Snort系統規則優(yōu)化

信息技術(shù)2008年第8期Tnfomatin Fohasigy中圖分類(lèi)號:TP393.08文獻標識碼:A 文章編 號:1009 - 2552(2008)08 - 0116- 03Snort系統規則優(yōu)化朱偉(中南大學(xué)信息科學(xué)與工程學(xué)院，長(cháng)沙410083)摘要: Snort入侵檢測系統的效率直接取決于用于檢測規則的規則集質(zhì)量。創(chuàng )建理想的規則集，是使Snort檢測速度得到提高的關(guān)健?，F講述了Snort 規則優(yōu)化的具體過(guò)程，優(yōu)化時(shí)出現的問(wèn)題及對問(wèn)題的解決辦法。關(guān)鍵詞:人侵檢測;規則優(yōu)化;模式匹配Rule optimizer of Snort systemZHU Wei(College of Information Science and Engineering, Central University, Changsha 410083, China)Abstract: The fficiency of set inspection technologies is directly linked to the quality of the set that used forruleinspection of Snort. It is the rule optimizer' s key step to create a rule setthat is ideal for use in setinspection technology. This paper introduced the Snort rule optimizer technology, and question prob-blyappeared and the solution.Key words: model matching; intnusion detection system; nule optimizer0引言專(zhuān)家系統按鍵監視系統.模型推理、狀態(tài)轉換和模人侵檢測系統( IDS: Intnusion Detection System)是式匹配等。自動(dòng)進(jìn)行人侵檢測的監視和分析過(guò)程的硬件或軟件異常檢測系統試圖發(fā)現- -些未知入侵行為,誤產(chǎn)品。人侵檢測系統作為一種主動(dòng)的安全防護技用檢測系統是標識一些已知的人侵行為。異常檢測術(shù),提供了對內部攻擊外部攻擊和誤操作的實(shí)時(shí)保主要缺陷在于誤警率高,尤其在用戶(hù)數目眾多或工護,在網(wǎng)絡(luò )系統受到危害之前攔截和響應人侵。作行為經(jīng)常改變的環(huán)境中;但對具體系統依賴(lài)性小。人侵檢測系統根據信息源的不同分為兩類(lèi):基誤用檢測由于依賴(lài)具體特征庫進(jìn)行判斷,準確度要于主機的IDS和基于網(wǎng)絡(luò )的IDS?；谥鳈C的IDS高很多;但對具體系統依賴(lài)性大。數據源有:系統日志、應用程序日志等?；诰W(wǎng)絡(luò )的1 Snort 概述IDS數據源是網(wǎng)絡(luò )上的數據包。人侵檢測方法主要Snort 是-一個(gè)用C語(yǔ)言編寫(xiě)的符合GPL要求的采用兩類(lèi):異常入侵檢測和濫用人侵檢測。開(kāi)放源代碼軟件, Snort運行在Libpeap 庫函數基礎異常入侵檢測是假定所有人侵行為都是與正常之上,支持多種軟硬件平臺。Snort 作為人侵檢測系行為不同的。為實(shí)現該類(lèi)檢測，IDS建立正?；顒?dòng)統的代表,屬于基于網(wǎng)絡(luò )和誤用檢測的入侵檢測軟的“規范集”,當主體的活動(dòng)違反其統計規律時(shí),認為件系統。同時(shí)它也能作為網(wǎng)絡(luò )數據包嗅探器和日志可能是“人侵”行為。主要方法有概率統計方法、預記錄工具。