Snort规则分析与规则增加
以下是资料介绍,如需要完整的请充值下载.
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
1.无需注册登录,支付后按照提示操作即可获取该资料.
2.资料以网页介绍的为准,下载后不会有水印.资料仅供学习参考之用.
密 惠 保
资料介绍:
国内外研究现状
对入侵检测的研究最早可追溯到20世纪80年代。1980年4月,James P Anderson第一次详细阐述了入侵检测的概念[1]。1987年,乔治敦大学的Dorothy Denning 和SRI/SL的Peter Neumann研究出了第一个入侵检测系统模型[2]。在20年的发展中,入侵技术方法上的综合化和复杂化,入侵规模不断扩大、入侵者呈现分布特性、入侵对象也有所转移和变化的特点,入侵检测系统(Intrusion Detection System,记作IDS)适应安全形势的需要,取得了很大的进展,正日益成为安全技术领域中一个重要的安全措施。特别是近几年,入侵检测系统不断采用新的技术和方法,在检测效率和性能上有了很大提高;所检测的数据对象不断扩大,而且逐步进行各种资源的关联分析;系统结构与功能不断延伸,逐渐与其他安全技术进行联动[3]。
入侵攻击技术与检测技术在一定程度上是相互促进的,为了准确、有效地识别出已知和未知的攻击,在入侵检测系统中不断采用优越的算法和技术,主要是人工智能技术、移动代理技术、数据融合和信息关联技术。同时,由于攻击呈现的分布式特点和犯罪特性,入侵检测系统在结构与功能方面也在不断地发展、变化,与其他安全技术逐渐进行联动与融合。
目前大多数IDS由以下三个基本的功能模块构成[4]。
事件提取:事件提取模块从信息源获取数据。数据的来源可以取自系统的不同层次,
可以是主机上的日志信息、系统状态变化信息,也可以网络上的数据信息,甚至是流量
变化等。通常以对网络、主机和应用层的监视最为普遍。
入侵分析:入侵检测系统的这一部分的作用在于对来自信息源的数据进行深入分析,判断是否正有入侵或已有入侵发生,并传递结果给处理模块。数据分析的方式多种
多样,最常见的分析方法是误用检测和异常检测。该模块是一个入侵检测系统的核心。
入侵响应 :入侵响应即处理。该模块的作用在于对系统所检测的入侵做出一组警报或警告。
Snort作为一个基于网络的入侵检测系统(NIDS),其工作原理为在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。从检测模式而言,Snort属于是误用检测(Misuse detection),即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
Snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。例如:buffer overflows ,stealth port scans ,CGI attacks 等。Snort 具有实时报警的能力,它的报警信息可以发往syslog ,Server Message Block (SMB) ,WinPopup message 或者单独的alert 文件[5]。Snort 支持多种记录数据包形式,包括tcpdump 的二进制形式和数据包解码后的文本形式。Snort 运用插件机制,能够非常容易地增加功能,使程序具有很强的可扩展性。
由于遍布世界各地的众多程序员共同维护和升级,目前Snort系统的更新是很快的,目前版本2.0.8,其系统结构日趋合理,功能不断增强,检测规则也不断增新和完善,但系统的基本架构没有变。而且,自由软件开发人员陆续开发了众多辅助性的软件。这些软件包括图形化的管理系统、日志分析工具、检测插件、图形化的规则编写软件,以及规则自动升级软件等。对这些软件进行合理地选择、集成,可以形成一套比较完善的网络入侵检测系统。
入侵检测基础
2.1 入侵检测概述
入侵行为是指对系统资源的非法授权使用,它可以造成系统数据的丢失和破坏、可以造成系统对合法用户的拒绝服务等危害,给集体和个人造成损失。入侵检测技术就是针对这种破坏采取的主动保护自己免受攻击的一种网络安全技术。它试图监视和尽可能阻止有害信息的入侵,或者其他能够对用户的系统和网络资源产生危害的行为。 [来源:http://think58.com]
2.1.1入侵检测技术
入侵检测技术是网络安全防御体系的关键技术[6],它通过对网络和主机上某些关键信息进行收集分析,检测其中是否有违反安全策略的事件或攻击事件发生,并对检测到的事件发出警报.
