基于誤用檢測的網絡入侵系統實現

朱勇

摘 要：隨著網絡技術的不斷發展，網絡安全問題日益突出，入侵檢測成為網絡安全中的核心技術，Snort系統由于開放源代碼具有其自身巨大的優勢。本文介紹了網絡入侵檢測技術，具體研究了Snort系統的工作原理和入侵檢測流程等，最后對系統進行了一系列實驗，實驗顯示的實驗數據和日志情況。

關鍵詞：入侵檢測；snort技術；檢測性能

1 引言

隨著科學技術的不斷發展，網絡日趨復雜化，過去保護網絡安全所采用的防火墻只是被動防御的網絡安全工具，已不能適應如今復雜多變的網絡安全問題。入侵檢測是網絡安全領域中一個較新的課題，檢測引擎作為其核心模塊，檢測速度將直接影響系統的效率，模式匹配是入侵檢測系統的重要檢測方法。入侵檢測技術是近年來飛速發展起來的一種集動態的集監控、預防和抵御系統入侵為一體的新型安全機制。作為傳統安全機制的補充，入侵檢測技術能夠提出預警并實行相應反應動作。入侵檢測是對計算機和網絡資源上的惡意行為進行識別和相應處理的過程，具有智能監控、實時探測、動態響應、易于配置等特點。

在我國入侵檢測技術的研究起步較晚，還不夠成熟和完善，需要投入較多的精力進行探索研究，特別是基于模式匹配也就是基于規則的入侵檢測，這對抑制黑客攻擊和網絡病毒的傳播，提高網絡安全具有重要意義。

2 網絡入侵檢測技術概述

入侵檢測系統（IDS，Intrusion Detection System）可以識別計算機和網絡系統，或信息系統的非法攻擊，主要包括檢測非法入侵者的惡意攻擊，或是合法用戶的越權行為。入侵檢測系統在結構上基本一致，都由數據采集、數據分析及用戶界面等組成，不同的只是在分析采集方法和數據類型等方面。

2.1 入侵檢測系統分類

（1）基于主機的入侵檢測系統。基于主機IDS部署在單主機上，利用審計記錄，通過操作系統的日志記錄，主機自動檢測入侵行為。它不對網絡數據包或掃描配置進行檢查，而是整理系統日志。

（2）基于網絡的入侵檢測系統。基于網絡的IDS主要用于防御外部入侵攻擊。它通過監控出入網絡的通信數據流，按照一定規則分析數據流的內容，從而發現協議攻擊、運行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。

為了能夠捕獲入侵攻擊行為，基于網絡IDS必須位于能夠看到所有數據包的位置，這包括：環網內部、安全網絡中緊隨防火墻之后以及其它子網的路由器或網關之后。

2.2 入侵檢測技術

入侵檢測系統中核心的問題是數據分析技術，包括對原始數據的同步、整理、組織、分類以及各種類型的細致分析，提取其中所包含的系統活動特征或模式，用于判斷行為是否正常。采用何種數據分析技術，將直接決定系統的檢測能力和效果。 數據分析技術分為：誤用檢測和異常檢測。誤用檢測搜索審計事件數據，查看是否存在預先定義的誤用模式，典型的有特征模式匹配技術、協議分析技術和狀態協議分析技術等；異常檢測提取正常模式審計數據的數學特征，檢查事件數據是否存在與之相違背的異常模式，典型的有統計分析技術、數據重組技術、行為分析技術。此外還提出了一些新技術，如免疫系統、基因算法、數據挖掘等。

3 Snort 網絡入侵檢測系統

3.1 Snort工作原理

Snort是一個功能強大的網絡入侵檢測系統，其最大的優勢是開放源代碼。它利用Libpcap網絡數據包中捕獲并分析函數包，監聽有無可疑的網絡活動；其數據分析技術采用基于誤用檢測技術，對數據進行最直接的搜索匹配。Snort的工作模式包括：數據包嗅探器、數據包記錄器、網絡入侵檢測系統。

3.2 Snort系統的體系結構

⑴Sniffer。Sniffer數據包嗅探器的功能是捕獲網絡數據包并解析數據。Snort利用Libpcap庫函數捕獲數據，Libpcap能夠從鏈路層直接獲取接口函數提供給應用程序，并且能通過設置數據包的過濾器指定所需捕獲的數據。網絡數據采集和解析機制是整個NIDS實現的基礎，其中關鍵的是要保證系統高速運行和較低的丟包率，這對軟件的效率和硬件的處理能力都有關系。

