本站原创摘 要:随着因特网应用的日益普及,基于网络的入侵检测也越来越受到重视.但是基于网络的入侵检测系统也面临着诸多挑战.讨论网络安全问题;网络入侵检测系统的体系结构,并且分析现有入侵检测系统出现的问题;以轻量级入侵检测系统Snort为模型,分析Snort系统的体系结构及工作流程,对网络数据的分析和记录的相关规则做扩展和实现.
关 键 词:入侵检测;Linux;Snort;协议分析
中图分类号:TP393.08文献标识码:A文章编号:1671-7597(2012)0210082-01
1课题研究目的和意义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断.网络安全从其本质上来讲就是网络上的信息安全.从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域.网络安全是一门涉及计算机科学、网络技术、通信技术、技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科.
随着计算机的普及人们的生活也随之改变,尤其是计算机网络的出现,使信息时代有了更大的变化.在改变的同时,网络信息的安全已日趋重要,已被信息社会的各个领域所重视.世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破.日趋严重的网络安全问题,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题.
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备.它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术,是通过监控网络与系统的状态、行为及系统的使用情况来检测系统用户的越权使用和系统外部的入侵,并采取相应的响应措施来阻止入侵活动.传统上,一般采用防火墙作为安全的第一道防线.而随着攻击者知识的日趋成熟,攻击工具和手法的日趋复杂多样,单纯的防火墙策略已无法满足对安全高度敏感的需要,网络的防卫必须采用一种纵深的、多样的手段,是传统防火墙的必要补充.入侵检测系统可以通过网络和计算机动态地收集大量关键信息资料,并能及时分析和判断整个系统环境的当前状态,一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,立即启动有关安全机制进行应对.例如,通过控制台或电子邮件向网络安全管理员报告案情、立即终止入侵行为、关闭整个系统、断开网络连接等.
2入侵检测系统存在的问题
入侵检测系统主要通过三种形式接入被保护的网络,一是以组件形式将IDS安装到网络中的单机节点上,用于检测单机节点上的异常现象;二是以单机节点形式将IDS并联在被保护网段中,用于检测整个网段上的异常现象;三是以分布式检测网络的形式将各IDS分布式并联在单一网络的各被保护网段中,用于检测整个单一网络上的异常现象.
入侵检测系统不论以哪种形式接入网络,都要求它具有安全性、完整性和并行性.安全性要求入侵检测系统本身不存在隐患,也不受威胁;完整性要求入侵检测系统能对所保护的全部对象及其内容进行检测分析,不能遗漏;并行性要求入侵检测系统能与所保护的整个系统中的各种活动同步,不能滞后.
各种攻击行为多数是利用入侵检测系统在安全性、完整性和并行性上存在的缺陷而躲避检测的.主要有四点:通过伪造合法的检测项目欺骗入侵检测系统;通过“借道”绕过入侵检测系统;利用时间差躲避入侵检测系统;通过直接破坏入侵检测系统及其工作环境.
3Snort规则扩展
Snort已发展成为一个多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS.省略上几乎每几天就会有新的规则被更新,同时用户也可以自己书写新的规则,Snort规则文件是一个ASCII文本文件,可以用常用的文本编辑器对其进行编辑.规则文件的内容由以下几部分组成:
1)变量定义:在这里定义的变量可以在创建Snort规则时使用.
2)Snort规则:在入侵检测时起作用的规则,这些规则应包括了总体的入侵检测策略.
3)预处理器:即插件,用来扩展Snort的功能.如用portscan来检测端口扫描.
4)包含文件IncludeFiles:可以包括其它Snort规则文件.
在开发高效、高速的Snort规则时,有两个个概念要特别注意.
1)关 键 词content指定的内容是大小写敏感的,除非你使用nocase选项不要忘记content规则选项指定的内容是大小写敏感的,许多程序一般使用大写表示命令.FTP就是一个很好的例子.请比较下面两条规则:
alerttcpanyany->192.168.1.0/2421(content:"userroot",msg:"FTProotlogin",)
alerttcpanyany->192.168.1.0/2421(content:"USERroot",sg:"FTProotlogin",)
第二条规则可以使snort捕获大多数使用root用户名的自动登录企图,而在数据包中从来就没有小写的user.
2)提高snort对含有content规则选项的规则的检测速度.
Snort检测引擎对各个规则选项的测试顺序与其在各条规则中所处的位置无关.在各个规则选项中,检测引擎最后测试的总是content规则选项.因此,在开发规则时,要尽量使用快速的选项筛选掉根本不必对其内容进行检查的包.例如,如果实现了一个TCP会话过程,那么在会话过程的大部分时间内,双方传输的数据包的TCP标志ACK、PSH都被置位.而测试包头的TCP标志比对数据包的内容进行模式匹配需要的计算量要小的多.所以,在开发相关的检测规则时,需要设置flags规则选项对PSH和ACK没有置位的数据包进行过滤.