網(wǎng)絡安全第8章網(wǎng)絡入侵檢測IDS

第8章網(wǎng)絡入侵檢測IDS1IDS概述1.1IDS概念1.2IDS功能1.3IDS特點1.4IDS基本結(jié)構(gòu)1.1IDS概念一種主動保護自己的網(wǎng)絡和系統(tǒng)免遭非法攻擊的網(wǎng)絡安全技術(shù)。它從計算機系統(tǒng)或者網(wǎng)絡中收集、分析信息，檢測任何企圖破壞計算機資源的完整性、機密性和可用性的行為，即查看是否有違反安全策略的行為和遭到攻擊的跡象，并做出相應的反應。加載入侵檢測技術(shù)的系統(tǒng)我們稱之為入侵檢測系統(tǒng)（IDS，IntrusionDetectionSystem），一般情況下，我們并不嚴格的去區(qū)分入侵檢測和入侵檢測系統(tǒng)兩個概念，而都稱為IDS或入侵檢測技術(shù)。監(jiān)控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey形象地說，它就是網(wǎng)絡攝象機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝象機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝象機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。它還不僅僅只是攝象機，還包括保安員的攝象機，能夠?qū)θ肭中袨樽詣拥剡M行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動）。IDS意義源于信息審計，優(yōu)于信息審計，信息安全審計的核心技術(shù)主動防御的需要，防火墻、VPN通過“阻斷”的機制被動式防御，不能抵制復雜和內(nèi)部的攻擊作為與防火墻配合的防護手段（如下圖）1.2IDS功能監(jiān)控、分析用戶和系統(tǒng)活動實現(xiàn)入侵檢測任務的前提條件發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象入侵檢測系統(tǒng)的核心功能這主要包括兩個方面，一是入侵檢測系統(tǒng)對進出網(wǎng)絡或主機的數(shù)據(jù)流進行監(jiān)控，看是否存在對系統(tǒng)的入侵行為，另一個是評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，看系統(tǒng)是否已經(jīng)遭受了入侵。記錄、報警和響應入侵檢測系統(tǒng)在檢測到攻擊后，應該采取相應的措施來阻止攻擊或響應攻擊。入侵檢測系統(tǒng)作為一種主動防御策略，必然應該具備此功能。審計系統(tǒng)的配置和弱點、評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性等IDS的兩個指標漏報率指攻擊事件沒有被IDS檢測到誤報率(falsealarmrate)把正常事件識別為攻擊并報警誤報率與檢出率成正比例關(guān)系0檢出率(detectionrate)100%100%誤報率1.3IDS特點不足不能彌補差的認證機制需要過多的人為干預不知道安全策略的內(nèi)容不能彌補網(wǎng)絡協(xié)議上的弱點不能分析一個堵塞的網(wǎng)絡不能分析加密的數(shù)據(jù)優(yōu)點：提高信息安全構(gòu)造的其他部分的完整性提高系統(tǒng)的監(jiān)控能力從入口點到出口點跟蹤用戶的活動識別和匯報數(shù)據(jù)文件的變化偵測系統(tǒng)配置錯誤并糾正識別特殊攻擊類型，并向管理人員發(fā)出警報1.4IDS模型入侵檢測模型有多種，其中最有影響的是如下2種：（1）CIDF模型事件分析器事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。分析是核心：效率高低直接決定整個IDS性能響應單元告警和事件報告終止進程，強制用戶退出切斷網(wǎng)絡連接，修改防火墻設(shè)置

