朱勇

摘 要：隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題日益突出，入侵檢測成為網(wǎng)絡(luò)安全中的核心技術(shù)，Snort系統(tǒng)由于開放源代碼具有其自身巨大的優(yōu)勢。本文介紹了網(wǎng)絡(luò)入侵檢測技術(shù)，具體研究了Snort系統(tǒng)的工作原理和入侵檢測流程等，最后對系統(tǒng)進(jìn)行了一系列實(shí)驗(yàn)，實(shí)驗(yàn)顯示的實(shí)驗(yàn)數(shù)據(jù)和日志情況。

關(guān)鍵詞：入侵檢測；snort技術(shù)；檢測性能

1 引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜化，過去保護(hù)網(wǎng)絡(luò)安全所采用的防火墻只是被動防御的網(wǎng)絡(luò)安全工具，已不能適應(yīng)如今復(fù)雜多變的網(wǎng)絡(luò)安全問題。入侵檢測是網(wǎng)絡(luò)安全領(lǐng)域中一個較新的課題，檢測引擎作為其核心模塊，檢測速度將直接影響系統(tǒng)的效率，模式匹配是入侵檢測系統(tǒng)的重要檢測方法。入侵檢測技術(shù)是近年來飛速發(fā)展起來的一種集動態(tài)的集監(jiān)控、預(yù)防和抵御系統(tǒng)入侵為一體的新型安全機(jī)制。作為傳統(tǒng)安全機(jī)制的補(bǔ)充，入侵檢測技術(shù)能夠提出預(yù)警并實(shí)行相應(yīng)反應(yīng)動作。入侵檢測是對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意行為進(jìn)行識別和相應(yīng)處理的過程，具有智能監(jiān)控、實(shí)時探測、動態(tài)響應(yīng)、易于配置等特點(diǎn)。

在我國入侵檢測技術(shù)的研究起步較晚，還不夠成熟和完善，需要投入較多的精力進(jìn)行探索研究，特別是基于模式匹配也就是基于規(guī)則的入侵檢測，這對抑制黑客攻擊和網(wǎng)絡(luò)病毒的傳播，提高網(wǎng)絡(luò)安全具有重要意義。

2 網(wǎng)絡(luò)入侵檢測技術(shù)概述

入侵檢測系統(tǒng)（IDS，Intrusion Detection System）可以識別計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)，或信息系統(tǒng)的非法攻擊，主要包括檢測非法入侵者的惡意攻擊，或是合法用戶的越權(quán)行為。入侵檢測系統(tǒng)在結(jié)構(gòu)上基本一致，都由數(shù)據(jù)采集、數(shù)據(jù)分析及用戶界面等組成，不同的只是在分析采集方法和數(shù)據(jù)類型等方面。

2.1 入侵檢測系統(tǒng)分類

（1）基于主機(jī)的入侵檢測系統(tǒng)。基于主機(jī)IDS部署在單主機(jī)上，利用審計(jì)記錄，通過操作系統(tǒng)的日志記錄，主機(jī)自動檢測入侵行為。它不對網(wǎng)絡(luò)數(shù)據(jù)包或掃描配置進(jìn)行檢查，而是整理系統(tǒng)日志。

（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的IDS主要用于防御外部入侵攻擊。它通過監(jiān)控出入網(wǎng)絡(luò)的通信數(shù)據(jù)流，按照一定規(guī)則分析數(shù)據(jù)流的內(nèi)容，從而發(fā)現(xiàn)協(xié)議攻擊、運(yùn)行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。

為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò)IDS必須位于能夠看到所有數(shù)據(jù)包的位置，這包括：環(huán)網(wǎng)內(nèi)部、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。

2.2 入侵檢測技術(shù)

入侵檢測系統(tǒng)中核心的問題是數(shù)據(jù)分析技術(shù)，包括對原始數(shù)據(jù)的同步、整理、組織、分類以及各種類型的細(xì)致分析，提取其中所包含的系統(tǒng)活動特征或模式，用于判斷行為是否正常。采用何種數(shù)據(jù)分析技術(shù)，將直接決定系統(tǒng)的檢測能力和效果。 數(shù)據(jù)分析技術(shù)分為：誤用檢測和異常檢測。誤用檢測搜索審計(jì)事件數(shù)據(jù)，查看是否存在預(yù)先定義的誤用模式，典型的有特征模式匹配技術(shù)、協(xié)議分析技術(shù)和狀態(tài)協(xié)議分析技術(shù)等；異常檢測提取正常模式審計(jì)數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)是否存在與之相違背的異常模式，典型的有統(tǒng)計(jì)分析技術(shù)、數(shù)據(jù)重組技術(shù)、行為分析技術(shù)。此外還提出了一些新技術(shù)，如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘等。

