信息技術(shù)2008年第8期Tnfomatin Fohasigy中圖分類號:TP393.08文獻標(biāo)識碼:A 文章編 號:1009 - 2552(2008)08 - 0116- 03Snort系統(tǒng)規(guī)則優(yōu)化朱偉(中南大學(xué)信息科學(xué)與工程學(xué)院，長沙410083)摘要: Snort入侵檢測系統(tǒng)的效率直接取決于用于檢測規(guī)則的規(guī)則集質(zhì)量。創(chuàng)建理想的規(guī)則集，是使Snort檢測速度得到提高的關(guān)健?，F(xiàn)講述了Snort 規(guī)則優(yōu)化的具體過程，優(yōu)化時出現(xiàn)的問題及對問題的解決辦法。關(guān)鍵詞:人侵檢測;規(guī)則優(yōu)化;模式匹配Rule optimizer of Snort systemZHU Wei(College of Information Science and Engineering, Central University, Changsha 410083, China)Abstract: The fficiency of set inspection technologies is directly linked to the quality of the set that used forruleinspection of Snort. It is the rule optimizer' s key step to create a rule setthat is ideal for use in setinspection technology. This paper introduced the Snort rule optimizer technology, and question prob-blyappeared and the solution.Key words: model matching; intnusion detection system; nule optimizer0引言專家系統(tǒng)按鍵監(jiān)視系統(tǒng).模型推理、狀態(tài)轉(zhuǎn)換和模人侵檢測系統(tǒng)( IDS: Intnusion Detection System)是式匹配等。自動進行人侵檢測的監(jiān)視和分析過程的硬件或軟件異常檢測系統(tǒng)試圖發(fā)現(xiàn)- -些未知入侵行為,誤產(chǎn)品。人侵檢測系統(tǒng)作為一種主動的安全防護技用檢測系統(tǒng)是標(biāo)識一些已知的人侵行為。異常檢測術(shù),提供了對內(nèi)部攻擊外部攻擊和誤操作的實時保主要缺陷在于誤警率高,尤其在用戶數(shù)目眾多或工護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)人侵。作行為經(jīng)常改變的環(huán)境中;但對具體系統(tǒng)依賴性小。人侵檢測系統(tǒng)根據(jù)信息源的不同分為兩類:基誤用檢測由于依賴具體特征庫進行判斷,準(zhǔn)確度要于主機的IDS和基于網(wǎng)絡(luò)的IDS?；谥鳈C的IDS高很多;但對具體系統(tǒng)依賴性大。數(shù)據(jù)源有:系統(tǒng)日志、應(yīng)用程序日志等。基于網(wǎng)絡(luò)的1 Snort 概述IDS數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。人侵檢測方法主要Snort 是-一個用C語言編寫的符合GPL要求的采用兩類:異常入侵檢測和濫用人侵檢測。開放源代碼軟件, Snort運行在Libpeap 庫函數(shù)基礎(chǔ)異常入侵檢測是假定所有人侵行為都是與正常之上,支持多種軟硬件平臺。Snort 作為人侵檢測系行為不同的。為實現(xiàn)該類檢測，IDS建立正?；顒咏y(tǒng)的代表,屬于基于網(wǎng)絡(luò)和誤用檢測的入侵檢測軟的“規(guī)范集”,當(dāng)主體的活動違反其統(tǒng)計規(guī)律時,認(rèn)為件系統(tǒng)。同時它也能作為網(wǎng)絡(luò)數(shù)據(jù)包嗅探器和日志可能是“人侵”行為。主要方法有概率統(tǒng)計方法、預(yù)記錄工具。它采用基于規(guī)則的網(wǎng)絡(luò)搜索機制,對數(shù)測模式生成神經(jīng)網(wǎng)絡(luò)方法數(shù)據(jù)挖掘技術(shù)和狀態(tài)機據(jù)包進行內(nèi)容的模式匹配,從中發(fā)現(xiàn)入侵和探測行為。