系統(tǒng)、NFR公司的NID入侵檢測系統(tǒng)、NAI公司的Cyber Cop Monitor入侵檢測系統(tǒng)、Cisco公司的Cisco Secure IDS入侵檢測系統(tǒng)等。但是這些商業(yè)軟件許多都是昂貴而龐大的系統(tǒng)，而基于Snort的入侵檢測系統(tǒng)具有便于配置、功能強大、使用靈活等諸多優(yōu)點，這使得基于Snort的入侵檢測系統(tǒng)使用得非常廣泛，在業(yè)內(nèi)被喻為“瑞士軍刀”。在這里我們主要介紹一下基于Snort的入侵檢測系統(tǒng)工作原理以及在網(wǎng)絡(luò)中應(yīng)用。

Snort是一個強大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng). 它是一個跨平臺、開放源代碼(Open Source)的免費軟件，它運行在Libpcap庫函數(shù)基礎(chǔ)上，并支持多種系統(tǒng)軟硬件平臺，如RedHat Linux、Debian Linux、HP-UX、NetBSD以及MacOSX等。不僅能夠進行協(xié)議分析、內(nèi)容檢索、內(nèi)容匹配，而且能夠用于檢測緩沖區(qū)溢出、隱蔽端口掃描、CGI攻擊、OS指紋識別等大量的攻擊和探測，Snort使用基于規(guī)則的匹配模式來檢測這些攻擊，并提供了模塊化的檢測引擎，從而使它能夠檢測出各種不同的攻擊方式，并對攻擊進行實時報警。

4 Snort的體系結(jié)構(gòu)

Snort使用一種易于擴展的模塊化體系結(jié)構(gòu)，開發(fā)人員可以加入自己編寫的模塊來擴展Snort的功能。Snort的體系結(jié)構(gòu)由四部分組成:數(shù)據(jù)包解碼器（嗅探器）、預(yù)處理器、檢測引擎、日志記錄與告警系統(tǒng)，其體系結(jié)構(gòu)如圖2所示，首先Snort通過數(shù)據(jù)解碼器從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，然后交由預(yù)處理器進行處理，然后從檢測引擎的所有規(guī)則鏈中進行匹配，若匹配成功，則說明檢測到可疑數(shù)據(jù)，通過告警日志子模塊進行記錄，告警信息也可存入SQL數(shù)據(jù)庫中。

圖2Snort的體系結(jié)構(gòu)

5 Snort的工作流程

基于規(guī)則的匹配的是Snort的核心檢測機制，其工作流程為：Snort首先讀取規(guī)則文件，從規(guī)則文件中讀取每一條規(guī)則并對其進行解析，用對應(yīng)的語法表示出來，然后在內(nèi)存中建立規(guī)則語法樹,并初始化和解析規(guī)則樹，分別生成TCP 、UDP 、ICM和IP四個不同的規(guī)則樹，每一個規(guī)則樹包含獨立的三維鏈表：RTN(規(guī)則頭)，OTN(規(guī)則選項)和指向匹配函數(shù)的指針。當Snort捕獲一個數(shù)據(jù)包時，首先分析該數(shù)據(jù)包使用哪個IP協(xié)議以決定將與某個規(guī)則樹進行匹配；然后與RTN結(jié)點依次進行匹配，當與一個頭結(jié)點相匹配時，向下與該頭結(jié)點的OT N結(jié)點進行匹配。每個OT N結(jié)點包含一條規(guī)則所對應(yīng)的全部選項，同時包含一組函數(shù)指針，用來實現(xiàn)對這些選項的匹配操作。當數(shù)據(jù)包與某個OT N結(jié)點相匹配時，即判斷此數(shù)據(jù)包為攻擊數(shù)據(jù)包，而規(guī)則匹配流程圖如圖3。

圖3Snort的工作流程

6 Snort的應(yīng)用實例

Snort是一種開放源代碼的網(wǎng)絡(luò)入侵檢測系統(tǒng)，因此我們可以根據(jù)網(wǎng)絡(luò)的變化，編寫新的規(guī)則來實現(xiàn)對網(wǎng)絡(luò)的保護。