3 Snort 網(wǎng)絡(luò)入侵檢測系統(tǒng)

3.1 Snort工作原理

Snort是一個功能強(qiáng)大的網(wǎng)絡(luò)入侵檢測系統(tǒng)，其最大的優(yōu)勢是開放源代碼。它利用Libpcap網(wǎng)絡(luò)數(shù)據(jù)包中捕獲并分析函數(shù)包，監(jiān)聽有無可疑的網(wǎng)絡(luò)活動；其數(shù)據(jù)分析技術(shù)采用基于誤用檢測技術(shù)，對數(shù)據(jù)進(jìn)行最直接的搜索匹配。Snort的工作模式包括：數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。

3.2 Snort系統(tǒng)的體系結(jié)構(gòu)

⑴Sniffer。Sniffer數(shù)據(jù)包嗅探器的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并解析數(shù)據(jù)。Snort利用Libpcap庫函數(shù)捕獲數(shù)據(jù)，Libpcap能夠從鏈路層直接獲取接口函數(shù)提供給應(yīng)用程序，并且能通過設(shè)置數(shù)據(jù)包的過濾器指定所需捕獲的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機(jī)制是整個NIDS實(shí)現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證系統(tǒng)高速運(yùn)行和較低的丟包率，這對軟件的效率和硬件的處理能力都有關(guān)系。

⑵預(yù)處理器。預(yù)處理程序可以很容易擴(kuò)展Snort的功能，用戶和程序員能夠?qū)⒛K化的插件方便地融入Snort之中。預(yù)處理程序代碼在探測引擎被調(diào)用之前運(yùn)行，但在數(shù)據(jù)包譯碼之后。通過這個機(jī)制，數(shù)據(jù)包可以通過額外的方法被修改或分析。

⑶檢測引擎。Snort的核心部分就是檢測引擎，預(yù)處理器傳送捕獲的數(shù)據(jù)包后Snort根據(jù)規(guī)則庫對它們進(jìn)行匹配檢測。匹配性能的好壞取決于準(zhǔn)確性和速度。網(wǎng)絡(luò)入侵檢測系統(tǒng)屬于被動防御，不能主動發(fā)送數(shù)據(jù)包探測，準(zhǔn)確性主要是提取入侵特征碼的精確性和編寫規(guī)則的簡潔性，只有將特征碼歸結(jié)為不同字段的特征值，再檢測特征值對入侵行為進(jìn)行判斷?？焖傩员硎緳z測引擎的組織結(jié)構(gòu)進(jìn)行規(guī)則匹配的速度，Snort用鏈表的形式組織規(guī)則。要求Snort的規(guī)則鏈表要進(jìn)行分類和組織結(jié)構(gòu)優(yōu)化。

⑷日志和報警。Snort對被檢測包有alert、log和pass三種處理方式，這些方式具體的完成在日志和報警子系統(tǒng)中，以命令行交互的方式選擇。日志子系統(tǒng)將嗅探器收集到的數(shù)據(jù)包解碼后以文本格式或tcpdump格式記錄。報警子系統(tǒng)將報警信息寫入指定的文件或數(shù)據(jù)庫中。

3.3 Snort總體流程

Snort的入侵檢測流程首先是規(guī)則的解析流程，主要包括讀取規(guī)則和組織規(guī)則；然后是使用規(guī)則進(jìn)行規(guī)則匹配的流程。

⑴規(guī)則解析流程。解析流程的具體過程為：①Snort讀取規(guī)則文件；②依次讀取每條規(guī)則；③解析規(guī)則語法，用相應(yīng)的規(guī)則語法表示；④在內(nèi)存中組織規(guī)則，建立規(guī)則語法樹。規(guī)則文件讀取ParseRulesFile（）函數(shù)檢查規(guī)則文件、讀取規(guī)則和整理多行規(guī)則。ParseRulesFile（）只是接口函數(shù)，而具體的規(guī)則解析任務(wù)主要由ParseRule（）函數(shù)實(shí)現(xiàn)。ParseRule（）函數(shù)解析每條規(guī)則，調(diào)用不同的函數(shù)并加入到規(guī)則鏈表。endprint

