池水明 孫斌

金華利誠信息技術(shù)有限公司 浙江 321000

0 前言

監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)包安全性的網(wǎng)絡(luò)監(jiān)聽技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域是一把雙刃劍，除了提供黑客截獲網(wǎng)絡(luò)數(shù)據(jù)的功能外，還可以幫助網(wǎng)管人員監(jiān)視網(wǎng)絡(luò)狀態(tài)和數(shù)據(jù)流動、分析網(wǎng)絡(luò)的流量以及排除網(wǎng)絡(luò)故障。邊界數(shù)據(jù)包的安全一般而言，是利用網(wǎng)絡(luò)監(jiān)聽技術(shù)對從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的所有數(shù)據(jù)包進(jìn)行安全性的檢查，匹配已建立的惡意數(shù)據(jù)包規(guī)則庫，分析數(shù)據(jù)包的異常情況，對特征匹配和有異常的數(shù)據(jù)包進(jìn)行特殊處理，以杜絕惡意數(shù)據(jù)包的入侵，保證內(nèi)網(wǎng)的安全。

網(wǎng)絡(luò)入侵檢測系統(tǒng)是提供對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)控，在發(fā)現(xiàn)可疑傳輸時即時發(fā)出警報或采取實際措施解決的設(shè)備。網(wǎng)管人員可以利用入侵檢測系統(tǒng)主動、實時的發(fā)現(xiàn)、防范網(wǎng)絡(luò)上各種攻擊行為，維系網(wǎng)絡(luò)的正常使用。

在入侵檢測系統(tǒng)中，根據(jù)分析方法可分為誤用檢測和異常檢測，Snort屬于基于網(wǎng)絡(luò)的誤用IDS。它是基于規(guī)則的網(wǎng)絡(luò)搜索機制,對數(shù)據(jù)包進(jìn)行基于內(nèi)容的模式匹配，以發(fā)現(xiàn)入侵和攻擊行為。目前Snort能夠檢測出諸如緩沖區(qū)溢出、端口掃描、CGI攻擊、拒絕服務(wù)攻擊等多種常見攻擊類型。

1 Snort

Snort是一款功能強大的輕量級IDS自由軟件，提供實時數(shù)據(jù)流量分析和檢測IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對數(shù)據(jù)包內(nèi)容進(jìn)行搜索/匹配，還可以檢測各種不同的攻擊方式，對攻擊進(jìn)行實時報警等強大功能。此外，Snort可以使用簡單、可擴展的規(guī)則描述語言進(jìn)行軟件的移植和功能的擴展。

從Snort官網(wǎng)上可以進(jìn)行規(guī)則庫的升級或更改，也可以根據(jù)實際網(wǎng)絡(luò)環(huán)境自定義檢測規(guī)則，通過測試成功后，加入到規(guī)則庫中使用。當(dāng)出現(xiàn)新的入侵行為或蠕蟲病毒時，Snort官網(wǎng)沒有及時提供新規(guī)則，這時管理員就可以自行提取新入侵行為或蠕蟲病毒的特征碼，建立自己的新規(guī)則加入本地規(guī)則庫。

Snort的工作原理是對已知各類攻擊的特征模式進(jìn)行不同方式的匹配，包括利用將網(wǎng)卡設(shè)置在混雜模式下的嗅探器被動地進(jìn)行協(xié)議分析，以及對數(shù)據(jù)報文進(jìn)行解釋分析其特征。Snort是基于規(guī)則檢測的入侵檢測工具，它針對每一種攻擊行為，都提取出它的特征值并利用規(guī)則描述語言按照規(guī)范寫成檢測規(guī)則，從而形成一個規(guī)則庫。另外還將捕獲的數(shù)據(jù)包按照一定的算法在規(guī)則庫中進(jìn)行逐一匹配，若匹配成功，則認(rèn)為該數(shù)據(jù)包具有與之匹配規(guī)則的攻擊行為，應(yīng)對其進(jìn)行特殊處理。

整個Snort系統(tǒng)架構(gòu)的著眼于性能、簡潔和靈活性3個方面。Snort系統(tǒng)結(jié)構(gòu)由以下模塊構(gòu)成：數(shù)據(jù)包解析器、預(yù)處理器、檢測引擎、日志/報警模塊、輸出模塊。Snort的體系結(jié)構(gòu)如圖1所示。

圖1 Snort體系結(jié)構(gòu)

