入侵檢測(cè)技術(shù)課件：第5章 基于網(wǎng)絡(luò)的IDS

檢測(cè)引擎的設(shè)計(jì)是基于網(wǎng)絡(luò)入侵檢測(cè)的核心問(wèn)題。從具體的實(shí)現(xiàn)機(jī)制看，檢測(cè)引擎可分為嵌入式規(guī)則檢測(cè)引擎和可編程的檢測(cè)。從具體采用的檢測(cè)技術(shù)看，網(wǎng)絡(luò)入侵檢測(cè)引擎常見(jiàn)的技術(shù)類(lèi)型分為兩類(lèi)：模式匹配和協(xié)議分析技術(shù)。5檢測(cè)引擎的設(shè)計(jì)在嵌入式規(guī)則檢測(cè)引擎的設(shè)計(jì)中，存在兩點(diǎn)關(guān)鍵問(wèn)題：檢測(cè)規(guī)則和引擎架構(gòu)設(shè)計(jì)。本小節(jié)將以Snort系統(tǒng)為例，介紹這兩個(gè)關(guān)鍵設(shè)計(jì)問(wèn)題。首先，對(duì)于Snort系統(tǒng)而言，它采用的是自己定義的檢測(cè)規(guī)則格式。由于Snort規(guī)則格式定義的良好特性，類(lèi)似的規(guī)則格式在很多實(shí)際系統(tǒng)中得到采納。Snort的檢測(cè)規(guī)則示例，如圖5-15所示。圖5-15Snort檢測(cè)規(guī)則示例5.1嵌入式規(guī)則檢測(cè)引擎設(shè)計(jì)alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)如圖5-15所示，Snort規(guī)則可以劃分為兩個(gè)邏輯部分：規(guī)則頭和規(guī)則選項(xiàng)。規(guī)則頭包含了規(guī)則動(dòng)作、協(xié)議、IP源地址和目的地址、子網(wǎng)掩碼以及源端口和目標(biāo)端口值等信息。而規(guī)則選項(xiàng)則包含警報(bào)信息以及用于確定是否觸發(fā)規(guī)則響應(yīng)動(dòng)作而需檢查的數(shù)據(jù)包區(qū)域位置的相關(guān)信息。Snort規(guī)則頭主要由下列字段的信息組成。（1）規(guī)則動(dòng)作規(guī)則動(dòng)作定義了在當(dāng)前數(shù)據(jù)包滿足所有在規(guī)則中指定的屬性特征的情況下，所應(yīng)該采取的行動(dòng)。它位于規(guī)則的首位，在Snort中定義了3種基本的動(dòng)作類(lèi)型。①Alert:使用選定的報(bào)警方式生成警報(bào)信號(hào)，然后記錄當(dāng)前數(shù)據(jù)包。②Log:記錄當(dāng)前數(shù)據(jù)包。③Pass:丟棄（忽略）當(dāng)前數(shù)據(jù)包。在Snort的后繼版本中，不斷引入以下新的動(dòng)作類(lèi)型?！馎ctivate:激活指定的特定Dynamic類(lèi)型的檢測(cè)規(guī)則?！馜ynamic:在特定Activate類(lèi)型規(guī)則觸發(fā)后，得到激活。由此可知，Activate和Dynamic類(lèi)型的規(guī)則必須成對(duì)出現(xiàn)，以完成特定的任務(wù)。（2）協(xié)議規(guī)則中的下一個(gè)字段為協(xié)議字段。目前，Snort主要支持對(duì)3種IP協(xié)議進(jìn)行分析，以發(fā)現(xiàn)可疑行為，它們是TCP、UDP和ICMP協(xié)議。（3）IP地址規(guī)則頭的下一個(gè)字段主要用來(lái)指定當(dāng)前規(guī)則的IP地址和端口信息?？梢允褂藐P(guān)鍵字Any來(lái)指定任何地址。