⑵預處理器。預處理程序可以很容易擴展Snort的功能，用戶和程序員能夠將模塊化的插件方便地融入Snort之中。預處理程序代碼在探測引擎被調用之前運行，但在數據包譯碼之后。通過這個機制，數據包可以通過額外的方法被修改或分析。

⑶檢測引擎。Snort的核心部分就是檢測引擎，預處理器傳送捕獲的數據包后Snort根據規則庫對它們進行匹配檢測。匹配性能的好壞取決于準確性和速度。網絡入侵檢測系統屬于被動防御，不能主動發送數據包探測，準確性主要是提取入侵特征碼的精確性和編寫規則的簡潔性，只有將特征碼歸結為不同字段的特征值，再檢測特征值對入侵行為進行判斷。快速性表示檢測引擎的組織結構進行規則匹配的速度，Snort用鏈表的形式組織規則。要求Snort的規則鏈表要進行分類和組織結構優化。

⑷日志和報警。Snort對被檢測包有alert、log和pass三種處理方式，這些方式具體的完成在日志和報警子系統中，以命令行交互的方式選擇。日志子系統將嗅探器收集到的數據包解碼后以文本格式或tcpdump格式記錄。報警子系統將報警信息寫入指定的文件或數據庫中。

3.3 Snort總體流程

Snort的入侵檢測流程首先是規則的解析流程，主要包括讀取規則和組織規則；然后是使用規則進行規則匹配的流程。

⑴規則解析流程。解析流程的具體過程為：①Snort讀取規則文件；②依次讀取每條規則；③解析規則語法，用相應的規則語法表示；④在內存中組織規則，建立規則語法樹。規則文件讀取ParseRulesFile（）函數檢查規則文件、讀取規則和整理多行規則。ParseRulesFile（）只是接口函數，而具體的規則解析任務主要由ParseRule（）函數實現。ParseRule（）函數解析每條規則，調用不同的函數并加入到規則鏈表。endprint

ParseRule（）函數調用RuleType（）提取規則類型。分別調用proeessHeadNode（）函數處理規則頭和proeessRuleoption（）函數處理規則選項。如果提取規則的類型為PreProcess、output、config、var等則分別調用相應的函數對其處理，完成后跳出本條規則解析，然后繼續解析下一條。

⑵規則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規則子樹。接著根據報文的IP地址和端口號，在規則頭鏈表中找到對應的規則頭。最后，將這條數據報文匹配規則頭附帶的規則選項組織為鏈表。首先匹配第一個規則選項，若匹配則按照定義的規則行為做出處理結果。若不匹配，選擇下一個規則選項匹配。若所有規則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統實驗

本文的實驗平臺主要有：Microsoft virtual pc虛擬機、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數據庫分析控制臺等。

4.1 實驗過程：Snort的使用

（1）嗅探器：Snort從網絡上讀出數據包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數據包，輸入：./snort -dev -l ./log

（2）網絡入侵檢測系統：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網絡入侵檢測模式下的輸出選項

ASCII格式是Snort默認的記錄日志格式，使用full報警機制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發送到syslog。Snort還有另一種SMB報警機制，通過SAMBA發送到Windows主機，在運行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數據庫的使用檢測

（1）設置監測包含的規則。

找到snort.conf文件中描述規則的部分

（2）運行C：＼duoaduo＼Snort＼bin中的snort.exe，不關閉窗口，瀏覽網頁

（3）打開acid檢測控制臺主界面

點擊右側圖示中TCP后的數字“1%”，將顯示所有檢測到的TCP協議日志詳細情況

5 總結

論文首先介紹網絡入侵檢測的概況，然后進行了Snort檢測系統研究，包括其工作原理、體系結構和入侵檢測流程等，還進行了檢測系統實驗，介紹實驗平臺、實驗的具體過程，來展現snort的工作過程，最后顯示實驗數據和日志情況。

[參考文獻]

[1]高平利，任金昌.基于Snort入侵檢測系統的分析與實現[J].計算機應用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統的研究與設計[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統的網絡入侵檢測模型的研究[J].計量技術， 2012（002）：14-16.