災難評估，自動恢復

查找定位攻擊者事件數(shù)據(jù)庫事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件管理器常規(guī)的管理功能：定位、控制ConsoleGUI命令行、客戶程序、Web方式Database日志、規(guī)則庫、行為模式庫（2）Denning模型該模型由以下6個主要部分構(gòu)成：（1）主體（Subjects）：在目標系統(tǒng)上活動的實體，如用戶；（2）對象（Objets）：系統(tǒng)資源，如文件、設(shè)備、命令等；（3）審計記錄（Auditrecords）：由如下的一個六元組構(gòu)成<Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp>?；顒樱ˋction）是主體對目標的操作，對操作系統(tǒng)而言，這些操作包括讀、寫、登錄、退出等；異常條件（Exception-Condition）是指系統(tǒng)對主體的該活動的異常報告，如違反系統(tǒng)讀寫權(quán)限；資源使用狀況（Resource-Usage）是系統(tǒng)的資源消耗情況，如CPU、內(nèi)存使用率等；時間戳（Time-Stamp）是活動發(fā)生時間；（4）活動簡檔（ActivityProfile）：用以保存主體正?；顒拥挠嘘P(guān)信息，具體實現(xiàn)依賴于檢測方法，在統(tǒng)計方法中從事件數(shù)量、頻度、資源消耗等方面度量，可以使用方差、馬爾可夫模型等方法實現(xiàn)；（5）異常記錄（AnomalyRecord）：由<Event，Time-stamp，Profile>組成。用以表示異常事件的發(fā)生情況；（6）活動規(guī)則：規(guī)則集是檢查入侵是否發(fā)生的處理引擎，結(jié)合活動簡檔用專家系統(tǒng)或統(tǒng)計方法等分析接收到的審計記錄，調(diào)整內(nèi)部規(guī)則或統(tǒng)計信息，在判斷有入侵發(fā)生時采取相應的措施。2IDS技術(shù)2.1IDS檢測技術(shù)2.2主機和網(wǎng)絡2.3協(xié)議分析2.4其他高級IDS技術(shù)2.5IDS部署2.1IDS檢測技術(shù)IDS檢測技術(shù)異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵

誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵

異常檢測（AnomalyDetection）思想：任何正常人的行為有一定的規(guī)律需要考慮的問題：（1）選擇哪些數(shù)據(jù)來表現(xiàn)用戶的行為（2）通過以上數(shù)據(jù)如何有效地表示用戶的行為，主要在于學習和檢測方法的不同（3）考慮學習過程的時間長短、用戶行為的時效性等問題BelowThresholdlevelsExceedThresholdLevelsSystemAuditMetricsProfilerIntrusionNormalActivity異常檢測模型異常檢測過程：前提：入侵是異常活動的子集用戶輪廓(Profile):通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程監(jiān)控

量化比較判定 修正指標:漏報(falsepositive),錯報(falsenegative)優(yōu)點可以檢測到未知的入侵

可以檢測冒用他人帳號的行為

具有自適應，自學習功能

不需要系統(tǒng)先驗知識缺點漏報、誤報率高入侵者可以逐漸改變自己的行為模式來逃避檢測合法用戶正常行為的突然改變也會造成誤警統(tǒng)計算法的計算量龐大，效率很低

統(tǒng)計點的選取和參考庫的建立比較困難activitymeasuresprobableintrusionRelativelyhighfalsepositiverate- anomaliescanjustbenewnormalactivities.誤用檢測（MisuseDetection）思想：主要是通過某種方式預先定義入侵行為，然后監(jiān)視系統(tǒng)，從中找出符合預先定義規(guī)則的入侵行為誤用信號需要對入侵的特征、環(huán)境、次序以及完成入侵的事件相互間的關(guān)系進行描述重要問題（1）如何全面的描述攻擊的特征（2）如何排除干擾，減小誤報（3）解決問題的方式SystemAuditMetricsPatternMatcherIntrusionNormalActivityNoSignatureMatchSignatureMatch誤用檢測模型誤用檢測過程前提：所有的入侵行為都有可被檢測到的特征攻擊特征庫:當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵過程監(jiān)控