它采用基于規則的網(wǎng)絡(luò )搜索機制,對數測模式生成神經(jīng)網(wǎng)絡(luò )方法數據挖掘技術(shù)和狀態(tài)機據包進(jìn)行內容的模式匹配,從中發(fā)現入侵和探測行為。方法等。中國煤化工時(shí)在短時(shí)間內調整誤用入侵檢測是將符合已知入侵特征的行為視YHCNMHF類(lèi)來(lái)說(shuō),Snort共有為人侵,它預先對已知的攻擊方法進(jìn)行分析,提取其特征,以規則形式存放, -且發(fā)現真實(shí)的信息與規則收稿日期: 2007- 10-22作者簡(jiǎn)介:朱偉(1977- ).男,2008年畢業(yè)于中南大學(xué)計算機應用專(zhuān)中的特征相匹配,則認為是攻擊行為。主要方法有:業(yè),碩士,研究方向為網(wǎng)絡(luò )入侵檢測。一116一.50類(lèi),2293條規則,其中包括對緩沖區溢出，端口掃通常,當處理規則集數目比較少的時(shí)候這個(gè)方描和CGI攻擊等。當有了新的攻擊手段時(shí),只要簡(jiǎn)法相對有效。但是,當-個(gè)規則集中的規則數目大單加人新的規則就可以升級Snorto于10的時(shí)候,這個(gè)標準的處理方法效率會(huì )很低。因Snort有三種運行模式:數據包嗅探器數據包為規則集中的規則被線(xiàn)性檢測,所以規則檢測速度分析器和網(wǎng)絡(luò )人侵檢測系統。人侵檢測模式是最常會(huì )減低，也就意味著(zhù)每個(gè)規則的每個(gè)參數將被單獨用的一種。其中基于規則的模式匹配是其檢測的核測試。而且這種處理方法會(huì )使-一個(gè)包與多個(gè)規則集心機制，它的人侵檢測流程分成兩大步:第-步是規匹配,這樣大大減低了檢測速度。則的解析流程,包括從規則文件中讀取規則和在內2.2 Snort2.0 規則處理存中組織規則;第二二步是使用這些規則進(jìn)行匹配。針對snort2.0以前版本出現的問(wèn)題,為了加快Snort 規則分成兩部分:規則頭與規則選項。規檢測速度,Snor2.0提出了基于集合的檢測方法,使則頭包含規則的行為、協(xié)議源地址、目的地址子網(wǎng)每一個(gè)數據包匹配時(shí)僅有一個(gè)規則集與之匹配。規掩碼源和目的端口。規則選項包括報警信息及用則檢測流程都是一樣的,不同于只是創(chuàng )建規則庫方于確定是否觸發(fā)規則響應而需要檢查的數據包區域法。將所有具有相同內容的規則放在一起，確定能的位置信息。Snort 規則庫采取二維鏈表結構,采用夠唯一表示規則的參數,用它來(lái)劃分從什么地方分數據結構RuleTreeNode ( RTN)和OpreeN-odes支(針對于規則鏈表),比如ICMP協(xié)議的類(lèi)型域能(OIN)存儲規則數據。夠區別不同ICMP協(xié)議,那么建立規則時(shí),根據ICMP2 Snort規則處理協(xié)議類(lèi)型來(lái)劃分,找到相同ICMP類(lèi)型的規則頭鏈基于規則的模式匹配是Snort檢測的主要機制,表,再在該規則集中匹配所有規則選項。即對從網(wǎng)絡(luò )上捕獲的每-條數據報文,將其轉換成對于這種方法,創(chuàng )建和選擇規則集是核心,規則Snort可以理解的規則,然后和規則鏈表進(jìn)行匹配。優(yōu)化創(chuàng )建的規則集必須符合以下兩個(gè)條件:如果匹配成功,就表示檢測到至少-一個(gè)攻擊,然后按(1)盡可能的創(chuàng )建最小的最有效的規則集。照指定的行為進(jìn)行處理;反之就表示報文正常。(2)創(chuàng )建獨立的規則集，即使得每個(gè)包且僅有唯檢測速度直接取決于匹配過(guò)程的快慢。下面通一的規則集與之匹配。過(guò)分析Snort2.0以前版本的檢測機制,探討2.0版規則優(yōu)化通過(guò)使用唯- -的Snort規則參數在初本的優(yōu)化。始化的時(shí)候創(chuàng )建規則集。對于每個(gè)傳輸協(xié)議來(lái)說(shuō)選2.1 Snort2.0 以前版本的規則處理?yè)竦膮凳遣煌?