入侵特征字符串的数据包与规则库中的规则进行匹配时会作大量的无用计算,降 低了入侵检测的效率。
将出现频率高的正常连接模式称为高频连接模式。设定一个阀值,以下为此 阀值的求解过程。
假设:在训练阶段系统没有遭受攻m,这时1 ibpcap将捕获到的数据包交付过 滤器模块,设共捕获数据包特征为m个,共有n种连接,统计第i种连接的个
数为n,则连接特征i的频率为:n,/m,其中i=l,2,?,n可知特征数据包头的出 现频率的期望为:
Ef=善刀,×刀/ (4.1)
还可以知道,总的特征数据包头的出现频率方差为: 32
基于Snort的入侵检测系统的研究与应川 Df=Σ]ni-E(I (4.2) ,=l
因为,根据契比雪夫不等式设随机变量£有数学期望E号及方差D号zlflJJ对于任何止 数£,下列不等式成立:
尸q孝一£fI≥s)≤-D.Y (4.3) 这里令D孝/s 2
=0.0001,则£可求知,N--I£I,就是所求得的阀值。在相同
源和目的地址和端口情况下,凡是个数在N以上的连接特征只作简单忽略(PaSS) 处理,不对其所有连接特征分析。这样就大大节省了检测系统的开销,降低漏报 率,提高系统可靠性。 4.6综合检测模型
在前面讨论的基础上,将数据包捕获机制、规则优化、缓存策略相结合,得 到一个综合检测模型,如图4-6所示: 图4-6综合检测模型 第四章Snort性能分析
在入侵榆测系统启动的时候,需要先对规则集进行优化,生成用于榆测的
经过优化的链表结构。采|Hj改进的包捕获机制捕获数据包,协议分析后预处理插 件过滤频繁连接的包,待检测的数据流先.与缓存中的规则集匹配,如果不匹配再 与优化的规则库进行二次匹配。 4.7本章小结
本章通过对Snort的分析,提出了改进Snort的四种方法:第一、采用内存 映射技术和NAPI技术来改进Snort的包捕获性能。第二、采用规则优化技术创 建高效的规则集以提高规则匹配的速度。第三、利用高速缓存策略提高检测效率。 第四、在预处理模块设定阈值忽略统计到的频繁连接的包。并在最后给出了优化 snort性能的综合检测模型。 34
基于Snort的入侵检测系统的研究与麻川 第五章Snort系统的应用实例
5.1 Snort系统防火墙技术的配合使用
随着网络技术的快速发展,如今的网络安全不再仅仅是靠防火墙或者个别安 全设备就可以完全抵御的,攻击手法和方式的多样化要求网络安全产品整合\协 同工作。防火墙、杀毒软件、安全策略早已被大多数用户采用的,更出现了IPS、
IDP等高端的安全产品.就L}一小企业而言,入侵检测系统与防火墙协同工作就能基 本解决网络安全的需要。而以免费的Snort作为网络入侵检测系统与防火墙配合 使用,就是一个廉价而高效的解决方案。 5.1.1传统网络安全防护及缺陷
传统的信息安全技术都集中在系统自身的加固和防护上:比如,在网络出口 配置防火墙、在信息传输和存储中采用加密技术、使用集中的身份认证产品等。 然而,单纯的防护技术有许多方面的问题。首先,单纯的防护技术容易导致系统 的盲目建设,这种盲目包括两方面:一方面是4i了解安全威胁的严峻和当前的安 全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致不必 要的浪费,也就是说没有建立成熟的检测机制以保证安全并在发现问题以后迅速 做出响应。其次,防火墙策略对于防范黑客有其明显的局限性。防火墙技术是内 部网最主要的安全技术之一,其主要作用就是控制对受保护网络的非法访问,它 通过限制、监视、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构, 另一方面对内屏蔽外部危险站点,用以防范外对内、内对外的非法访问。但也有 其明显的局限性:
l、防火墙难丁防内。防火墙的安全控制只能用于外对内或者内对外,即:
对外可屏蔽内部网的拓扑结构,封锁外部网的用户连接内部网的主要站点或者端 13,对内可屏敝外部危险站点,但它很难解决内部网控制内部人员的安全问题, 即防外不防内。而据权威部门统计信息表明,网络上的安全攻击事件80%来自内 部网络的攻击。
2、防火墙难丁.管理和配置,易造成安全漏洞。防火墙的管理和配置相当复 杂,要想成功的维护防火墙,要求防火墙管理员对网络攻击的手段及其与系统配 第五章Snort系统的应用实例