方法等。中國煤化工時在短時間內(nèi)調(diào)整誤用入侵檢測是將符合已知入侵特征的行為視YHCNMHF類來說,Snort共有為人侵,它預(yù)先對已知的攻擊方法進行分析,提取其特征,以規(guī)則形式存放, -且發(fā)現(xiàn)真實的信息與規(guī)則收稿日期: 2007- 10-22作者簡介:朱偉(1977- ).男,2008年畢業(yè)于中南大學(xué)計算機應(yīng)用專中的特征相匹配,則認(rèn)為是攻擊行為。主要方法有:業(yè),碩士,研究方向為網(wǎng)絡(luò)入侵檢測。一116一.50類,2293條規(guī)則,其中包括對緩沖區(qū)溢出，端口掃通常,當(dāng)處理規(guī)則集數(shù)目比較少的時候這個方描和CGI攻擊等。當(dāng)有了新的攻擊手段時,只要簡法相對有效。但是,當(dāng)-個規(guī)則集中的規(guī)則數(shù)目大單加人新的規(guī)則就可以升級Snorto于10的時候,這個標(biāo)準(zhǔn)的處理方法效率會很低。因Snort有三種運行模式:數(shù)據(jù)包嗅探器數(shù)據(jù)包為規(guī)則集中的規(guī)則被線性檢測,所以規(guī)則檢測速度分析器和網(wǎng)絡(luò)人侵檢測系統(tǒng)。人侵檢測模式是最常會減低，也就意味著每個規(guī)則的每個參數(shù)將被單獨用的一種。其中基于規(guī)則的模式匹配是其檢測的核測試。而且這種處理方法會使-一個包與多個規(guī)則集心機制，它的人侵檢測流程分成兩大步:第-步是規(guī)匹配,這樣大大減低了檢測速度。則的解析流程,包括從規(guī)則文件中讀取規(guī)則和在內(nèi)2.2 Snort2.0 規(guī)則處理存中組織規(guī)則;第二二步是使用這些規(guī)則進行匹配。針對snort2.0以前版本出現(xiàn)的問題,為了加快Snort 規(guī)則分成兩部分:規(guī)則頭與規(guī)則選項。規(guī)檢測速度,Snor2.0提出了基于集合的檢測方法,使則頭包含規(guī)則的行為、協(xié)議源地址、目的地址子網(wǎng)每一個數(shù)據(jù)包匹配時僅有一個規(guī)則集與之匹配。規(guī)掩碼源和目的端口。規(guī)則選項包括報警信息及用則檢測流程都是一樣的,不同于只是創(chuàng)建規(guī)則庫方于確定是否觸發(fā)規(guī)則響應(yīng)而需要檢查的數(shù)據(jù)包區(qū)域法。將所有具有相同內(nèi)容的規(guī)則放在一起，確定能的位置信息。Snort 規(guī)則庫采取二維鏈表結(jié)構(gòu),采用夠唯一表示規(guī)則的參數(shù),用它來劃分從什么地方分?jǐn)?shù)據(jù)結(jié)構(gòu)RuleTreeNode ( RTN)和OpreeN-odes支(針對于規(guī)則鏈表),比如ICMP協(xié)議的類型域能(OIN)存儲規(guī)則數(shù)據(jù)。夠區(qū)別不同ICMP協(xié)議,那么建立規(guī)則時,根據(jù)ICMP2 Snort規(guī)則處理協(xié)議類型來劃分,找到相同ICMP類型的規(guī)則頭鏈基于規(guī)則的模式匹配是Snort檢測的主要機制,表,再在該規(guī)則集中匹配所有規(guī)則選項。即對從網(wǎng)絡(luò)上捕獲的每-條數(shù)據(jù)報文,將其轉(zhuǎn)換成對于這種方法,創(chuàng)建和選擇規(guī)則集是核心,規(guī)則Snort可以理解的規(guī)則,然后和規(guī)則鏈表進行匹配。優(yōu)化創(chuàng)建的規(guī)則集必須符合以下兩個條件:如果匹配成功,就表示檢測到至少-一個攻擊,然后按(1)盡可能的創(chuàng)建最小的最有效的規(guī)則集。照指定的行為進行處理;反之就表示報文正常。(2)創(chuàng)建獨立的規(guī)則集，即使得每個包且僅有唯檢測速度直接取決于匹配過程的快慢。下面通一的規(guī)則集與之匹配。過分析Snort2.0以前版本的檢測機制,探討2.0版規(guī)則優(yōu)化通過使用唯- -的Snort規(guī)則參數(shù)在初本的優(yōu)化。始化的時候創(chuàng)建規(guī)則集。