入侵检测技术可以分为两大类:异常入侵检测技术和误用入侵检测技术[7]。
异常检测是通过建立主体的正常行为模型来发现异常行为,从而达到发现未知攻击的目的。异常检测根据使用者的行为或者资源使用状况来判断是否入侵,属于一种基于行为的检测,它可以检测出以前从未出现过的攻击方法。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程度。而异常检测技术最大的优点是可以检测出以前从未出现过的入侵攻击[8],异常检测不依赖于对已知攻击的识别,只要能检查出攻击者与正常调用有较大的不同就能检测出攻击。它的主要缺陷是误检率很高。 本文来自think58
误用检测运用已知的攻击方法得到入侵模式或特征,通过判断这些入侵模式是否出现来进行检测。它假定所有入侵行为和手段(及其变种)都能够表达成一种模式或特征,并对已知的入侵行为提取检测特征,构建攻击模式或攻击签名,通过系统当前状态与攻击模式或攻击签名的匹配来判断入侵行为,属于基于知识的检测。误用检测技术可以有针对性地建立高效的入侵检测系统,检测准确率高[8];缺点是对未知的入侵活动或已知入侵活动的变异无能为力,攻击特征提取困难,并且需要不断更新特征库。
2.1.2 入侵检测系统
进行入侵检测的软件和硬件的组合就是入侵检测系统[9]。入侵检测系统作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)。根据不同的分类标准,入侵检测系统可分划为不同的类别。入侵检测系统分类主要依据有:数据源、检测原理等。
按照原始数据的来源,可以将入侵检测系统分为基于主机的入侵检测系统HIDS(Host Intrusion Detection System)、基于网络的入侵检测系统NIDS (Network Intrusion Detection System) [10].
基于主机的IDS(HIDS)在操作系统、应用程序或者内核层次上对攻击进行监控。HIDS有权检查日志、错误消息、服务和应用程序权限、以及受监控主机的任何可用资源。另外,HIDS应该了解应用程序。它应该知道如何区分正常的应用程序数据和异常数据,并且能够监控进行解码和操作的应用程序数据。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据。通过这些证据可以指出有人正在入侵或已成功入侵了系统,并很快地启动相应的应急响应程序。 think58 [资料来源:http://www.THINK58.com]
HIDS能更好地确定攻击是否成功。由于恶意的流量看起来与正常的流量非常相似,所以网络型IDS(NIDS)常常会产生错误报警。由于HIDS产生误报量比NIDS少,因此HIDS在检测真正的入侵上更为准确。
基于网络的入侵检测系统(NIDS)放置在网络基础设施的关键区域,监控流向其他主机的流量。NIDS的成本比HIDS更低,因为它通过一个装置就能保护一大片网段。通过NIDS,分析员可以相对网络内部和其它周围发生的情况有个全方位的认识。对特殊主机或攻击者的监控力度可以相对容易地加强或者减弱。NIDS主要用于实时监控网络关键路径的信息,侦听网络上的所有分组;并把从网络上截获的原始网络包作为数据源来分析和检测入侵或入侵企图。
只要正确地配置和维护,上述两种入侵检测模型都能成为深度防御的有效组件。值得注意的一点是,你不必只选择其中一种而排斥另一种。NIDS能有效地保护一大片网络基础设施,HIDS能为承担重要任务的主机提供协助保护。基于网络的入侵检测系统与基于主机的入侵检测系统各有优缺点,应该互相取长补短;因此把两者的优势结合起来就能更好地进行检测。实际的入侵检测系统大多是这两种系统的混合体。
从对数据源的分析策略上,又可以分为基于异常发现(Anomaly based)的入侵检测系统和基于模式匹配(Signature based)的入侵检测系统两种[11]。 copyright think58 [版权所有:http://think58.com]
在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。
异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。
在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。
误用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。