2 網(wǎng)絡(luò)部署

對于IDS的部署可以根據(jù)內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和實際需要而定?？梢愿鶕?jù)需要監(jiān)控的具體需求在一個或多個位置部署，根據(jù)攻擊的來源(內(nèi)部入侵、外部入侵、或者兩個都要檢測)和所要監(jiān)控的網(wǎng)段等多方面因素來決定IDS放置的位置。為了低成本而又高效的對進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測，并利用Snort入侵檢測系統(tǒng)作為邊界數(shù)據(jù)包安全性檢測工具，需要將Snort部署在網(wǎng)絡(luò)的邊界位置。

結(jié)合我公司的實際網(wǎng)絡(luò)情況，將Snort IDS部署在網(wǎng)通線路的邊界位置，以檢測所有來自網(wǎng)通主干網(wǎng)絡(luò)的數(shù)據(jù)包安全性，達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)免受外來惡意數(shù)據(jù)包的攻擊。如圖2是我公司網(wǎng)通線路下的含有DMZ區(qū)域的簡單局域拓?fù)浣Y(jié)構(gòu)，為了實現(xiàn)對所有進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢查，而無論數(shù)據(jù)包是訪問DMZ區(qū)域的服務(wù)器，或者是企業(yè)內(nèi)部網(wǎng)絡(luò)，可以將Snort IDS部署在防火墻內(nèi)部的核心交換機上，通過核心交換機的鏡像功能將DMZ端口和內(nèi)部網(wǎng)絡(luò)端口的數(shù)據(jù)鏡像給Snort IDS所在的端口，這樣即可實現(xiàn)對來自網(wǎng)絡(luò)線路的數(shù)據(jù)包的監(jiān)控。

圖2 Snort IDS邊界網(wǎng)絡(luò)部署

另外對于交換網(wǎng)絡(luò)需要監(jiān)控一些特殊的網(wǎng)段時，還可以將Snort IDS部署在該網(wǎng)段所在的網(wǎng)段中心交換機的某個端口上，通過交換機的鏡像功能將需要監(jiān)控的網(wǎng)段鏡像到Snort監(jiān)控的端口，可以實現(xiàn)對內(nèi)部特定網(wǎng)段的監(jiān)控，以保證重要網(wǎng)段的安全運行。當(dāng)然，也可以接入特定的部門中心交換機，以對重要的部門網(wǎng)段進(jìn)行監(jiān)控。

3 數(shù)據(jù)包檢測方案

數(shù)據(jù)包安全性的檢測歸根到底就是對現(xiàn)已知的攻擊行為、蠕蟲病毒、木馬等網(wǎng)絡(luò)入侵行為的特征進(jìn)行提取，按照特定的IDS描述語言，建立基于本地IDS的特征規(guī)則庫，再對進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行給定算法進(jìn)行匹配，當(dāng)有進(jìn)入數(shù)據(jù)包滿足規(guī)則庫中的某一特征時，需要對其進(jìn)行特殊處理，如刪除、發(fā)出警告等。

3.1 規(guī)則庫結(jié)構(gòu)

構(gòu)建一個符合Snort IDS 應(yīng)用、包含當(dāng)前公開的所有攻擊行為、滿足本地實際用途的規(guī)則庫是一項艱巨的任務(wù)。當(dāng)前國際上公開的網(wǎng)絡(luò)入侵行為以 CVE列表中列出的漏洞在安全領(lǐng)域普遍認(rèn)為是最為全面的，在CVE漏洞庫的基礎(chǔ)上，建立IDS規(guī)則庫，需要對CVE漏洞特征、體系結(jié)構(gòu)等有一定的了解，建立以 CVE標(biāo)準(zhǔn)為系統(tǒng)規(guī)則庫的漏洞數(shù)據(jù)源，采用Snort 的規(guī)則描述語言對漏洞規(guī)則加以描述，構(gòu)建具有CVE 特征的Snort入侵檢測規(guī)則庫。

基于CVE 的Snort IDS規(guī)則庫可以采用模塊化的規(guī)則庫結(jié)構(gòu)加以構(gòu)建。通過對 CVE 列表中的漏洞按照系統(tǒng)分類，對其級別加以劃分，再根據(jù)不同的 CVE 漏洞類別建立子規(guī)則庫模塊。本地對邊界網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)控，需要對網(wǎng)絡(luò)上流行的漏洞進(jìn)行分類以建立各類子模塊的規(guī)則庫，子規(guī)則庫將不同類型的 CVE漏洞特征編寫成規(guī)則放入到各個子模塊中。分類的規(guī)則庫如：Denial of service、Shellcode detect、Misc activity、Web-IIS、Web-cgi 等，對子規(guī)則庫的分類越詳細(xì)，系統(tǒng)對惡意數(shù)據(jù)的處理能力越強。對規(guī)則庫的分類不僅可以分類CVE漏洞的類別，方便研究及規(guī)則庫的建立管理，同時大大減少了數(shù)據(jù)包在規(guī)則庫中的匹配時間。