特征提取匹配判定指標錯報低

漏報高

優(yōu)點:算法簡單、系統(tǒng)開銷小、準確率高、效率高缺點：被動：只能檢測出已知攻擊、新類型的攻擊會對系統(tǒng)造成很大的威脅

模式庫的建立和維護難：模式庫要不斷更新知識依賴于：硬件平臺、操作系統(tǒng)、系統(tǒng)中運行的應用程序IntrusionPatternsactivitiespatternmatchingintrusionCan’tdetectnewattacksExample:if(src_ip==dst_ip)then“l(fā)andattack”2.2主機和網(wǎng)絡按照數(shù)據(jù)來源：基于主機：IDS用以分析的數(shù)據(jù)源于主機系統(tǒng)，包括主機網(wǎng)絡連接、主機審計數(shù)據(jù)、主機應用日志等。主機IDS保護的目標是系統(tǒng)運行所在的主機基于網(wǎng)絡：IDS用以分析的數(shù)據(jù)源于網(wǎng)絡數(shù)據(jù)包。網(wǎng)絡IDS保護的是目標網(wǎng)絡混合型：集成兩者主機IDS示意圖關(guān)鍵問題：監(jiān)視與分析主機的審計記錄可以不運行在監(jiān)控主機上能否及時采集到審計記錄？如何保護作為攻擊目標主機審計子系統(tǒng)？主機IDS特點：能夠監(jiān)測的網(wǎng)絡和主機活動更加細膩視野集中，比如：一旦入侵者得到了一個主機的用戶名和口令，基于主機的代理是最有可能區(qū)分正常的活動和非法的活動的易于用戶剪裁對網(wǎng)絡流量不敏感：數(shù)據(jù)來源不完全源于網(wǎng)絡適用于被加密的以及切換的環(huán)境網(wǎng)絡IDS示意圖關(guān)鍵問題在共享網(wǎng)段上對通信數(shù)據(jù)進行偵聽采集數(shù)據(jù)主機資源消耗少提供對網(wǎng)絡通用的保護如何適應高速網(wǎng)絡環(huán)境？非共享網(wǎng)絡上如何采集數(shù)據(jù)？網(wǎng)絡IDS優(yōu)點偵測速度快隱蔽性好視野更寬較少的監(jiān)測器攻擊者不易轉(zhuǎn)移證據(jù)操作系統(tǒng)無關(guān)性占資源少網(wǎng)絡IDS不足只檢查它直接連接網(wǎng)段的通信，不能檢測在不同網(wǎng)段的網(wǎng)絡包在使用交換以太網(wǎng)的環(huán)境中就會出現(xiàn)監(jiān)測范圍的局限而安裝多臺網(wǎng)絡入侵檢測系統(tǒng)的傳感器會使部署整個系統(tǒng)的成本大大增加。通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復雜的需要大量計算與分析時間的攻擊檢測?？赡軙⒋罅康臄?shù)據(jù)傳回分析系統(tǒng)中，在一些系統(tǒng)中監(jiān)聽特定的數(shù)據(jù)包會產(chǎn)生大量的分析數(shù)據(jù)流量處理加密的會話過程比較困難，目前通過加密通道的攻擊尚不多，但隨著IPV6的普及，這個問題會越來越突出。網(wǎng)絡節(jié)點入侵檢測(NNIDS)NNIDS概況也稱為Stack-BasedIDS安裝在網(wǎng)絡節(jié)點的主機中結(jié)合了NIDS和HIDS的技術(shù)適合于高速交換環(huán)境和加密數(shù)據(jù)2.3協(xié)議分析概念舉例一般流程協(xié)議分析優(yōu)勢概念協(xié)議分析（ProtocolAnalysis，PA）利用協(xié)議的高度規(guī)則性，對協(xié)議進行分析，尋找違反協(xié)議定義的數(shù)據(jù)包。檢測思想?yún)f(xié)議定義是規(guī)范的（通用協(xié)議、專用協(xié)議）協(xié)議頭的長度是固定的，數(shù)據(jù)量很小。協(xié)議舉例（HTTP）協(xié)議舉例（HTTP）幀的前14個字節(jié)為MAC頭，第13、14兩個字節(jié)用于標明第三層采用什么協(xié)議，如為“0800”（即0x0800），則表明是IP協(xié)議，如為“0806”（即0x0806），表明是ARP協(xié)議，如為“8035”（即0x8035），則表明是RARP協(xié)議，如為“8138”（即0x8138），則為NOVELL協(xié)議。IP協(xié)議頭的長度為20個字節(jié)，其中第10個字節(jié)（即該幀第24個字節(jié)）為第四層協(xié)議標識，如為“06”，則為TCP，如為“11”則為UDP，如為“01”則為ICMP。TCP協(xié)議頭的長度為20字節(jié)，其中第3、4兩個字節(jié)（即該幀第35、36兩字節(jié)）為應用層協(xié)議使用的端口號，應用層協(xié)議一般使用專用的端口，如HTTP使用80端口，F(xiàn)TP使用21端口，TELNET使用23端口等。包頭共使用了54Bytes，從第55個字節(jié)開始，就是HTTP數(shù)據(jù)了。協(xié)議分析一般流程協(xié)議分析的優(yōu)勢優(yōu)點減少誤報率提高分析速度可以解決一些具體問題模糊路徑問題、十六進制編碼問題、雙十六進制編碼問題等依據(jù)RFC，執(zhí)行協(xié)議異常分析例如：檢測0-day漏洞腳本大量的90字符可能是ShellCode中的NOP操作2.4其他高級IDS技術(shù)專家系統(tǒng)：將有關(guān)入侵的知識轉(zhuǎn)化為if-then結(jié)構(gòu)的規(guī)則，即將構(gòu)成入侵所要求的條件轉(zhuǎn)化為if部分，將發(fā)現(xiàn)入侵后采取的相應措施轉(zhuǎn)化成then部分。