对入侵检测的研究最早可追溯到20世纪80年代。1980年4月,James P Anderson第一次详细阐述了入侵检测的概念[1]。1987年,乔治敦大学的Dorothy Denning 和SRI/SL的Peter Neumann研究出了第一个入侵检测系统模型[2]。在20年的发展中,入侵技术方法上的综合化和复杂化,入侵规模不断扩大、入侵者呈现分布特性、入侵对象也有所转移和变化的特点,入侵检测系统(Intrusion Detection System,记作IDS)适应安全形势的需要,取得了很大的进展,正日益成为安全技术领域中一个重要的安全措施。特别是近几年,入侵检测系统不断采用新的技术和方法,在检测效率和性能上有了很大提高;所检测的数据对象不断扩大,而且逐步进行各种资源的关联分析;系统结构与功能不断延伸,逐渐与其他安全技术进行联动[3]。
入侵攻击技术与检测技术在一定程度上是相互促进的,为了准确、有效地识别出已知和未知的攻击,在入侵检测系统中不断采用优越的算法和技术,主要是人工智能技术、移动代理技术、数据融合和信息关联技术。同时,由于攻击呈现的分布式特点和犯罪特性,入侵检测系统在结构与功能方面也在不断地发展、变化,与其他安全技术逐渐进行联动与融合。
目前大多数IDS由以下三个基本的功能模块构成[4]。
copyright think58
[资料来源:http://THINK58.com]
事件提取:事件提取模块从信息源获取数据。数据的来源可以取自系统的不同层次,
可以是主机上的日志信息、系统状态变化信息,也可以网络上的数据信息,甚至是流量
变化等。通常以对网络、主机和应用层的监视最为普遍。
入侵分析:入侵检测系统的这一部分的作用在于对来自信息源的数据进行深入分析,判断是否正有入侵或已有入侵发生,并传递结果给处理模块。数据分析的方式多种
多样,最常见的分析方法是误用检测和异常检测。该模块是一个入侵检测系统的核心。
入侵响应 :入侵响应即处理。该模块的作用在于对系统所检测的入侵做出一组警报或警告。
Snort作为一个基于网络的入侵检测系统(NIDS),其工作原理为在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的预警或记录。从检测模式而言,Snort属于是误用检测(Misuse detection),即对已知攻击的特征模式进行匹配。从本质上来说,Snort是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。
[来源:http://www.think58.com]
Snort采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。例如:buffer overflows ,stealth port scans ,CGI attacks 等。Snort 具有实时报警的能力,它的报警信息可以发往syslog ,Server Message Block (SMB) ,WinPopup message 或者单独的alert 文件[5]。Snort 支持多种记录数据包形式,包括tcpdump 的二进制形式和数据包解码后的文本形式。Snort 运用插件机制,能够非常容易地增加功能,使程序具有很强的可扩展性。
由于遍布世界各地的众多程序员共同维护和升级,目前Snort系统的更新是很快的,目前版本2.0.8,其系统结构日趋合理,功能不断增强,检测规则也不断增新和完善,但系统的基本架构没有变。而且,自由软件开发人员陆续开发了众多辅助性的软件。这些软件包括图形化的管理系统、日志分析工具、检测插件、图形化的规则编写软件,以及规则自动升级软件等。对这些软件进行合理地选择、集成,可以形成一套比较完善的网络入侵检测系统。
入侵检测基础
2.1 入侵检测概述
入侵行为是指对系统资源的非法授权使用,它可以造成系统数据的丢失和破坏、可以造成系统对合法用户的拒绝服务等危害,给集体和个人造成损失。入侵检测技术就是针对这种破坏采取的主动保护自己免受攻击的一种网络安全技术。它试图监视和尽可能阻止有害信息的入侵,或者其他能够对用户的系统和网络资源产生危害的行为。 [来源:http://think58.com]
2.1.1入侵检测技术
入侵检测技术是网络安全防御体系的关键技术[6],它通过对网络和主机上某些关键信息进行收集分析,检测其中是否有违反安全策略的事件或攻击事件发生,并对检测到的事件发出警报.