置的关系有相当深刻的了解。防火墙的安全策略无法进行集中管理。一般来说, 由多个系统(路由器,过滤器,代理服务器,网关,主机)组成的防火墙,管理上 有所疏忽是在所难免的。
3、防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内外提供 一致的安伞策略。许多防火墙对用户的安伞控制主要足基于用户所用机器的IP 地址而不是用户的身份,这样就很难为同一用户存防火墙内外提供一致的安全策 略,限制了企业网的物理范围。
4、防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其它安全
机制(如访问控制)集成使用。这样,企业就必须为内部的身份验证和访问控制管 理维护单独的数据库。
刚络入侵检测系统能够实时检测数据包,及采取相应的防护手段,如记录
证据用于跟踪、恢复、断开网络连接等,弥补防火墙的不足。因此,将免费的 Snort作为网络入侵检测系统与防火墙配合使用,是一个比较高效的解决方案。 5.2一个基于Snort的入侵检测系统实现方案
该方案是根据某公安局实际情况专门设置的,经过一段时间的应用,运行良好, 现介绍该方案的具体实现. 5.2.1现状分析
公安局网络划分成内网、外网、公安信息网三套网络,外网与互联网相联,
为用户提供访问互联刚的服务;内刚为用户提供U常的-L作和I勺部信息的发前j: 簟网为业务争用网络与卜下级的、№务网相连。三套删络物理隔离。现一t要针对公 安信息网进行讨论。
公安信息网由省、市、县二级组成,目前未采用域的方_=【\=管理。网络拓扑如 图5一l所示。 36
基于Snort的入侵检测系统的研究与应脚 市公安局网络拓朴图
田5—1公安局网络拓扑圉
该部门所涉及的信息带有机密性,因此其信息安争问题,如敏感信息的泄露、 冀客的侵扰、网|并资源的非浊使用吐及计算机病毒等.部将对该部门信息安全构 成威胁。为保证网络系统的安全,宵必要对公安信息网进行安全设计。
总结近期所发生的各娄病毒危害事件.曰l椅公安网的安全保障工作丰要存在 以下隐患和不足:
1、公安信息网上的训算机系统统1竽在漏洞现象普遍,由于现代锅毒的网络
化传播,已经清除过病毒的计算机刚I:网.马J:就又被jC他带毒的计算机感染, 致使讲葬机和H络上的痛再柏H感染,难以清系干净。由于病毒多是在网络上快 速{士播.这些病毒旦大范围发作,持会m塞剐络,导致网络m法正常运行。 2、没有病毒整体防护的技术支撑系统,以车对公安信息网上嫡毒的分布和
扩散隋况不能进行有效监删,不能及叫定忙稍毒的感染i15[和受感染的计算机,对 病毒的查杀缺乏针对性和统性.*致网络病毒住公安信息网上长{!日存在。 3、尚未建立起一套较完牲的舫病毒安全管邢和成急娃雕预案机制,难以应 对大面积爆发的紧急柚毒事件。 第Ⅱ$s帖n系《的&Ⅲ%Ⅷ
引对上述分析,为该部门量身定制一种宜=牟=高教的网络安争解决方案。 I、安全的删络边缘防护。存叫荚处部署硬件防毒墙,提供针对HTTP、FTP、 SMTP和POP3协议内容检商,清除病毒的能力,同时通过规则设定在网络环 境中的内外网之间建立一道功能强大的防火墙体系.以保护内部资源不受外部网 络的威胁。
2、配置入侵检测系统Snort,监控公安专用网的网络流量,若发现异常数据 包,产生报警和日志,并记录在入侵检测数据库·I·。本系统共配置3个探针。探 针均位于防火墙内部。探针1用于监视DNS服务器、邮件服务器、短信平台服 务器等内部服务器,探针2和3用于检测所有对内部用户的攻击,凶网络流量较 人.所以设置2个探制。
防火墙与入侵检测系统Snort具体部署如罔5-2所示。 图5—2公安信息网防火墙与入侵检测系统部署圈 5 2 3入侵检测系统的具体实现
绌合实际使用情况,本系统采用“传感器一数据库一分析平台”的¨二层分布式 基于Snort的入侵检测系统的研究与廊J}lJ
体系结构,总体上它主要由3个核心功能模块构成:网络入侵柃测系统、同志 数据库服务器和日志分析显示控制台,在Windows系统上实现。系统所川软件 包括:MySQL,APACHE,ACID,PHP,ADODB,OpenSSL,SnortCenter。 SnortCenter是一款基于WEB方式升级和维护Snort配置的管理应用软件,