結(jié)合企業(yè)實際運營情況，對部署在邊界的Snort IDS進(jìn)行規(guī)則庫建立，首先對規(guī)則庫進(jìn)行分類，分成的若干子特征規(guī)則庫如圖3所示。

圖3 規(guī)則庫結(jié)構(gòu)

3.2 Snort規(guī)則語法

Snort 的工作過程就是通過解析規(guī)則集形成規(guī)則樹，再利用 libpcap 對采集到的數(shù)據(jù)進(jìn)行模式匹配，若匹配成功，則認(rèn)為是有攻擊行為發(fā)生，做出相應(yīng)的處理動作。因此，Snort規(guī)則是它的核心，為了實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的安全性檢測，必須擁有一個強大的入侵特征規(guī)則庫。規(guī)則庫中的每條規(guī)則都需要嚴(yán)格按照Snort 規(guī)則語法進(jìn)行編輯、測試方可投入使用。

Snort使用一種簡單的、輕量級的規(guī)則描述語言，這種語言靈活而強大。在開發(fā)snort規(guī)則時要遵循在大多數(shù)Snort 規(guī)則都寫在一個單行上，或者在多行之間的行尾用“/”分隔。Snort 的每條規(guī)則由兩部分組成，即規(guī)則頭和規(guī)則選項，其形式是“規(guī)則頭(選項)”模式。

規(guī)則頭包含規(guī)則動作、協(xié)議、源IP 地址、目的IP 地址、網(wǎng)絡(luò)掩碼、源端口、目的端口、方向操作符、CVE ID 號等信息。規(guī)則頭定義了數(shù)據(jù)包“來自哪里，去哪里，去做什么”以及發(fā)現(xiàn)滿足這個規(guī)則所有條件的數(shù)據(jù)包時Snort應(yīng)該采取什么措施等信息都可以從規(guī)則頭中得知。

規(guī)則選項包括報警信息以及用于確定是否觸發(fā)規(guī)則響應(yīng)動作而需要檢查的數(shù)據(jù)包區(qū)域位置等諸多信息。規(guī)則選項中可能有一個或多個選項，不同選項之間使用“；”分隔開，它們之間為邏輯“與”的關(guān)系；選項由關(guān)鍵字和參數(shù)組成，每個關(guān)鍵字和它的參數(shù)間使用“:”加以分隔。

Snort規(guī)則功能強大靈活，得益于它的選項關(guān)鍵字內(nèi)容很豐富。例如：

Msg ——在警報和記錄的數(shù)據(jù)中打印消息；

Flags ——檢查tcp flags的值；

Content ——在數(shù)據(jù)包的有效荷載中搜索特定的模式串；

Offset ——content選項的修飾符，設(shè)定開始搜索的位置。

3.3 規(guī)則庫建立

作為IDS系統(tǒng)中的出色者——Snort自身也提供了強大的規(guī)則庫，注冊用戶可以從 snort的官方網(wǎng)站上免費下載最新的規(guī)則庫。但往往企業(yè)從業(yè)務(wù)需求、安全等多方面考慮，保密內(nèi)部網(wǎng)絡(luò)使用的一些安全防護(hù)設(shè)備和采取的策略措施等一些機密信息，參考Snort官方的規(guī)則庫，分析CVE 列表中漏洞特征，自行構(gòu)建內(nèi)部網(wǎng)絡(luò)的規(guī)則庫。

在設(shè)計檢測數(shù)據(jù)包安全性的Snort 規(guī)則庫方案時，不僅要盡可能減小檢測的范圍，還要考慮快速地結(jié)束一個無效的檢測過程（即證明該數(shù)據(jù)包是安全的，在特征庫中沒有找到匹配項）。那么為了實現(xiàn)范圍小、時間短的目標(biāo)，就需要從眾多的規(guī)則選項參數(shù)中選出最適合的、最容易達(dá)到匹配目的的參數(shù)先進(jìn)行匹配。