入侵检测技术可以分为两大类:异常入侵检测技术和误用入侵检测技术[7]。
异常检测是通过建立主体的正常行为模型来发现异常行为,从而达到发现未知攻击的目的。异常检测根据使用者的行为或者资源使用状况来判断是否入侵,属于一种基于行为的检测,它可以检测出以前从未出现过的攻击方法。异常检测的关键问题在于正常使用模式的建立,以及如何利用该模式对当前系统或用户行为进行比较,从而判断出与正常模式的偏离程度。而异常检测技术最大的优点是可以检测出以前从未出现过的入侵攻击[8],异常检测不依赖于对已知攻击的识别,只要能检查出攻击者与正常调用有较大的不同就能检测出攻击。它的主要缺陷是误检率很高。 本文来自think58
误用检测运用已知的攻击方法得到入侵模式或特征,通过判断这些入侵模式是否出现来进行检测。它假定所有入侵行为和手段(及其变种)都能够表达成一种模式或特征,并对已知的入侵行为提取检测特征,构建攻击模式或攻击签名,通过系统当前状态与攻击模式或攻击签名的匹配来判断入侵行为,属于基于知识的检测。误用检测技术可以有针对性地建立高效的入侵检测系统,检测准确率高[8];缺点是对未知的入侵活动或已知入侵活动的变异无能为力,攻击特征提取困难,并且需要不断更新特征库。
[资料来源:www.THINK58.com]
2.1.2 入侵检测系统
进行入侵检测的软件和硬件的组合就是入侵检测系统[9]。入侵检测系统作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)。根据不同的分类标准,入侵检测系统可分划为不同的类别。入侵检测系统分类主要依据有:数据源、检测原理等。
按照原始数据的来源,可以将入侵检测系统分为基于主机的入侵检测系统HIDS(Host Intrusion Detection System)、基于网络的入侵检测系统NIDS (Network Intrusion Detection System) [10].
基于主机的IDS(HIDS)在操作系统、应用程序或者内核层次上对攻击进行监控。HIDS有权检查日志、错误消息、服务和应用程序权限、以及受监控主机的任何可用资源。另外,HIDS应该了解应用程序。它应该知道如何区分正常的应用程序数据和异常数据,并且能够监控进行解码和操作的应用程序数据。基于主机的入侵检测系统主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据。通过这些证据可以指出有人正在入侵或已成功入侵了系统,并很快地启动相应的应急响应程序。 think58 [资料来源:http://www.THINK58.com]
HIDS能更好地确定攻击是否成功。由于恶意的流量看起来与正常的流量非常相似,所以网络型IDS(NIDS)常常会产生错误报警。由于HIDS产生误报量比NIDS少,因此HIDS在检测真正的入侵上更为准确。
基于网络的入侵检测系统(NIDS)放置在网络基础设施的关键区域,监控流向其他主机的流量。NIDS的成本比HIDS更低,因为它通过一个装置就能保护一大片网段。通过NIDS,分析员可以相对网络内部和其它周围发生的情况有个全方位的认识。对特殊主机或攻击者的监控力度可以相对容易地加强或者减弱。NIDS主要用于实时监控网络关键路径的信息,侦听网络上的所有分组;并把从网络上截获的原始网络包作为数据源来分析和检测入侵或入侵企图。
只要正确地配置和维护,上述两种入侵检测模型都能成为深度防御的有效组件。值得注意的一点是,你不必只选择其中一种而排斥另一种。NIDS能有效地保护一大片网络基础设施,HIDS能为承担重要任务的主机提供协助保护。基于网络的入侵检测系统与基于主机的入侵检测系统各有优缺点,应该互相取长补短;因此把两者的优势结合起来就能更好地进行检测。实际的入侵检测系统大多是这两种系统的混合体。
从对数据源的分析策略上,又可以分为基于异常发现(Anomaly based)的入侵检测系统和基于模式匹配(Signature based)的入侵检测系统两种[11]。 copyright think58 [版权所有:http://think58.com]
在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。
异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况。
在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。
误用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏警。