Snort不支持對(duì)規(guī)則文件中的IP地址進(jìn)行主機(jī)名稱(chēng)查詢。在圖5-16中，源IP地址指定為任何對(duì)話主機(jī)的地址，而目的地址則設(shè)定為在C類(lèi)網(wǎng)絡(luò)地址上進(jìn)行匹配。對(duì)IP地址還可以應(yīng)用一種稱(chēng)為“求反算子”的操作符。該操作符告訴Snort系統(tǒng)匹配除了所指定地址之外的任意IP地址。求反操作符使用符號(hào)“！”來(lái)表示。圖5-16IP地址規(guī)則實(shí)例（4）端口號(hào)端口號(hào)可以使用多種方法進(jìn)行指定，包括Any關(guān)鍵字指定、靜態(tài)端口定義、范圍定義和求反操作符指定等。Any關(guān)鍵字指定的端口為一通配符值，意味著所有的端口號(hào)。靜態(tài)端口由某一單獨(dú)端口號(hào)來(lái)指定，如111為端口映射，23為T(mén)elnet端口以及80為HTTP服務(wù)端口等。使用范圍定義的端口值用范圍操作符“：”來(lái)指示。范圍操作符的使用可以有多種形式，對(duì)應(yīng)的含義也不同，如圖5-17所示。alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)圖5-17端口范圍示例logudpanyany->/241:1024記錄來(lái)自任意端口且目標(biāo)端口為1~1024范圍內(nèi)的UDP數(shù)據(jù)包logtcpanyany->/24:6000記錄目標(biāo)端口小于或等于6000的TCP數(shù)據(jù)包logtcpany:1024->/24500:記錄源端口號(hào)小于或等于1024而目標(biāo)端口號(hào)大于或等于500的TCP數(shù)據(jù)包端口求反指定使用求反操作符“！”來(lái)表示。求反操作符能夠應(yīng)用于其他幾種端口的指定形式（除了Any端口）。例如，由于某種原因，需要對(duì)XWindows端口之外所有端口的數(shù)據(jù)流量進(jìn)行記錄，此時(shí)可以使用如圖5-18所示的規(guī)則形式。圖5-18端口求反示例logtcpanyany->/24!6000:6010（5）方向操作符方向操作符“->”指示規(guī)則所適用的流量方向。位于方向操作符左側(cè)的IP地址和端口號(hào)被認(rèn)為是指示來(lái)自源主機(jī)的數(shù)據(jù)包流量，而位于右側(cè)的部分則指示目的主機(jī)。還有一種稱(chēng)為“雙向操作符”的符號(hào)定義，表示為“<>”。該雙向操作符告訴Snort，將任一地址/端口對(duì)視為源地址或者目的地址均可。這對(duì)于需要同時(shí)記錄并分析對(duì)話雙方流量的場(chǎng)合是十分適合的。圖5-19中所示的情況就是使用雙向操作符來(lái)記錄一個(gè)Telnet會(huì)話雙方的數(shù)據(jù)流量的例子。圖5-19使用雙向操作符的規(guī)則log!/24any<>/2423規(guī)則頭的主要作用就是定義網(wǎng)絡(luò)數(shù)據(jù)包分組中的報(bào)頭路由特征，這些特征在檢測(cè)若干明顯違反安全特征的行為時(shí)，是十分有效的。規(guī)則選項(xiàng)是Snort檢測(cè)規(guī)則設(shè)計(jì)中的核心部分，Snort規(guī)則選項(xiàng)的設(shè)計(jì)將易用性和檢測(cè)性能以及靈活性結(jié)合起來(lái)。Snort不斷引入新的規(guī)則選項(xiàng)類(lèi)型。這里介紹其中的基本選項(xiàng)類(lèi)型。