例如TCP報文，就TCP數(shù)據(jù)包本身來說，它的特征就是源端口和目的端口。對于一般的連接，可以從保留端口和非保留端口來判斷通信雙方是服務(wù)器端和客戶端，因此保留端口可以作為獨特的參數(shù)使用在Snort 的規(guī)則選項中。Snort可以檢測出保留端口的位置，根據(jù)保留端口是源或者目的端口，判斷數(shù)據(jù)包在服務(wù)器和客戶端之間的流向。對 TCP 規(guī)則定義可以以端口、標(biāo)志位、協(xié)議字段為特征，或者以某個數(shù)據(jù)段為字符串特征。

如果對TCP 9876端口發(fā)送“GetInfo | 5b |”觸發(fā)事件，那么就定義規(guī)則為“alert tcp ＄ EXTERNAL_NET any - ＞＄ HOME_NET 9876 (msg:“BACKDOOR tools getinfo”; flow: to _ server, established; content:“GetInfo | 5b | ”; )”。該規(guī)則對端口和字符特征同時進(jìn)行了匹配，但如果將端口修改了，可能改規(guī)則就無效了。

因此，在定義規(guī)則時，將漏洞的特征進(jìn)行組合使用，才會更加有效的提高IDS的工作效率。利用Snort規(guī)則檢測數(shù)據(jù)包的安全性，同時也通過嗅探獲取數(shù)據(jù)包來分析提取特征來創(chuàng)建規(guī)則。當(dāng)出現(xiàn)新的漏洞或攻擊時，通常都是采用流量分析來創(chuàng)建新規(guī)則。對于任何一個新的攻擊，首先要知道其數(shù)據(jù)包的類型、數(shù)據(jù)流流向等基本信息用于編寫規(guī)則頭部，再從安全報告或者數(shù)據(jù)抓包中找到威脅數(shù)據(jù)包的特征，以便更新規(guī)則庫，阻止攻擊行為的再次發(fā)生影響內(nèi)部網(wǎng)絡(luò)的正常運營。

3.4 環(huán)境測試

在內(nèi)網(wǎng)邊界的核心交換機上，通過鏡像將進(jìn)出DMZ和內(nèi)網(wǎng)的所有數(shù)據(jù)包鏡像給Snort IDS，以檢測數(shù)據(jù)包安全。這里將Snort IDS 安裝在Centos 5.5 環(huán)境下，結(jié)合Apache作為Web服務(wù)器、Mysql 數(shù)據(jù)庫以及第三方分析管理工具BASE(Basic Analysis and Security Engine)和Barnyard 建立基于邊界的 IDS snort檢測數(shù)據(jù)包安全性的實施方案的環(huán)境平臺。借助SVC 漏洞庫提取各種攻擊行為的特征，參考Snort本身的規(guī)則庫和Snort 規(guī)則描述語言進(jìn)行規(guī)則數(shù)據(jù)庫建立。該Snort IDS投入使用后，對進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)包的安全性檢測的結(jié)果進(jìn)行報警或作其他處理。

4 結(jié)束語

Snort的擴展性和可移植性，可以很方便用戶定身量做自己的規(guī)則庫。隨著現(xiàn)在網(wǎng)絡(luò)攻擊的日益頻繁，來自網(wǎng)絡(luò)的數(shù)據(jù)包安全性日益讓人擔(dān)憂，Snort 的免費、跨平臺等特性，使得不管是企業(yè)還是個人，都有機會搭建自己的IDS系統(tǒng)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的檢測、學(xué)習(xí)、研究等。利用國際公開的CVE漏洞數(shù)據(jù)庫和開源的Snort系統(tǒng)，搭建網(wǎng)絡(luò)邊界的安全檢測系統(tǒng)無論是研究人員還是企業(yè)都是樂見其成的事。同時，目前軟件漏洞日漸頻繁，網(wǎng)絡(luò)攻擊日新月異，企業(yè)在面對這些日益嚴(yán)重的網(wǎng)絡(luò)威脅時，必須不斷及時添加新規(guī)則以有效的檢測攻擊行為，提高Snort的檢測能力，阻止惡意數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)免遭破壞。

[1]孫立媛,朱亦寧,孫悅軒.Snort規(guī)則的分析與實現(xiàn)[J].計算機安全.2009.

[2]趙蘇驊.Snort規(guī)則的分析與制定[J].四川教育學(xué)院學(xué)報.2008.

[3]黃昆.Snort規(guī)則語法在基于 CVE 特征的入侵檢測系統(tǒng)中的應(yīng)用[J].應(yīng)用科技.2004.