基于Snort的入侵檢測系統規則解析及改進研究

李杰

摘 要

信息技術日新月異的迅猛發展，使得社會對計算機及網絡的依賴越來越強，人們對其的使用也日益頻繁，網絡中的數據越來越龐雜。為保證信息安全的同時又不降低數據的吞吐率，因此，人們對網絡安全產品的處理速度、效率和檢測準確性上的要求越來越高。本文在分析和研究網絡安全及模型和入侵檢測技術的基礎上，選取最為常用的輕量級入侵檢測系統——Snort為具體的研究對象，通過對Snort系統規則的研究和改進，在保證系統安全性能不降低的前提下，實現系統入侵檢測能力和效率的提升。

【關鍵詞】Snort 入侵檢測 規則

計算機網絡技術的快速發展促使網絡信息成為社會發展的重要組成部分，但是由于計算機網絡的組成形式具有多樣性和開放性等特點，使得網絡上傳輸的信息容極易受到各種人為攻擊，這就是所謂的入侵，即：潛在的、有預謀、未經授權訪問信息、操作信息，致使系統不可靠或無法使用的企圖，具體的入侵行為分為外部滲透、內部滲透和不法行為三種。

在國內，絕大多數計算機用戶的防護技術還停留在殺毒軟件、加密軟件、防火墻等，被動保護技術，而在現實中僅僅依賴防火墻等被動保護方法建立起來的網絡往往是“外緊內松”，從外面看似乎非常安全，但內部的安全措施卻十分的不足，一旦防火墻被成功滲透，就會造成無法挽回的損失。入侵檢測系統（Intrusion Detection System， IDS），是一種主動防御的工具，就是在入侵攻擊發生之前，檢測入侵行為，并利用報警與響應系統消除入侵攻擊，這樣，就能在入侵發生之前，避免入侵事件造成的損失；另一方面，IDS在監聽網絡時不會為網絡的性能帶來額外的負擔，這樣就使得在保證網絡的傳輸速率的同時，提高了網絡的安全性。目前最常用的IDS就是開源的Snort，但是其檢測能力依賴于其檢測規則的匹配速度和準確性，如果規則匹配速度和效率不足，就會對系統性能造成影響或者發現不了入侵行為。針對Snort存在的問題，本文在對Snort檢測規則進行解析的基礎上，對其進行優化和改進，以增強Snort的檢測效率。

1 相關工作

1.1 網絡安全

通常情況下，網絡入侵是威脅網絡安全的最重要一環，針對日益嚴重和突出的網絡安全問題，人們提出了多種網絡安全模型以應對新的網絡安全建設的環境，指導網絡安全工作的部署和管理。在眾多網絡安全模型中，最典型，也最廣泛為人接受和使用的是PPDR模型，PPDR模型是策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）四個方面，PPDR四方面之間原關系如圖1所示。

模型中，安全策略處于核心的地位，其它三個方面圍繞著策略進行；防護是保證系統安全的第一步，但具有一定的滯后性，只有在對相應的入侵行為進行檢測和響應之后才能制定出具體的防護措施；檢測是一種主動的防御，也是動態響應的依據，其應用的主要技術就是入侵檢測；響應是在發現攻擊企圖或者攻擊行為之后，系統所實施的具體應對措施。模型是一個螺旋上升的過程，經過一個PDR循環后，安全防護的水平就應該上升到一個新層次，具有更強的安全保障能力。入侵檢測系統則是對模型的具體的應用和實施的載體，對模型的使用使得系統的安全性設計方面更具系統性和全面性。

1.2 入侵檢測技術

入侵就是對目標主機信息的完整性、保密性、可用性、可控性企圖惡意破壞的一種行為，而入侵檢測（Intrusion Detection，ID）即對入侵行為發現和響應的行為，它從計算機網絡或者計算機系統中的關鍵節點中收取信息并對之進行分析，從而發現入侵行為。用于事入侵檢測的軟件與和硬件的組合就是入侵檢測系統。適當的IDS能夠極大的簡化管理人員的安全方面的負擔，保證網絡安全的運行。