ParseRule（）函數(shù)調(diào)用RuleType（）提取規(guī)則類型。分別調(diào)用proeessHeadNode（）函數(shù)處理規(guī)則頭和proeessRuleoption（）函數(shù)處理規(guī)則選項(xiàng)。如果提取規(guī)則的類型為PreProcess、output、config、var等則分別調(diào)用相應(yīng)的函數(shù)對其處理，完成后跳出本條規(guī)則解析，然后繼續(xù)解析下一條。

⑵規(guī)則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。接著根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到對應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報文匹配規(guī)則頭附帶的規(guī)則選項(xiàng)組織為鏈表。首先匹配第一個規(guī)則選項(xiàng)，若匹配則按照定義的規(guī)則行為做出處理結(jié)果。若不匹配，選擇下一個規(guī)則選項(xiàng)匹配。若所有規(guī)則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統(tǒng)實(shí)驗(yàn)

本文的實(shí)驗(yàn)平臺主要有：Microsoft virtual pc虛擬機(jī)、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺等。

4.1 實(shí)驗(yàn)過程：Snort的使用

（1）嗅探器：Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數(shù)據(jù)包，輸入：./snort -dev -l ./log

（2）網(wǎng)絡(luò)入侵檢測系統(tǒng)：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網(wǎng)絡(luò)入侵檢測模式下的輸出選項(xiàng)

ASCII格式是Snort默認(rèn)的記錄日志格式，使用full報警機(jī)制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發(fā)送到syslog。Snort還有另一種SMB報警機(jī)制，通過SAMBA發(fā)送到Windows主機(jī)，在運(yùn)行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數(shù)據(jù)庫的使用檢測

（1）設(shè)置監(jiān)測包含的規(guī)則。

找到snort.conf文件中描述規(guī)則的部分

（2）運(yùn)行C：＼duoaduo＼Snort＼bin中的snort.exe，不關(guān)閉窗口，瀏覽網(wǎng)頁

（3）打開acid檢測控制臺主界面

點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“1%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況

5 總結(jié)

論文首先介紹網(wǎng)絡(luò)入侵檢測的概況，然后進(jìn)行了Snort檢測系統(tǒng)研究，包括其工作原理、體系結(jié)構(gòu)和入侵檢測流程等，還進(jìn)行了檢測系統(tǒng)實(shí)驗(yàn)，介紹實(shí)驗(yàn)平臺、實(shí)驗(yàn)的具體過程，來展現(xiàn)snort的工作過程，最后顯示實(shí)驗(yàn)數(shù)據(jù)和日志情況。

[參考文獻(xiàn)]

[1]高平利，任金昌.基于Snort入侵檢測系統(tǒng)的分析與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統(tǒng)的研究與設(shè)計(jì)[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統(tǒng)的網(wǎng)絡(luò)入侵檢測模型的研究[J].計(jì)量技術(shù)， 2012（002）：14-16.

[4]易著梁.基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的改進(jìn)BM模式匹配算法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2012，11：052.endprint

ParseRule（）函數(shù)調(diào)用RuleType（）提取規(guī)則類型。分別調(diào)用proeessHeadNode（）函數(shù)處理規(guī)則頭和proeessRuleoption（）函數(shù)處理規(guī)則選項(xiàng)。如果提取規(guī)則的類型為PreProcess、output、config、var等則分別調(diào)用相應(yīng)的函數(shù)對其處理，完成后跳出本條規(guī)則解析，然后繼續(xù)解析下一條。

⑵規(guī)則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。接著根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到對應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報文匹配規(guī)則頭附帶的規(guī)則選項(xiàng)組織為鏈表。首先匹配第一個規(guī)則選項(xiàng)，若匹配則按照定義的規(guī)則行為做出處理結(jié)果。若不匹配，選擇下一個規(guī)則選項(xiàng)匹配。若所有規(guī)則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統(tǒng)實(shí)驗(yàn)

本文的實(shí)驗(yàn)平臺主要有：Microsoft virtual pc虛擬機(jī)、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺等。

4.1 實(shí)驗(yàn)過程：Snort的使用

（1）嗅探器：Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數(shù)據(jù)包，輸入：./snort -dev -l ./log

（2）網(wǎng)絡(luò)入侵檢測系統(tǒng)：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網(wǎng)絡(luò)入侵檢測模式下的輸出選項(xiàng)

ASCII格式是Snort默認(rèn)的記錄日志格式，使用full報警機(jī)制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發(fā)送到syslog。Snort還有另一種SMB報警機(jī)制，通過SAMBA發(fā)送到Windows主機(jī)，在運(yùn)行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數(shù)據(jù)庫的使用檢測