其中的if-then結(jié)構(gòu)構(gòu)成了描述具體攻擊的規(guī)則庫，狀態(tài)行為及其語義環(huán)境可根據(jù)審計事件得到，推理機根據(jù)規(guī)則和行為完成判斷工作。在具體實現(xiàn)中，專家系統(tǒng)主要面臨：1）全面性問題，即難以科學地從各種入侵手段中抽象出全面地規(guī)則化知識；2）效率問題，即所需處理的數(shù)據(jù)量過大，而且在大型系統(tǒng)上，如何獲得實時連續(xù)的審計數(shù)據(jù)也是個問題。神經(jīng)網(wǎng)絡基本思想是用一系列信息單元（命令）訓練神經(jīng)元，這樣在給定一組輸入后，就可能預測出輸出。與統(tǒng)計理論相比，神經(jīng)網(wǎng)絡更好地表達了變量間的非線性關(guān)系，并且能自動學習和更新。實驗表明UNIX系統(tǒng)管理員的行為幾乎全是可以預測的，對于一般用戶，不可預測的行為也只占了很少的一部分。用于檢測的神經(jīng)網(wǎng)絡模塊結(jié)構(gòu)大致是這樣的：當前命令和剛過去的w個命令組成了神經(jīng)網(wǎng)絡的輸入，其中w是神經(jīng)網(wǎng)絡預測下一個命令時所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓練網(wǎng)絡后，該網(wǎng)絡就形成了相應用戶的特征表，于是網(wǎng)絡對下一事件的預測錯誤率在一定程度上反映了用戶行為的異常程度?；谏窠?jīng)網(wǎng)絡的檢測思想如下圖7-3所示：神經(jīng)網(wǎng)絡方法特點：圖中輸入層的w個箭頭代表了用戶最近的w個命令，輸出層預測用戶將要發(fā)生的下一個動作。神經(jīng)網(wǎng)絡方法的優(yōu)點在于能更好地處理原始數(shù)據(jù)的隨機特征，即不需要對這些數(shù)據(jù)作任何統(tǒng)計假設(shè)，并且有較好的抗干擾能力。缺點在于網(wǎng)絡拓撲結(jié)構(gòu)以及各元素的權(quán)重很難確定，命令窗口w的大小也難以選取。窗口太小，則網(wǎng)絡輸出不好，窗口太大，則網(wǎng)絡會因為大量無關(guān)數(shù)據(jù)而降低效率?！傲憧截悺奔夹g(shù)“零拷貝”技術(shù)是指網(wǎng)卡驅(qū)動程序共享一段內(nèi)存區(qū)域，當網(wǎng)卡抓到數(shù)據(jù)包以后直接寫到共享內(nèi)存，這樣的一個處理過程減少了至少一次復制。同時減少了一次網(wǎng)卡驅(qū)動程序向用戶空間復制網(wǎng)絡數(shù)據(jù)包的系統(tǒng)調(diào)用。一次系統(tǒng)調(diào)用的開銷其實是相當大的，對于入侵檢測系統(tǒng)來說由于要頻繁地跟內(nèi)核空間的網(wǎng)卡驅(qū)動程序打交道，因此按傳統(tǒng)方法會造成大量的系統(tǒng)調(diào)用，從而導致系統(tǒng)的性能下降。但是采用了“零拷貝”技術(shù)后有效的避免了這一點。2.5IDS部署IDS體系結(jié)構(gòu)集中式:多個分布于不同主機上的審計程序，但只有一個中央入侵檢測服務器。等級式:定義了若干個分等級的監(jiān)控區(qū)域，每個IDS負責一個區(qū)域，每一級IDS只負責所監(jiān)控區(qū)的分析，然后將當?shù)氐姆治鼋Y(jié)果傳送給上一級IDS。協(xié)作式:將中央檢測服務器的任務分配給多個基于主機的IDS，這些IDS不分等級，各司其職，負責監(jiān)控當?shù)刂鳈C的某些活動。共享局域網(wǎng)HUBIDSSensorMonitoredServersConsole簡單交換網(wǎng)SwitchIDSSensorMonitoredServersConsole通過端口鏡像實現(xiàn)（SPAN/PortMonitor）SwitchIDSSensorMonitoredServersConsole不設(shè)IP隱蔽模式下檢測器的部署復雜交換網(wǎng)沒有專門監(jiān)聽端口的網(wǎng)絡：將用于檢測的端口映射為交換機的出口劃分為多個Vlan的網(wǎng)絡：將用于檢測的端口同時映射為多個Vlan的端口多個交換機串聯(lián)的網(wǎng)絡：使用多個探測器廣域網(wǎng)情況Internet監(jiān)控中心（輔）IDSAgentIDSAgentIDSAgentIDSAgentIDSAgentIDSAgent監(jiān)控中心（主）入侵檢測系統(tǒng)與防火墻的比較3Snort3.1基本情況3.2Snort規(guī)則3.3Snort配置3.4Snort檢測3.1基本情況概述輕量級入侵檢測系統(tǒng)：可配置性可移植性(結(jié)構(gòu)性好，公開源代碼)可擴充性（基于規(guī)則，支持插件）網(wǎng)絡入侵檢測系統(tǒng)數(shù)據(jù)包捕獲（libpcap等）數(shù)據(jù)包分析誤用入侵檢測系統(tǒng)特征模式進行匹配工作模式嗅探器數(shù)據(jù)包記錄器網(wǎng)絡入侵檢測系統(tǒng)核心組成：數(shù)據(jù)保捕獲規(guī)則解析規(guī)則維護3.2Snort規(guī)則規(guī)則描述語言規(guī)則是特征模式匹配的依據(jù)，描述語言易于擴展，功能也比較強大