入侵檢測系統的通用結構圖，IDS系統主要包含數據提取，數據分析和數據處理結果或響應三個主要功能模塊。關于入侵檢測的技術模型，最早由Dorothy Denning提出，他提出的模型與具體系統和具體的輸入無關，對此后的大多數實用系統都有很好的借鑒價值。通用的技術模型的結構，模型包含事件產生器，行為特征模塊和規則模塊三個主要功能部件。IDS可分為基于異常的檢測和基于誤用的檢測。基于異常的入侵檢測的方法主要是建立在計算機系統中正常行為的模式庫；基于誤用的入侵檢測是建立系統的非正常操作的行為特征庫，通過監測用戶或系統的行為，將收集到的數據與特征庫里的各種攻擊模式進行比對，如果能夠匹配，則判斷有攻擊。

2 Snort系統規則的解析與改進

2.1 Snort系統介紹

Snort是用C語言編寫的，開源的網絡入侵檢測系統，與其他昂貴且大型的商用檢測系統相比，Snort系統具有易安裝，易配置，規模小，功能強，使用靈活等優點。圖2描述了Snort的系統結構及其模塊間的相互關系。

基于Snort的入侵檢測系統主要包含數據包解碼器、預處理器、檢測引擎、日志和報警系統、輸出模塊等五個主要部件。其中，數據包解碼器用于捕獲網絡上傳輸的數據包并進行協議解析，它為檢測引擎準備最初的備檢數據；預處理器處在包解碼器之后，用于分析網絡數據包，組裝數據分片，為下一步的檢測引擎做準備，以提高Snort檢測的效率和精度；檢測引擎則是Snort系統的核心模塊，檢測引擎依據之前設定好的規則檢查數據包，圖3給出了檢測引擎的工作流程；報警和日志系統用于記錄行為或產生報警，輸出模塊則用于產生相關的配置文件或其他輸出結果。

2.2 Snort系統的規則的解析

Snort 檢測是基于規則的，而規則的定義是基于入侵特征的，所謂特征是數據包中數據的不同特點，它主要被用來檢測攻擊行為。一條規則可以包含一個或者多個類型的入侵特征，因此，一條好的規則可以探測出多種入侵行為。標準的規則包含規則頭和規則選項兩個部分，規則頭又包含：行為、協議、地址、端口、方向、目的地址和目的端口等信息，例如：alert ip any any ->any any（msg：“IP Packetdetected”；）具體解析如表1所示。endprint

這條規則的具體含義是：將規則（msg的內容）用在所有的ip包上，如果ip包內的數據與規則庫中的條件相匹配，則報警。

在基于網絡的入侵檢測模式下，Snort規則解析的流程過程為：（1）從規則文件中逐條讀取規則；（2）解析規則，并用規則語法將其表示出來；（3）在內存中組織規則，建立起好的規則語法樹。

2.3 Snort系統的規則的改進

Snort系統中最核心的部分是規則檢測模塊，因此，若要實現Snort系統的整體性能的提升，就必須提高規則的檢測速度，為此，我們在Snort中使用二維列表遞歸檢索（RTN和 OTN）和函數指針列表（即“三維列表”）等方法來實現其規則匹配的速度提升。

由于Snort系統的開源性，它擁有一個非常龐大的規則特征庫，且這個特征庫在不斷的增長中，因此，匹配過程需要耗費很多的時間和資源，本文針對每個數據包都要與特征庫進行比對的缺點，給出一種優化的方法，此方法主要采用分治法的思想，即：將Snort的規則按照一定的標準進行劃分，分成若干相互獨立的子集，若規模依然龐大則繼續劃分，直到劃分到適當的程度，通過減小了每個特征庫的規模大小來減少每個數據包匹配的次數，從面達到提高效率和速度的目的。優化后的規則特征集必須具備兩個條件，即：劃分出來的規則集必須適當的大小且效率最高；劃分出來的規則集必須相互獨立。滿足這兩個條件，就能保證每個數據包僅需要對一個劃分的規則子集進行比對，從而實現速度和效率的提升。