對于每個傳輸協(xié)議來說選2.1 Snort2.0 以前版本的規(guī)則處理擇的參數(shù)是不同的，因為每個傳輸協(xié)議都有不同的Snort 所有規(guī)則被組織成二維規(guī)則鏈表,按照規(guī)標(biāo)志。比如,用來區(qū)別不同TCP規(guī)則的參數(shù)是源端則模式分類存放在規(guī)則列表中,總體的檢測過程就口和目的端口,而區(qū)別ICMP規(guī)則的是ICMP類型。是對規(guī)則鏈表的匹配掃描,查找數(shù)據(jù)包對應(yīng)的規(guī)則。規(guī)則優(yōu)化采用所有這些能唯一確定某- 規(guī)則的參 數(shù)首先根據(jù)規(guī)則類型找到對應(yīng)的規(guī)則鏈表頭List-來形成不同的規(guī)則集。這樣不同類型的包,被歸為Head,然后在相應(yīng)的鏈表中,根據(jù)協(xié)議找相應(yīng)的規(guī)則一個規(guī)則集。頭鏈表,根據(jù)IP地址和端口號,在規(guī)則頭鏈表中找對于異常的包,會出現(xiàn)匹配兩個規(guī)則集的情況。到對應(yīng)的規(guī)則頭,接著匹配此規(guī)則頭附帶的規(guī)則選這種現(xiàn)象把它稱為“特定規(guī)則沖突"。規(guī)則優(yōu)化是多項列表。規(guī)則搜索引擎的第一個階段,因為規(guī)則集的選擇取Snortl. X版本的規(guī)則匹配就是純粹的參數(shù)搜索,決子規(guī)則集的參數(shù)與包的參數(shù)的匹配。在這個意義即遍歷整個規(guī)則集來判斷-個包或數(shù)據(jù)流是否有匹上,規(guī)則優(yōu)化確定能夠與這個包匹配的規(guī)則,并且過配的規(guī)則。所有的規(guī)則按照以下四個參數(shù)來分類:濾出多規(guī)則搜索引擎需要處理的規(guī)則。(1)源IP地址。2.3 規(guī)則優(yōu)化的實現(xiàn)(2)目的IP地址。對于不同的協(xié)議，確定規(guī)則集的參數(shù)是不同的。(3)源端口范圍。通過對傳輸協(xié)議的分析,相應(yīng)的參數(shù)如下:(4)目的端口范圍。TCP/UDP源端口目的端口當(dāng)檢測包的時候,它檢測每個規(guī)則集的四個參ICMPICMP類型數(shù)來確定是否檢測這個規(guī)則集還是移動到下一一個規(guī)中國煤化工則集。如果一個包匹配這個規(guī)則集的四個參數(shù),則MH這個規(guī)則集中的規(guī)則將按順序被檢測,每個規(guī)則的比咖心"比luliuur or以CNM H&的參數(shù)是源端口和參數(shù)也是順序被測試。這個規(guī)則集中的所有規(guī)則測目的端口。端口分為兩類:保留的和不保留的。大試完后,又同樣的過程繼續(xù)下一個規(guī)則集。部分兩個主機之間的通信將使用一個保留端口(通-117一常是服務(wù)器端)與-一個非保留端口(大于1024 或通2.4特定規(guī)則與一般規(guī)則常是客戶端)。這樣規(guī)則優(yōu)化可以保留端口作為參特定規(guī)則即存在特定參數(shù)的規(guī)則,如TCP規(guī)數(shù)。Snort通過確定保留端口定位于源端口還是目則、UDP規(guī)則、ICMP規(guī)則。一般規(guī)則除了內(nèi)容沒有的端口來選擇規(guī)則集。如果保留端口定位于源端什么可以將這個規(guī)則與其他規(guī)則區(qū)別開?？?則意味著該包來自于服務(wù)器。反之,則說明數(shù)據(jù)但是在異常情況下,也會出現(xiàn)沖突的情況,即一包來自于客戶端。個包匹配多個規(guī)則集,這種情況稱為“特定規(guī)則沖了解TCP/UDP協(xié)議的應(yīng)用有助于說明這一點。突"。特定規(guī)則集沖突發(fā)生在TCP與UDP上,因為HTTP/UDP是客戶端與服務(wù)器之間的雙方向通信，兩個規(guī)則集適用的參數(shù)大于兩個(源地址和目的地即Snort需要檢測的包要么是從客戶端發(fā)往服務(wù)器,址、源和目的端口)。如果捕獲的數(shù)據(jù)包的源端口是要么是從服務(wù)器發(fā)送到客戶端。所以規(guī)則優(yōu)化將規(guī)特定端口,目的端口也是特定端口,則出現(xiàn)匹配兩個則分組,按照保留端口是在源端口還是目的端口來規(guī)則集的情況,即既與源端口為特定端口的規(guī)則集劃分。