使用Ｓｎｏｒｔ構(gòu)建基于Ｌｉｎｕｘ的入侵檢測系統(tǒng)

　　一個穩(wěn)定、安全、高效的網(wǎng)絡(luò)環(huán)境，不僅需要有防火墻系統(tǒng)、身份驗證、加密傳輸?shù)葌鹘y(tǒng)安保措施，也需要構(gòu)建入侵檢測系統(tǒng)IDS(Intrusion Detection System)進行主動性的偵知。目前，主機采用Linux承載平臺運行Snort系統(tǒng)，不愧為中小學校閱網(wǎng)搭建網(wǎng)絡(luò)IDS的理想解決方案。Snort是由Martin Roesch開發(fā)的，基于模式發(fā)現(xiàn)技術(shù)的IDS系統(tǒng)。它假定所有入侵行為(或手段)都具有特定的模式或特征，因此只要將相關(guān)入侵行為的特征寫入其檢測規(guī)則庫，就可以用匹配的方法發(fā)現(xiàn)。Snort的優(yōu)點在于它是遵循公共許可證GPL的免費軟件，且具有安裝配置簡便、擴展性好、誤報少、反應迅速、可跨多種平臺運行等優(yōu)點。
　　
　　一、Snort系統(tǒng)的工作流程與體系結(jié)構(gòu)
　　
　　Snort占用系統(tǒng)資源很少，可以長時間穩(wěn)定運行。因此，應選用基于Linux系統(tǒng)的主機作為Snort的承載平臺。因為Linux系統(tǒng)提供了穩(wěn)定，高效的網(wǎng)絡(luò)服務支持，內(nèi)置TCP／IP協(xié)議，它是真正意義上的多任務、多用戶操作系統(tǒng)。Linux還具有兼容IEEEPOSIX標準，支持數(shù)十種文件系統(tǒng)格式，采用先進的內(nèi)存管理機制等優(yōu)點，它的安全性和穩(wěn)定性優(yōu)于Windows網(wǎng)絡(luò)系統(tǒng)。無論從執(zhí)行效率還是經(jīng)濟角度考慮都是較適宜的選擇。
　　基于SnorL的IDS系統(tǒng)工作流程如右圖所示：
　　
　　1．加載檢測規(guī)則，調(diào)用Libpcap庫函數(shù)采集數(shù)據(jù)，該庫函數(shù)可以為應用程序提供直接從鏈路層捕獲數(shù)據(jù)包的接口函數(shù)，并可以設(shè)置數(shù)據(jù)包的過濾器，來捕獲指定的數(shù)據(jù)。
　　2．解碼抓取來的數(shù)據(jù)包，按照TCP／IP協(xié)議的不同層次將數(shù)據(jù)包進行解析，為Snort檢測引擎準備數(shù)據(jù)。
　　3．根據(jù)加載的規(guī)則依次掃描每個數(shù)據(jù)包，一旦包內(nèi)的數(shù)據(jù)和檢測規(guī)則產(chǎn)生匹配，則根據(jù)規(guī)則中的處理策略對其進行處理，不產(chǎn)生規(guī)則匹配的數(shù)據(jù)包被視為正常包而忽略。(Snort對每個被檢測的數(shù)據(jù)包都定義了三種處理方式：報警alert、記錄log和忽略pass)。
　　4．產(chǎn)生告警并記錄日志。在缺省安裝配置下，系統(tǒng)日志將寫入／Var／log／Snort目錄中。告警文什寫入／Var／log／Snort／alert目錄中。
　　
　　二、Snort檢測原理分析
　　
　　為了能夠快速檢測IP網(wǎng)絡(luò)數(shù)據(jù)包，對檢測到的可疑情況做出迅速反應，Snort將規(guī)則描述為規(guī)則鏈表結(jié)構(gòu)，鏈表由表頭(包含源端、目的端IP地址、協(xié)議、連接端口號)和鏈表選項(包含如TCP標志位、ICMP代碼，有效負載大小，規(guī)則內(nèi)容)組成。這樣通過依次過濾Snort規(guī)則庫中定義的規(guī)則，Snort分析每個數(shù)據(jù)包，一旦發(fā)現(xiàn)與規(guī)則特征產(chǎn)生匹配的數(shù)據(jù)包則根據(jù)預先定義的方式處理(告警或記錄)，否則忽略當前分析的數(shù)據(jù)包，轉(zhuǎn)向下一個繼續(xù)分析。
　　Snort廣泛支持各種分析和規(guī)則匹配，目前能支持的協(xié)議類型有TCP協(xié)議、UDP協(xié)議、IPX協(xié)議，ICMP等協(xié)議。隨著系統(tǒng)軟件版本的不斷改進，Snort可進行檢測的協(xié)議種類將不斷豐富。需要注意的是，當剛開始使用Snort時，網(wǎng)絡(luò)管理人員常常不能將檢測規(guī)則描述得比較完善，此時可以從Snort的站點(WWW．Snort．org)上下載現(xiàn)成的規(guī)則庫，再根據(jù)本單位特有的網(wǎng)絡(luò)情況，單獨定義若干規(guī)則向其中添加即可。
　　Snotrt規(guī)則的總體格式分四部分，即為處理動作、協(xié)議類型、數(shù)據(jù)流向、檢測端口。例：記錄來自任何端口的，目標端口范圍在1～1024的UDP數(shù)據(jù)流，描述為：log udp any any—>192．168．1．0／24 1：1024。
　　
　　三、Snort系統(tǒng)的安裝與運行
　　