，因為每個(gè)傳輸協(xié)議都有不同的Snort 所有規則被組織成二維規則鏈表,按照規標志。比如,用來(lái)區別不同TCP規則的參數是源端則模式分類(lèi)存放在規則列表中,總體的檢測過(guò)程就口和目的端口,而區別ICMP規則的是ICMP類(lèi)型。是對規則鏈表的匹配掃描,查找數據包對應的規則。規則優(yōu)化采用所有這些能唯一確定某- 規則的參 數首先根據規則類(lèi)型找到對應的規則鏈表頭List-來(lái)形成不同的規則集。這樣不同類(lèi)型的包,被歸為Head,然后在相應的鏈表中,根據協(xié)議找相應的規則一個(gè)規則集。頭鏈表,根據IP地址和端口號,在規則頭鏈表中找對于異常的包,會(huì )出現匹配兩個(gè)規則集的情況。到對應的規則頭,接著(zhù)匹配此規則頭附帶的規則選這種現象把它稱(chēng)為“特定規則沖突"。規則優(yōu)化是多項列表。規則搜索引擎的第一個(gè)階段,因為規則集的選擇取Snortl. X版本的規則匹配就是純粹的參數搜索,決子規則集的參數與包的參數的匹配。在這個(gè)意義即遍歷整個(gè)規則集來(lái)判斷-個(gè)包或數據流是否有匹上,規則優(yōu)化確定能夠與這個(gè)包匹配的規則,并且過(guò)配的規則。所有的規則按照以下四個(gè)參數來(lái)分類(lèi):濾出多規則搜索引擎需要處理的規則。(1)源IP地址。2.3 規則優(yōu)化的實(shí)現(2)目的IP地址。對于不同的協(xié)議，確定規則集的參數是不同的。(3)源端口范圍。通過(guò)對傳輸協(xié)議的分析,相應的參數如下:(4)目的端口范圍。TCP/UDP源端口目的端口當檢測包的時(shí)候,它檢測每個(gè)規則集的四個(gè)參ICMPICMP類(lèi)型數來(lái)確定是否檢測這個(gè)規則集還是移動(dòng)到下一一個(gè)規中國煤化工則集。如果一個(gè)包匹配這個(gè)規則集的四個(gè)參數,則MH這個(gè)規則集中的規則將按順序被檢測,每個(gè)規則的比咖心"比luliuur or以CNM H&的參數是源端口和參數也是順序被測試。這個(gè)規則集中的所有規則測目的端口。端口分為兩類(lèi):保留的和不保留的。大試完后,又同樣的過(guò)程繼續下一個(gè)規則集。部分兩個(gè)主機之間的通信將使用一個(gè)保留端口(通-117一常是服務(wù)器端)與-一個(gè)非保留端口(大于1024 或通2.4特定規則與一般規則常是客戶(hù)端)。這樣規則優(yōu)化可以保留端口作為參特定規則即存在特定參數的規則,如TCP規數。Snort通過(guò)確定保留端口定位于源端口還是目則、UDP規則、ICMP規則。一般規則除了內容沒(méi)有的端口來(lái)選擇規則集。如果保留端口定位于源端什么可以將這個(gè)規則與其他規則區別開(kāi)?？?則意味著(zhù)該包來(lái)自于服務(wù)器。反之,則說(shuō)明數據但是在異常情況下,也會(huì )出現沖突的情況,即一包來(lái)自于客戶(hù)端。個(gè)包匹配多個(gè)規則集,這種情況稱(chēng)為“特定規則沖了解TCP/UDP協(xié)議的應用有助于說(shuō)明這一點(diǎn)。突"。特定規則集沖突發(fā)生在TCP與UDP上,因為HTTP/UDP是客戶(hù)端與服務(wù)器之間的雙方向通信，兩個(gè)規則集適用的參數大于兩個(gè)(源地址和目的地即Snort需要檢測的包要么是從客戶(hù)端發(fā)往服務(wù)器,址、源和目的端口)。如果捕獲的數據包的源端口是要么是從服務(wù)器發(fā)送到客戶(hù)端。所以規則優(yōu)化將規特定端口,目的端口也是特定端口,則出現匹配兩個(gè)則分組,按照保留端口是在源端口還是目的端口來(lái)規則集的情況,即既與源端口為特定端口的規則集劃分。這樣,客戶(hù)端請求規則集與服務(wù)器響應規則匹配,又與目的端口為特定端口的規則集匹配。遇集就是兩個(gè)獨立的規則集。那么客戶(hù)端發(fā)來(lái)的包被到這種情況,可以?xún)蓚€(gè)規則集都檢測。