這樣,客戶端請求規(guī)則集與服務(wù)器響應(yīng)規(guī)則匹配,又與目的端口為特定端口的規(guī)則集匹配。遇集就是兩個獨立的規(guī)則集。那么客戶端發(fā)來的包被到這種情況,可以兩個規(guī)則集都檢測。不用匹配服務(wù)器響應(yīng)規(guī)則集了。還有一種沖突- -般是因為人為的發(fā)-些惡意的例如，HTP客戶端請求的數(shù)據(jù)包需要檢測HT-或異常的包所致。這種情況發(fā)生時,會產(chǎn)生報警。TP客戶請求規(guī)則,而不是HTT'P服務(wù)器響應(yīng)規(guī)則。.解決沖突的方法的三種:雙重檢測、首發(fā)命中檢所以- -個來自于HTP客戶端(在TCP協(xié)議的目的測和隨機檢測。端口域為80)的包,源端口和目的端口都因為是保(1)雙重檢測( double inspection)留端口而被檢測。對于客戶端1HTTP數(shù)據(jù)流大部.這是最基本的處理不明確沖突的方法。因為兩分源端口不是保留端口(因為在1024以上),但是目個規(guī)則集都用來檢測包,兩次檢測就是將規(guī)則依次的端口是保留端口,因為它的目標(biāo)是一個HTTP服檢測,該方法保證可能發(fā)生的所有事件,但是對于務(wù)器,HTP服務(wù)器經(jīng)常使用端口80或其他已指定DOS攻擊卻無能為力。的HT'P端口。所以在這種情況下,一個HTP客(2)首發(fā)命中檢測(ist-hit inspetion)戶端發(fā)來的包,具有目的端口為80源端口為一般端.該方法和兩次檢測有些類似,不同之處是,如果口的規(guī)則集將被選擇。第一個被檢測的規(guī)則集檢測出有異?；驉阂馐录l(fā)2.3.2 ICMP 協(xié)議生,那么另一個規(guī)則集就不用被檢測了。ICMP規(guī)則僅僅使用ICMP類型域來優(yōu)化ICMP(3)隨機檢測(Stochastic inspection)規(guī)則集。沒有類型域的規(guī)則被認(rèn)為是-般ICMP規(guī)隨機檢測即為隨機地選擇-一個規(guī)則集。該方法則,被加入每一個獨立的規(guī)則集中,包括一般規(guī)則防止了由于不確定沖突發(fā)生的DOS攻擊的可能。.集。例如,一個類型代碼為8的ICMP包( echo re-但是它不能保證所有的人侵事件都被發(fā)現(xiàn)。如攻擊quest 包),類型代碼8作為參數(shù)被檢測。但是如果者利用由于源地址與目的地址造成的沖突,利用一類型代碼不具體,則被- -般ICMP規(guī)則集檢測。個規(guī)則集被檢測而另一個不被檢測的情況而逃避檢2.3.3 IP 協(xié)議測,但是對于隨機檢測方法,攻擊者就很難確定哪個所有的IP規(guī)則包括TCP, UDP或者ICMP;都屬規(guī)則被檢測而那個不被檢測所以攻擊者就不能保證于特定協(xié)議規(guī)則集,其他協(xié)議屬于P規(guī)則集。即在能成功人侵。規(guī)則匹配時,如果根據(jù)協(xié)議類型找不到匹配的規(guī)則3結(jié)束語鏈表頭,或沒有找到匹配項,就搜索IP規(guī)則鏈表。規(guī)則優(yōu)化目的是加快規(guī)則檢測的速度,是Snort沒有協(xié)議域的規(guī)則被認(rèn)為是一般的IP 規(guī)則,加人到.檢測引擎的主要部件。本文介紹了Snont的檢測過每一個IP,TCP,UDP和ICMP規(guī)則集中。程,規(guī)則鏈表結(jié)構(gòu)，規(guī)則優(yōu)化的原理,優(yōu)化產(chǎn)生的問總之,創(chuàng)建的規(guī)則集,是將具有相同特征的規(guī)則題及問題的解決辦法。歸為一個集合,如果有對數(shù)據(jù)包的匹配項,則肯定在參考文獻:該集合中,這樣不用依次檢測其它的規(guī)則頭鏈表,節(jié)1] Jack Koxziol Intrusion Detction with Snort[M].2005.省了冗余,大部分情況下對一個數(shù)據(jù)包只有一項與[2]中國煤化工支術(shù)[M].國防工業(yè)出版之匹配,大大提高了檢測速度。實際上,規(guī)則優(yōu)化使用傳輸協(xié)議信息來創(chuàng)建和[3]fYHC N M H G創(chuàng)析[M].清華大學(xué)出版社,2002.選擇高效的規(guī)則集。但是在異常情況下，也會出現(xiàn).責(zé)任編輯:張滎香沖突的情況,下面就這一-現(xiàn)象作一下介紹。一118一