[4]易著梁.基于網絡入侵檢測系統的改進BM模式匹配算法研究[J].計算機應用與軟件，2012，11：052.endprint

ParseRule（）函數調用RuleType（）提取規則類型。分別調用proeessHeadNode（）函數處理規則頭和proeessRuleoption（）函數處理規則選項。如果提取規則的類型為PreProcess、output、config、var等則分別調用相應的函數對其處理，完成后跳出本條規則解析，然后繼續解析下一條。

⑵規則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規則子樹。接著根據報文的IP地址和端口號，在規則頭鏈表中找到對應的規則頭。最后，將這條數據報文匹配規則頭附帶的規則選項組織為鏈表。首先匹配第一個規則選項，若匹配則按照定義的規則行為做出處理結果。若不匹配，選擇下一個規則選項匹配。若所有規則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統實驗

本文的實驗平臺主要有：Microsoft virtual pc虛擬機、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數據庫分析控制臺等。

4.1 實驗過程：Snort的使用

（1）嗅探器：Snort從網絡上讀出數據包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數據包，輸入：./snort -dev -l ./log

（2）網絡入侵檢測系統：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網絡入侵檢測模式下的輸出選項

ASCII格式是Snort默認的記錄日志格式，使用full報警機制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發送到syslog。Snort還有另一種SMB報警機制，通過SAMBA發送到Windows主機，在運行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數據庫的使用檢測

（1）設置監測包含的規則。

找到snort.conf文件中描述規則的部分

（2）運行C：＼duoaduo＼Snort＼bin中的snort.exe，不關閉窗口，瀏覽網頁

（3）打開acid檢測控制臺主界面

點擊右側圖示中TCP后的數字“1%”，將顯示所有檢測到的TCP協議日志詳細情況

5 總結

論文首先介紹網絡入侵檢測的概況，然后進行了Snort檢測系統研究，包括其工作原理、體系結構和入侵檢測流程等，還進行了檢測系統實驗，介紹實驗平臺、實驗的具體過程，來展現snort的工作過程，最后顯示實驗數據和日志情況。

[參考文獻]

[1]高平利，任金昌.基于Snort入侵檢測系統的分析與實現[J].計算機應用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統的研究與設計[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統的網絡入侵檢測模型的研究[J].計量技術， 2012（002）：14-16.

[4]易著梁.基于網絡入侵檢測系統的改進BM模式匹配算法研究[J].計算機應用與軟件，2012，11：052.endprint

ParseRule（）函數調用RuleType（）提取規則類型。分別調用proeessHeadNode（）函數處理規則頭和proeessRuleoption（）函數處理規則選項。如果提取規則的類型為PreProcess、output、config、var等則分別調用相應的函數對其處理，完成后跳出本條規則解析，然后繼續解析下一條。

⑵規則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規則子樹。接著根據報文的IP地址和端口號，在規則頭鏈表中找到對應的規則頭。最后，將這條數據報文匹配規則頭附帶的規則選項組織為鏈表。首先匹配第一個規則選項，若匹配則按照定義的規則行為做出處理結果。若不匹配，選擇下一個規則選項匹配。若所有規則都不匹配，則說明報文不包含入侵行為特征。

4 檢測系統實驗

本文的實驗平臺主要有：Microsoft virtual pc虛擬機、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測數據庫分析控制臺等。

4.1 實驗過程：Snort的使用

（1）嗅探器：Snort從網絡上讀出數據包然后在控制臺上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snort–V

②要在硬盤上記錄全部的包，指定一個日志目錄，自動記錄數據包，輸入：./snort -dev -l ./log

（2）網絡入侵檢測系統：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網絡入侵檢測模式下的輸出選項

ASCII格式是Snort默認的記錄日志格式，使用full報警機制，snort會在打印包頭信息后再打印報警消息。使用-s可以將報警消息發送到syslog。Snort還有另一種SMB報警機制，通過SAMBA發送到Windows主機，在運行./configure腳本時，必須使用—enable-smbalerts。

4.2 Snort與控制臺，數據庫的使用檢測

（1）設置監測包含的規則。

找到snort.conf文件中描述規則的部分

（2）運行C：＼duoaduo＼Snort＼bin中的snort.exe，不關閉窗口，瀏覽網頁

（3）打開acid檢測控制臺主界面

點擊右側圖示中TCP后的數字“1%”，將顯示所有檢測到的TCP協議日志詳細情況

5 總結

論文首先介紹網絡入侵檢測的概況，然后進行了Snort檢測系統研究，包括其工作原理、體系結構和入侵檢測流程等，還進行了檢測系統實驗，介紹實驗平臺、實驗的具體過程，來展現snort的工作過程，最后顯示實驗數據和日志情況。

[參考文獻]

[1]高平利，任金昌.基于Snort入侵檢測系統的分析與實現[J].計算機應用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測系統的研究與設計[J].科技廣場， 2012（9）：117-119.

[3]董忠.基于Snort系統的網絡入侵檢測模型的研究[J].計量技術， 2012（002）：14-16.

[4]易著梁.基于網絡入侵檢測系統的改進BM模式匹配算法研究[J].計算機應用與軟件，2012，11：052.endprint