　　Snort對計算機系統(tǒng)軟，硬件環(huán)境的要求不高，由于要求長期在線，有條件的推薦使用專用服務器(處理器相當于PⅢ及以上配置皆可)運行。系統(tǒng)軟件方面，應用比較普遍的微軟的Windows 2000Server系列或Linux等網(wǎng)絡(luò)操作系統(tǒng)都可以安裝運行Snort。這里將以Linux系統(tǒng)為例介紹，步驟如下：
　　可以從Snort的站點獲得其源代碼或者RPM包。使用源代碼安裝Snort需要1ibpcap庫，可以從ftp：／／ftp．ee．1b1．gov下載安裝。
　　
　　1．安裝RPM包
　　可以使用下面的命令：(注：1．7為Snort版本號)bash#rpm-Ihv--nodeps Snort-1．7-1．i386．rpm開始解壓規(guī)則庫libpcap包：bash#uncompress libpcap．tar．Zbash#tar xvf libpcap．tar第三步編譯libpcap庫：bash#．／configurebash#make解壓Snort—1．7．0．tar．gz：
　　bash#tar zxvf Snort-1．7．0．tar．gz
　　進入到其所在目錄，編譯Snort：
　　bash#．／configure——with-libpcap-includes=／path／to／your／libcap／headers
　　bash#make
　　bash#make install
　　configure腳本還有一些選項：如with-mysql=DIR 支持mysql數(shù)據(jù)庫with-odbc=DIR 支持ODBC數(shù)據(jù)庫-enable-openssl 支持SSL
　　可以根據(jù)自己的實際情況選擇這些選項，全部設(shè)置完畢后從新引導系統(tǒng)。至此，Snort安裝完成。
　　2．將Snort作為NIDS(網(wǎng)絡(luò)入侵檢測系統(tǒng))的設(shè)置
　　列出所有Snort選項命令開關(guān)，鍵入bash#Snort-?，系統(tǒng)顯示Snort版本信息：
　　-^*Snortl<^*-
　　Version 1．7
　　By Martin Roesch(roesch@clark．net，WWW．Snort．org)
　　USAGE：Snort[-options]
　　Options：(大小寫有別，這里只列出常用的參數(shù))
　　-A(設(shè)置報警模式：fast、full、none只是使用報警文件)、unsock(使用Linux套接字記人日志，出于測試階段)
　　-a顯示ARP(Address Resolution Protocol，地址解析協(xié)議)包
　?。璪(日志文件使用tcpdump格式)
　　-c(使用規(guī)則文件rules)
　?。璬(復制應用層)
　?。璂(在后臺運行Snort)
　?。璭(顯示數(shù)據(jù)鏈路層包頭信息)
　?。璉(把界面名加入到報警輸出界面)
　?。璉(設(shè)置目錄ld為日志目錄)
　?。璑(關(guān)閉日志功能，警報功能仍然有效)
　?。璒(把規(guī)則測試順序改為：PassIAlertILog)
　?。璼(把所有警告信息記人syslog)
　　-u(初始化完成后，把Snort的uid設(shè)置為ne)
　?。璛(從鏈路層開始復制包的數(shù)據(jù))
　　-?(顯示幫助信息)
　　啟動IDS模式，將Snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)：／Snort—dev－I．／log－h(huán) 192．168．1．O／24－c Snort.
　　Snort.conf是規(guī)則集文件。Snort會對整個包和規(guī)則集進行匹配，發(fā)現(xiàn)這樣的包就采用取相應的行動。如果不指定輸出目錄，Snort就輸出到／Var／log/Snort目錄。lOg／Snort目錄。
　　或鍵入：
　　／Snort-d-h 192．168．1．O／24-I./log-C Snort．conf
　　這是使用Snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)基本形式。為省略影響系統(tǒng)長期運行的不必要功能開關(guān)，日志記錄符合規(guī)則的包，以ASCII碼形式保存在層次日錄結(jié)構(gòu)中。Snort掃描數(shù)據(jù)流，將檢測到的與規(guī)則庫產(chǎn)生相應匹配的信息輸出(告警)，告警的配置方式較多，這里只給出簡例：用戶可參考有關(guān)資料根據(jù)實際網(wǎng)絡(luò)環(huán)境自行設(shè)置。
　　默認方式的輸入配置Snort將報警發(fā)給syslog：
　?。疭nort－C Snort．conf-l．／Iog－s－h(huán) 192．168．1．O／24大程度地避免可能遭受的攻擊和侵害，需要科技人員不斷總結(jié)和交流經(jīng)驗，努力改進管理方法和手段，共同為建立一個安全、穩(wěn)定、高效的網(wǎng)絡(luò)運行環(huán)境付出不懈的努力。
　　
　　　參考文獻
　　[1]Martin Roesch Snort -Lightweogjt IntrusionDetectio for Networks :Snort.org.
　　[2]李洋．使用Snort搭建安全的Linux服務器[J].計算機世界。2005，