每條規(guī)則必須在一行中，其規(guī)則解釋器無法對跨行的規(guī)則進行解析邏輯上由規(guī)則頭和規(guī)則選項組成。規(guī)則頭包括：規(guī)則行為、協(xié)議、源/目的IP地址、子網(wǎng)掩碼、方向以及源/目的端口。規(guī)則選項包含報警信息和異常包的信息(特征碼)，使用這些特征碼來決定是否采取規(guī)則規(guī)定的行動。規(guī)則描述語言舉例alerttcpanyany->/24111(content:"|000186a5|";msg:"mountdaccess";)從開頭到最左邊的括號屬于規(guī)則頭部分，括號內(nèi)的部分屬于規(guī)則選項。規(guī)則選項中冒號前面的詞叫做選項關(guān)鍵詞。對于每條規(guī)則來說規(guī)則選項不是必需的，它們是為了更加詳細地定義應該收集或者報警的數(shù)據(jù)包。只有匹配所有選項的數(shù)據(jù)包，Snort才會執(zhí)行其規(guī)則行為。如果許多選項組合在一起，它們之間是邏輯與的關(guān)系。規(guī)則行為（ruleaction）：Alert：使用選定的報警方法產(chǎn)生報警信息，并且記錄數(shù)據(jù)包；Log：記錄數(shù)據(jù)包；Pass：忽略數(shù)據(jù)包；Activate：報警，接著打開其它的dynamic規(guī)則；Dynamic：保持空閑狀態(tài)，直到被activate規(guī)則激活，作為一條log規(guī)則