（1）設(shè)置監(jiān)測包含的規(guī)則。

找到snort.conf文件中描述規(guī)則的部分

（2）運(yùn)行C：＼duoaduo＼Snort＼bin中的snort.exe，不關(guān)閉窗口，瀏覽網(wǎng)頁

（3）打開acid檢測控制臺主界面

點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“1%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況

5 總結(jié)

論文首先介紹網(wǎng)絡(luò)入侵檢測的概況，然后進(jìn)行了Snort檢測系統(tǒng)研究，包括其工作原理、體系結(jié)構(gòu)和入侵檢測流程等，還進(jìn)行了檢測系統(tǒng)實(shí)驗(yàn)，介紹實(shí)驗(yàn)平臺、實(shí)驗(yàn)的具體過程，來展現(xiàn)snort的工作過程，最后顯示實(shí)驗(yàn)數(shù)據(jù)和日志情況。

[參考文獻(xiàn)]

[1]高平利，任金昌.基于Snort入侵檢測系統(tǒng)的分析與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統(tǒng)的研究與設(shè)計(jì)[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統(tǒng)的網(wǎng)絡(luò)入侵檢測模型的研究[J].計(jì)量技術(shù)， 2012（002）：14-16.

[4]易著梁.基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的改進(jìn)BM模式匹配算法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2012，11：052.endprint

ParseRule（）函數(shù)調(diào)用RuleType（）提取規(guī)則類型。分別調(diào)用proeessHeadNode（）函數(shù)處理規(guī)則頭和proeessRuleoption（）函數(shù)處理規(guī)則選項(xiàng)。如果提取規(guī)則的類型為PreProcess、output、config、var等則分別調(diào)用相應(yīng)的函數(shù)對其處理，完成后跳出本條規(guī)則解析，然后繼續(xù)解析下一條。

⑵規(guī)則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹。接著根據(jù)報文的IP地址和端口號，在規(guī)則頭鏈表中找到對應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報文匹配規(guī)則頭附帶的規(guī)則選項(xiàng)組織為鏈表。首先匹配第一個規(guī)則選項(xiàng)，若匹配則按照定義的規(guī)則行為做出處理結(jié)果。若不匹配，選擇下一個規(guī)則選項(xiàng)匹配。若所有規(guī)則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統(tǒng)實(shí)驗(yàn)

本文的實(shí)驗(yàn)平臺主要有：Microsoft virtual pc虛擬機(jī)、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺等。

4.1 實(shí)驗(yàn)過程：Snort的使用

（1）嗅探器：Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數(shù)據(jù)包，輸入：./snort -dev -l ./log

（2）網(wǎng)絡(luò)入侵檢測系統(tǒng)：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網(wǎng)絡(luò)入侵檢測模式下的輸出選項(xiàng)

ASCII格式是Snort默認(rèn)的記錄日志格式，使用full報警機(jī)制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發(fā)送到syslog。Snort還有另一種SMB報警機(jī)制，通過SAMBA發(fā)送到Windows主機(jī)，在運(yùn)行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數(shù)據(jù)庫的使用檢測

（1）設(shè)置監(jiān)測包含的規(guī)則。

找到snort.conf文件中描述規(guī)則的部分

（2）運(yùn)行C：＼duoaduo＼Snort＼bin中的snort.exe，不關(guān)閉窗口，瀏覽網(wǎng)頁

（3）打開acid檢測控制臺主界面

點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“1%”，將顯示所有檢測到的TCP協(xié)議日志詳細(xì)情況

5 總結(jié)

論文首先介紹網(wǎng)絡(luò)入侵檢測的概況，然后進(jìn)行了Snort檢測系統(tǒng)研究，包括其工作原理、體系結(jié)構(gòu)和入侵檢測流程等，還進(jìn)行了檢測系統(tǒng)實(shí)驗(yàn)，介紹實(shí)驗(yàn)平臺、實(shí)驗(yàn)的具體過程，來展現(xiàn)snort的工作過程，最后顯示實(shí)驗(yàn)數(shù)據(jù)和日志情況。

[參考文獻(xiàn)]

[1]高平利，任金昌.基于Snort入侵檢測系統(tǒng)的分析與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統(tǒng)的研究與設(shè)計(jì)[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統(tǒng)的網(wǎng)絡(luò)入侵檢測模型的研究[J].計(jì)量技術(shù)， 2012（002）：14-16.

[4]易著梁.基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的改進(jìn)BM模式匹配算法研究[J].計(jì)算機(jī)應(yīng)用與軟件，2012，11：052.endprint