不用匹配服務(wù)器響應規則集了。還有一種沖突- -般是因為人為的發(fā)-些惡意的例如，HTP客戶(hù)端請求的數據包需要檢測HT-或異常的包所致。這種情況發(fā)生時(shí),會(huì )產(chǎn)生報警。TP客戶(hù)請求規則,而不是HTT'P服務(wù)器響應規則。.解決沖突的方法的三種:雙重檢測、首發(fā)命中檢所以- -個(gè)來(lái)自于HTP客戶(hù)端(在TCP協(xié)議的目的測和隨機檢測。端口域為80)的包,源端口和目的端口都因為是保(1)雙重檢測( double inspection)留端口而被檢測。對于客戶(hù)端1HTTP數據流大部.這是最基本的處理不明確沖突的方法。因為兩分源端口不是保留端口(因為在1024以上),但是目個(gè)規則集都用來(lái)檢測包,兩次檢測就是將規則依次的端口是保留端口,因為它的目標是一個(gè)HTTP服檢測,該方法保證可能發(fā)生的所有事件,但是對于務(wù)器,HTP服務(wù)器經(jīng)常使用端口80或其他已指定DOS攻擊卻無(wú)能為力。的HT'P端口。所以在這種情況下,一個(gè)HTP客(2)首發(fā)命中檢測(ist-hit inspetion)戶(hù)端發(fā)來(lái)的包,具有目的端口為80源端口為一般端.該方法和兩次檢測有些類(lèi)似,不同之處是,如果口的規則集將被選擇。第一個(gè)被檢測的規則集檢測出有異?；驉阂馐录l(fā)2.3.2 ICMP 協(xié)議生,那么另一個(gè)規則集就不用被檢測了。ICMP規則僅僅使用ICMP類(lèi)型域來(lái)優(yōu)化ICMP(3)隨機檢測(Stochastic inspection)規則集。沒(méi)有類(lèi)型域的規則被認為是-般ICMP規隨機檢測即為隨機地選擇-一個(gè)規則集。該方法則,被加入每一個(gè)獨立的規則集中,包括一般規則防止了由于不確定沖突發(fā)生的DOS攻擊的可能。.集。例如,一個(gè)類(lèi)型代碼為8的ICMP包( echo re-但是它不能保證所有的人侵事件都被發(fā)現。如攻擊quest 包),類(lèi)型代碼8作為參數被檢測。但是如果者利用由于源地址與目的地址造成的沖突,利用一類(lèi)型代碼不具體,則被- -般ICMP規則集檢測。個(gè)規則集被檢測而另一個(gè)不被檢測的情況而逃避檢2.3.3 IP 協(xié)議測,但是對于隨機檢測方法,攻擊者就很難確定哪個(gè)所有的IP規則包括TCP, UDP或者ICMP;都屬規則被檢測而那個(gè)不被檢測所以攻擊者就不能保證于特定協(xié)議規則集,其他協(xié)議屬于P規則集。即在能成功人侵。規則匹配時(shí),如果根據協(xié)議類(lèi)型找不到匹配的規則3結束語(yǔ)鏈表頭,或沒(méi)有找到匹配項,就搜索IP規則鏈表。規則優(yōu)化目的是加快規則檢測的速度,是Snort沒(méi)有協(xié)議域的規則被認為是一般的IP 規則,加人到.檢測引擎的主要部件。本文介紹了Snont的檢測過(guò)每一個(gè)IP,TCP,UDP和ICMP規則集中。程,規則鏈表結構，規則優(yōu)化的原理,優(yōu)化產(chǎn)生的問(wèn)總之,創(chuàng )建的規則集,是將具有相同特征的規則題及問(wèn)題的解決辦法。歸為一個(gè)集合,如果有對數據包的匹配項,則肯定在參考文獻:該集合中,這樣不用依次檢測其它的規則頭鏈表,節1] Jack Koxziol Intrusion Detction with Snort[M].2005.省了冗余,大部分情況下對一個(gè)數據包只有一項與[2]中國煤化工支術(shù)[M].國防工業(yè)出版之匹配,大大提高了檢測速度。實(shí)際上,規則優(yōu)化使用傳輸協(xié)議信息來(lái)創(chuàng )建和[3]fYHC N M H G創(chuàng )析[M].清華大學(xué)出版社,2002.選擇高效的規則集。但是在異常情況下，也會(huì )出現.責任編輯:張滎香沖突的情況,下面就這一-現象作一下介紹。一118一