協(xié)議（protocol）:每條規(guī)則的第二項就是協(xié)議項。當前，snort能夠分析的協(xié)議是：TCP、UDP和ICMP。將來，可能提供對ARP、ICRP、GRE、OSPF、RIP、IPX等協(xié)議的支持。

IP地址：規(guī)則頭下面的部分就是IP地址和端口信息。關(guān)鍵詞any可以用來定義任意的IP地址。snort不支持對主機名的解析，所以地址只能使用數(shù)字/CIDR的形式，CIDR（無級別域內(nèi)路由）指明應用于IP地址的掩碼。/24表示一個C類網(wǎng)絡；/16表示一個B類網(wǎng)絡；而/32表示一臺特定的主機地址。在規(guī)則中，可以使用否定操作符(negationoperator)對IP地址進行操作。它告訴snort除了列出的IP地址外，匹配所有的IP地址。否定操作符使用!表示。例如，使用否定操作符可以很輕松地對上面的規(guī)則進行改寫，使其對從外部網(wǎng)絡向內(nèi)的數(shù)據(jù)報警。

端口號：有幾種方式來指定端口號，包括：any、靜態(tài)端口號(staticport)定義、端口范圍以及使用非操作定義。any表示任意合法的端口號。靜態(tài)端口號表示單個的端口號，例如：111(portmapper)、23(telnet)、80(http)等。使用范圍操作符:可以指定端口號范圍。有幾種方式來使用范圍操作符:達到不同的目的，例如：logudpanyany->/241:1024記錄來自任何端口，其目的端口號在1到1024之間的UDP數(shù)據(jù)包

方向操作符(directionoperator)：方向操作符->表示數(shù)據(jù)包的流向。它左邊是數(shù)據(jù)包的源地址和源端口，右邊是目的地址和端口。此外，還有一個雙向操作符<>,它使snort對這條規(guī)則中，兩個IP地址/端口之間雙向的數(shù)據(jù)傳輸進行記錄/分析，例如telnet或者POP3對話。下面的規(guī)則表示對一個telnet對話的雙向數(shù)據(jù)傳輸進行記錄：log!/24any<>/2423

規(guī)則選項：規(guī)則選項構(gòu)成了snort入侵檢測引擎的核心，它們非常容易使用，同時又很強大和容易擴展。在每條snort規(guī)則中，選項之間使用分號進行分割。規(guī)則選項關(guān)鍵詞和其參數(shù)之間使用冒號分割。下面是一些常用的規(guī)則選項關(guān)鍵詞，其中對部分重要關(guān)鍵詞進行詳細解釋：

msg：在報警和日志中打印的消息； logto：把日志記錄到一個用戶指定的文件，而不是輸出到標準的輸出文件； ttl：測試IP包頭的TTL域的值；

tos：測試IP包頭的TOS域的值； id：測試IP分組標志符(fragmentID)域是否是一個特定的值

ipoption/fragbits/dsize/flags/seq/……3.3Snort配置Snort本身的一些配置，例如變量、預處理插件、輸出插件、規(guī)則集文件等，也是通過解析規(guī)則進行的。在snort2.0版本中，有一個總體規(guī)則文件snort.conf，大部分配置規(guī)則都在此文件中。Include

申明包含文件varriables

在snort規(guī)則文件中可以定義變量。格式為：var<name><value>，例如：varMY_NET

/24,/24]<alerttcpanyany->$MY_NETany(flags:S;msg:“SYNMETApacket”;)。最重要的默認變量是HOME_NET、EXTERNAL_NET、HTTP_PORTS、RULE_PATH等，分別表示本地網(wǎng)絡的IP地址范圍、外部網(wǎng)絡的IP地址范圍、web服務的端口、規(guī)則集文件的路徑。

預處理器：從snort-1.5開始加入了對預處理器（也叫預處理插件）的支持。有了這種支持，用戶和程序員能夠比較容易地編寫模塊化的插件，擴展snort的功能。預處理器在調(diào)用檢測引擎之前，在數(shù)據(jù)包被解碼之后運行。通過這種機制，snort可以以一種outofband的方式對數(shù)據(jù)包進行修改或者分析。預處理器可以使用preprocessor關(guān)鍵詞來加載和配置，格式如下：preprocessor<name>:<options>。例如：preprocessorminfrag:128。以下是一些預處理器的說明：