在規則集劃分的初始階段，需要根據不同的需要選擇一個確定的規則參數，作為唯一的劃分依據對規則集進行劃分，比如端口或者規則選項等。這樣就能夠實現將每個數據包根據其自身的特性劃分到相應的規則集中，實現最小的匹配次數。例如，將協議作為劃分的依據，將規則集劃分成TCP/UDP集，ICMP集和IP集，從而可將不同的數據包劃歸到相應的子集中，進行匹配，以減少匹配規模，規則特征集改進后的整體結構圖如圖6所示。

經過規則特征庫的優化處理劃分之后，當Snort系統運行時，系統自動為每個收到的數據包，根據其自身包頭中的信息屬性將其放置相應的規則子集中，使用經過改進劃分的規則集，能夠大范圍的降低數據的匹配次數，從而帶來整體檢測處理時間的減少和Snort系統性能的提升。

3 總結

傳統的網絡安防技術，如：加密軟件、殺毒軟件、防火墻等，只能提供被動防護，以入侵檢測為代表的安全技術，能夠主動的發現攻擊，提供實時而又全面的防護，已經成為最為常見的網絡安全產品之一，本文以Snort系統為具體研究對象來對IDS進行研究，為應對越來越多的網絡數據的問題，文章對最為影響Snort系統吞吐率和效率的匹配規則進行解析和改進，得到了一個更優的規則模型，以提高Snort系統的檢測速度、效率和準確度。

作者單位

云南省標準化研究院 云南省昆明市 650228endprint

這條規則的具體含義是：將規則（msg的內容）用在所有的ip包上，如果ip包內的數據與規則庫中的條件相匹配，則報警。

在基于網絡的入侵檢測模式下，Snort規則解析的流程過程為：（1）從規則文件中逐條讀取規則；（2）解析規則，并用規則語法將其表示出來；（3）在內存中組織規則，建立起好的規則語法樹。

2.3 Snort系統的規則的改進

Snort系統中最核心的部分是規則檢測模塊，因此，若要實現Snort系統的整體性能的提升，就必須提高規則的檢測速度，為此，我們在Snort中使用二維列表遞歸檢索（RTN和 OTN）和函數指針列表（即“三維列表”）等方法來實現其規則匹配的速度提升。

由于Snort系統的開源性，它擁有一個非常龐大的規則特征庫，且這個特征庫在不斷的增長中，因此，匹配過程需要耗費很多的時間和資源，本文針對每個數據包都要與特征庫進行比對的缺點，給出一種優化的方法，此方法主要采用分治法的思想，即：將Snort的規則按照一定的標準進行劃分，分成若干相互獨立的子集，若規模依然龐大則繼續劃分，直到劃分到適當的程度，通過減小了每個特征庫的規模大小來減少每個數據包匹配的次數，從面達到提高效率和速度的目的。優化后的規則特征集必須具備兩個條件，即：劃分出來的規則集必須適當的大小且效率最高；劃分出來的規則集必須相互獨立。滿足這兩個條件，就能保證每個數據包僅需要對一個劃分的規則子集進行比對，從而實現速度和效率的提升。

在規則集劃分的初始階段，需要根據不同的需要選擇一個確定的規則參數，作為唯一的劃分依據對規則集進行劃分，比如端口或者規則選項等。這樣就能夠實現將每個數據包根據其自身的特性劃分到相應的規則集中，實現最小的匹配次數。例如，將協議作為劃分的依據，將規則集劃分成TCP/UDP集，ICMP集和IP集，從而可將不同的數據包劃歸到相應的子集中，進行匹配，以減少匹配規模，規則特征集改進后的整體結構圖如圖6所示。