在命令行中輸人啟動Snort的命令C:snortin>snort-dev-1 c:snortlog -h 222.18.28.53/24 -c c:snortetcsnort.conf，這個命令以網(wǎng)絡(luò)人侵檢測系統(tǒng)的工作模式啟動Snort，并捕獲網(wǎng)絡(luò)的所有數(shù)據(jù)包，存放到Mysql數(shù)據(jù)庫中。

然后，我們就可以根據(jù)網(wǎng)絡(luò)的實際情況來編寫規(guī)則。例如我們想監(jiān)控某種特定的Web內(nèi)容，就可以按下面的步驟來編寫一條規(guī)則以實現(xiàn)對網(wǎng)絡(luò)的監(jiān)控。

首先，因為HTTP流量是建立在TCP之上的，所以我們需要為該規(guī)則建立它使用的TCP協(xié)議。

其次，根據(jù)你想監(jiān)控的目標地址來建立規(guī)則。比如，你想監(jiān)控你指定的任何外部地址和它的整個內(nèi)部網(wǎng)絡(luò)，這樣你需要在規(guī)則頭中使用﹩EXTERNAL_NET變量和﹩HOME_NET變量；同時你還想讓該規(guī)則應(yīng)用到Web服務(wù)器，你還需要用到﹩HTTP_PORTS來標志與HTTP連接相關(guān)的段端口。這樣，形成的規(guī)則頭為

Alert tcp ﹩EXTERNAL_NET﹩HTTP_PORTS ->﹩HOME_NET any

其中，﹩HOME_NET any是指HTTP請求可以選擇目標地址中的任意的端口。

然后，就是編寫規(guī)則選項來指定你想要監(jiān)控的內(nèi)容。假如你想對上面地址中的某個網(wǎng)站的所有的訪問進行監(jiān)控，你就可以把規(guī)則選項設(shè)置如下：

(msg:＂POSSIBLE B-HAT packetstrom content＂;content:＂packetstorm＂;nocase; flow: to_client; priority:3; rev:1; sid:1000001;)

該規(guī)則就是對任何包含“packetstorm”的內(nèi)容報警。該規(guī)則分配了的優(yōu)先級為3，將它設(shè)置為當TCP會話中出現(xiàn)ACK數(shù)據(jù)包時觸發(fā)。

通過以上的例子，我們可以看出，只要我們只要懂得了Snort的規(guī)則的基本原理后，我們就可以根據(jù)我們所在的網(wǎng)絡(luò)的實際情況，編寫規(guī)則來保護網(wǎng)絡(luò)的安全。

7 結(jié)束語

Snort作為一個簡潔、高性能、易于擴展的網(wǎng)絡(luò)入侵檢測系統(tǒng)，這使得它廣泛應(yīng)用到中小企業(yè)的網(wǎng)絡(luò)防御系統(tǒng)中。而今由網(wǎng)絡(luò)入侵檢測系統(tǒng)、防火墻、病毒防護軟件等一起構(gòu)成多層次的、全面的網(wǎng)絡(luò)安全防御體系受到越來越多的企業(yè)的歡迎，因此我們可以預(yù)言基于Snort的入侵檢測系統(tǒng)將會被應(yīng)用得越來越廣泛。

參考文獻：

[1] 宋勁松.網(wǎng)絡(luò)入侵檢測——分析、發(fā)現(xiàn)和報告攻擊[M].北京:國防工業(yè)出版社,2004:30.

[2] 唐正軍,李建華.入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2004:7-8.

[3] 楊延玉,張同光.入侵檢測系統(tǒng)Snort的研究和應(yīng)用[J].平原大學(xué)學(xué)報,2007(4):105-106.

[4] 唐正軍.入侵檢測技術(shù)導(dǎo)論[M].北京:機械工業(yè)出版社,2004:16-17.

收稿日期：2008-04-05

作者簡介：張治國（1983-），男， 重慶萬州人，碩士研究生，研究方向：網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全；秦國亮，男，河南安陽人，碩士研究生；駱德全，男，四川攀枝花人，碩士研究生。