HTTPdecode預處理插件：HTTP解碼預處理模塊用來處理HTTPURI字符串，把它們轉(zhuǎn)換為清晰的ASCII字符串。這樣就可以對抗evasicewebURL掃描程序和能夠避開字符串內(nèi)容分析的惡意攻擊者。這個預處理模塊使用WEB端口號作為其參數(shù)，每個端口號使用空格分開。格式：http_decode:<端口號列表>，例如：preprocessorhttp_decode:808080Minfrag：這個預處理器測試分片包的大小是否低于一個特定的值。格式：minfrag:<大小閥值)端口掃描檢測模塊portscan：把由單個源IP地址發(fā)起的端口掃描從開始到結(jié)束的全過程記錄到標準日志設(shè)備；如果指定了一個日志文件，就把被掃描的IP地址和端口號和掃描類型都記錄到這個日志文件。格式：portscan:<要監(jiān)視的網(wǎng)絡><端口數(shù)><檢測周期><日志目錄/文件>，例如：preprocessorportscan:/2457/var/log/portscan.logdefrag模塊：defrag插件是由DragosRulu開發(fā)的，它能夠重組IP碎片包，可以防止使用IP碎片包繞過系統(tǒng)的檢測。這個模塊非常容易配置，不需要參數(shù)，直接放在preprocessor關(guān)鍵詞之后即可。它的功能超過了minfrag模塊的功能，所以你如果使用defrag，就不用在用minfrag模塊了。格式：defrag，例如：preprocessordefrag……輸出插件：snort輸出模塊是從1.6版加入的新特征，使snort的輸出更為靈活。snort調(diào)用其報警或者日志子系統(tǒng)時，就會調(diào)用指定的輸出模塊。設(shè)置輸出模塊的規(guī)則和設(shè)置預處理模塊的非常相似。在snort配置文件中可以指定多個輸出插件。如果對同一種類型(報警、日志)指定了幾個輸出插件，那么當事件發(fā)生時,snort就會順序調(diào)用這些插件。使用標準日志和報警系統(tǒng)，默認情況下，輸出模塊就會將數(shù)據(jù)發(fā)送到/var/log/snort目錄，或者用戶使用-l命令行開關(guān)指定的目錄。在規(guī)則文件中，輸出模塊使用output關(guān)鍵詞指定：格式：outputname:<選項>，例如：outputalert_syslog:LOG_AUTHLOG_ALERT3.4Snort檢測協(xié)議匹配。通過協(xié)議分析模塊，將數(shù)據(jù)包按照協(xié)議分析的結(jié)果對協(xié)議相應的部分進行檢測。比如對TCP包的標志位的匹配。

alerttcp$EXTERNAL_NETany->$HOME_NETany(msg:"SCANNULL";flags:0;seq:0;ack:0;reference:arachnids,4;classtype:attempted-recon;sid:623;rev:1;)其中就對TCP的flags、seq、ack進行了協(xié)議位置的匹配。協(xié)議匹配需要對特定協(xié)議進行分析，Snort對IP/TCP/UDP/ICMP進行了分析，但是沒有對應用協(xié)議分析。其它一些商用的IDS進行了高層的應用協(xié)議分析，可以顯著地提高匹配的效率。字符串匹配。目前這是大多數(shù)IDS最主要的匹配方式，事件定義者根據(jù)某個攻擊的數(shù)據(jù)包或者攻擊的原因，提取其中的數(shù)據(jù)包字符串特征。通常IDS經(jīng)過協(xié)議分析后，進行字符串的匹配。

比如：Snort中的一條事件定義，alerttcp$EXTERNAL_NETany->$HTTP_SERVERS$HTTP_PORTS(msg:"WEB-ATTACKSpscommandattempt";flow:to_server,established;uricontent:"/bin/ps";nocase;sid:1328;classtype:web-application-attack;rev:4;)該事件中要進行匹配的字符串就是"/bin/ps