經過規則特征庫的優化處理劃分之后，當Snort系統運行時，系統自動為每個收到的數據包，根據其自身包頭中的信息屬性將其放置相應的規則子集中，使用經過改進劃分的規則集，能夠大范圍的降低數據的匹配次數，從而帶來整體檢測處理時間的減少和Snort系統性能的提升。

3 總結

傳統的網絡安防技術，如：加密軟件、殺毒軟件、防火墻等，只能提供被動防護，以入侵檢測為代表的安全技術，能夠主動的發現攻擊，提供實時而又全面的防護，已經成為最為常見的網絡安全產品之一，本文以Snort系統為具體研究對象來對IDS進行研究，為應對越來越多的網絡數據的問題，文章對最為影響Snort系統吞吐率和效率的匹配規則進行解析和改進，得到了一個更優的規則模型，以提高Snort系統的檢測速度、效率和準確度。

作者單位

云南省標準化研究院 云南省昆明市 650228endprint

這條規則的具體含義是：將規則（msg的內容）用在所有的ip包上，如果ip包內的數據與規則庫中的條件相匹配，則報警。

在基于網絡的入侵檢測模式下，Snort規則解析的流程過程為：（1）從規則文件中逐條讀取規則；（2）解析規則，并用規則語法將其表示出來；（3）在內存中組織規則，建立起好的規則語法樹。

2.3 Snort系統的規則的改進

Snort系統中最核心的部分是規則檢測模塊，因此，若要實現Snort系統的整體性能的提升，就必須提高規則的檢測速度，為此，我們在Snort中使用二維列表遞歸檢索（RTN和 OTN）和函數指針列表（即“三維列表”）等方法來實現其規則匹配的速度提升。

由于Snort系統的開源性，它擁有一個非常龐大的規則特征庫，且這個特征庫在不斷的增長中，因此，匹配過程需要耗費很多的時間和資源，本文針對每個數據包都要與特征庫進行比對的缺點，給出一種優化的方法，此方法主要采用分治法的思想，即：將Snort的規則按照一定的標準進行劃分，分成若干相互獨立的子集，若規模依然龐大則繼續劃分，直到劃分到適當的程度，通過減小了每個特征庫的規模大小來減少每個數據包匹配的次數，從面達到提高效率和速度的目的。優化后的規則特征集必須具備兩個條件，即：劃分出來的規則集必須適當的大小且效率最高；劃分出來的規則集必須相互獨立。滿足這兩個條件，就能保證每個數據包僅需要對一個劃分的規則子集進行比對，從而實現速度和效率的提升。

在規則集劃分的初始階段，需要根據不同的需要選擇一個確定的規則參數，作為唯一的劃分依據對規則集進行劃分，比如端口或者規則選項等。這樣就能夠實現將每個數據包根據其自身的特性劃分到相應的規則集中，實現最小的匹配次數。例如，將協議作為劃分的依據，將規則集劃分成TCP/UDP集，ICMP集和IP集，從而可將不同的數據包劃歸到相應的子集中，進行匹配，以減少匹配規模，規則特征集改進后的整體結構圖如圖6所示。

經過規則特征庫的優化處理劃分之后，當Snort系統運行時，系統自動為每個收到的數據包，根據其自身包頭中的信息屬性將其放置相應的規則子集中，使用經過改進劃分的規則集，能夠大范圍的降低數據的匹配次數，從而帶來整體檢測處理時間的減少和Snort系統性能的提升。

3 總結

傳統的網絡安防技術，如：加密軟件、殺毒軟件、防火墻等，只能提供被動防護，以入侵檢測為代表的安全技術，能夠主動的發現攻擊，提供實時而又全面的防護，已經成為最為常見的網絡安全產品之一，本文以Snort系統為具體研究對象來對IDS進行研究，為應對越來越多的網絡數據的問題，文章對最為影響Snort系統吞吐率和效率的匹配規則進行解析和改進，得到了一個更優的規則模型，以提高Snort系統的檢測速度、效率和準確度。

作者單位

云南省標準化研究院 云南省昆明市 650228endprint