msg：在警報(bào)信號(hào)和數(shù)據(jù)包日志中顯示一條消息；

log：將數(shù)據(jù)包記錄到用戶指定名稱(chēng)的文件，而不是標(biāo)準(zhǔn)輸出文件；

ttl：測(cè)試IP數(shù)據(jù)包的TTL字段值是否為特定值；

id：測(cè)試IP數(shù)據(jù)包的分組ID字段是否等于指定值；

dsize：測(cè)試數(shù)據(jù)包的負(fù)載段大小是否等于指定值；

flow：指定網(wǎng)絡(luò)TCP數(shù)據(jù)流的方向，例如從服務(wù)器發(fā)出或是客戶端發(fā)出；

content：在數(shù)據(jù)包負(fù)載中搜索指定模式；

content-list：用于同時(shí)指定多個(gè)content選項(xiàng)；

uricontent：在特定的URL字段域內(nèi)搜索特定模式；

offset：選項(xiàng)content的修飾符，設(shè)定模式搜索的起始偏移量；

depth：選項(xiàng)content的修飾符,設(shè)定某一指定模式匹配嘗試的最大搜索深度；

nocase：在進(jìn)行字符串模式匹配時(shí)，不區(qū)分大小寫(xiě)；

flags：測(cè)試各種TCP標(biāo)識(shí)值；

seq：測(cè)試TCP序列號(hào)字段是否等于指定值；

ack：測(cè)試TCP確認(rèn)字段是否等于指定值；

itype：測(cè)試ICMP類(lèi)型字段是否等于指定值；

icode：測(cè)試ICMP代碼字段是否等于指定值；

session：轉(zhuǎn)儲(chǔ)某一指定會(huì)話的應(yīng)用層信息；

icmp_id：測(cè)試ICMPEchoID字段是否等于指定值；

icmp_seq：測(cè)試ICMPEcho序列號(hào)是否等于指定值；

ipoption：監(jiān)控IP選項(xiàng)字段中特定選項(xiàng)代碼的出現(xiàn)情況；

rpc：監(jiān)控RPC服務(wù)中特定應(yīng)用程序/過(guò)程的調(diào)用情況；

resp：激活的響應(yīng)選項(xiàng)（例如，關(guān)閉連接等）。Snort分析14Snort的規(guī)則（1）記錄所有登錄到一個(gè)特定主機(jī)的數(shù)據(jù)包：logtcpanyany->/3223（2）在第一條的基礎(chǔ)上記錄了雙向的流量：logtcpanyany<

>/3223（3）這一條規(guī)則記錄了所有到達(dá)你的本地主機(jī)的icmp數(shù)據(jù)包：logicmpanyany->/24any（4）這條規(guī)則允許雙向的從你的機(jī)子到其他站點(diǎn)的http包：passtcpany80<

>/24any對(duì)于網(wǎng)絡(luò)入侵檢測(cè)而言，存在著兩種基本的技術(shù)類(lèi)型，分別稱(chēng)為“特征（signature）分析”和“協(xié)議（protocol）分析”技術(shù)。特征分析技術(shù)最早應(yīng)用在早期的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中，它的基本工作原理是建立在字符串匹配的簡(jiǎn)單概念之上。最初的基于特征分析的入侵檢測(cè)系統(tǒng)是非常原始的，它在工作時(shí)完全不考慮網(wǎng)絡(luò)數(shù)據(jù)包中所包含的協(xié)議格式化信息，而是將輸入數(shù)據(jù)包視為一個(gè)無(wú)序無(wú)結(jié)構(gòu)的隨機(jī)數(shù)據(jù)流，企圖僅僅依靠簡(jiǎn)單的字符串匹配操作完成所有的檢測(cè)任務(wù)。5.3特征分析與協(xié)議分析技術(shù)基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)16模式匹配技術(shù)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較；如果比較結(jié)果相同，則檢測(cè)到一個(gè)可能的攻擊；如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包中下一個(gè)位置重新開(kāi)始比較；直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中的所有字節(jié)匹配完畢，一個(gè)攻擊特征匹配結(jié)束。對(duì)于每一個(gè)攻擊特征，重復(fù)1步到4步的操作。直到每一個(gè)攻擊特征匹配完畢，對(duì)給定數(shù)據(jù)包的匹配完畢。基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)17模式匹配

00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111180a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)18協(xié)議分析技術(shù)網(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類(lèi)型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包。協(xié)議分析有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)快速地判斷攻擊特征是否存在。他的高效使得匹配的計(jì)算量大幅度減小?；诰W(wǎng)絡(luò)的入侵檢測(cè)技術(shù)19

00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f

686f6d655f636f6c6c616765ges/home_collage

60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b2