使用的足PHP/MySOL WEB界面,包括基于PHP的管理应用软件和SnortCenter 代理,SnortCenter管理控制台安装在Snort服务器上,而SnortCenter传感器 代理被安装在所管理的传感器中。ACID是一个基T PHP的分析引擎,用于查询 和管理Snort产生的数据库。MySQL数据库用于保存各探针的日志等记录,Apache
服务器则提供系统所需的WEB服务。 5.2.3.1网络入侵检测模块
Snort网络入侵检测模块主要包括使用Snort管理配置工具对Snon进行配
置,配置Snoff的数据库输}H插件和建立Snon入侵检测系统。传感器即网络数 据包捕获转储程序。WinPcap作为系统底层网络接口驱动,Snort作为数据报捕 获、筛选和转储程序,二者即‘叮构成IDS的传感器部件。
为了实现基于Web方式的配置Snort系统的功能,需要安装相应的基于Web 的Snort服务管理软件。本系统选用的是APACHE+PHP,这个组合的运行效率较 高而且安全配置简单。
5.2.3.2日志数据库服务器
日志数据库服务器主要是从入侵检测模块中收集报警日志数据并将它导入
到一个关系数据库中。本系统中入侵检测模块提供了很多种日志报警方式,可以 将日志信息存入到文本文件中,并不一定需要关系数据库。然而,利用关系数据 库存放口志,是对数量庞大的报警数据进行有效组织管理的最实用的方法,可利 用该数据库进行复杂的查询,并能更好的对报警信息进行管理操作。本系统采用 的是MySQL数据库。从MySQL的官方网站上下载MySQL数据库的源文件, 然后编译源文件后进行安装,或者可直接下载RPM包文件,直接进行安装。因 为入侵检测模块中需要用到MySQL的共享头文件,所以还需要安装MySQL的 共享库。如果需要在主机上操作MySQL数据库,还需要安装MySQL的客户端 工具。安装完毕后,可启动MySQL服务,进入其命令行状态,创建存放入侵检 测系统日志的数据库,并建立入侵检测系统所需要的数据表,删来存放数据包日 志信息。从系统的安全性方面考虑,需要为入侵检测系统专f-jg,j建一个新的用户, 39
第五章Snort系统的应用实例
用以连接同志数据库,查询、更新同志数据。 5.2.3.3日志分析控制台
日志分析控制台模块丰要包括日志数据库接口,日志分析控制台和图表化
显示。数据库接口用来从日志数据||车中提取日志数据,日志分析控制台对日志数 据进行相应的分析处理,并同图表化显示工具配合,最终以图形化界面的形式显 示给用户。为了实现该模块的功能,需要丌发基于B/S结构的入侵检测日志分 析模块,通过Web浏览器来实现日志数据的分析、查询和管理。该系统使用PHP 语言,以开源的日志分析系统ACID(analysis console for intrusion databases)为基 础,实现了基于Web的日志分析控制台功能。日志分析控制台可安装在运行入 侵检测系统的主机上,但出于访问控制和避免其干扰入侵检测系统的考虑,将它 安装在另外的一台专用主机上。因为该分析控制台是基于W曲的方式进行浏览 操作的,需要Web服务器工具Apache的支持。使用Adodb做为分析控制台的 数据库接口。日志分析控制台的核心功能是分析入侵检测系统的口志信息,能按 照不同的方式对其进行分类统计,并将结果显示给用户。本模块以ACID为基 础,对其做了少量的修改,使其满足本系统的要求。
以上是针对本系统的3个核心功能模块分别分析了其功能和实现,当完成
上述系统的实现.与配置后,就可将该系统部署在网络服务器上,用米对网络上的 数据包信息进行实时监控。 5.2.4系统运行结果及评价
入侵检测系统启动后,将实时监控网络上的数据包,并通过数据库输出接口
将日志数据导入到关系数据库中,而日志分析控制台则会通过对应的数据库接口 读取日志,并显示在Web控制台上。图3-3为日志分析控制台所产生的入侵事 件分析统计信息。其中显示的信息有:报警事件的数量,入侵主机和目标主机的 IP地址,对应的端口号,以及异常网络流量中各协议所占的比例等。该控制台 还提供了强大的检索功能,网络管理员可定义检索的事件、协议类型、IP地址、 端口号码等各种条件,系统会根据这些条件快速搜索出相应的记录。 40
基于Snob的^侵检测系统的研究~应用 :∞∞=:。:∞:k。。 涨:2二。节”。釜‘;l一 ‘搿?,,
’1溉1戳营薅:!善舞j :嚣.i篇=:==譬”·~? 图5-3日志分析控制台
通过日志分析控制台,还可查看具体的报警日志数据,如:每条报警记录的
ID号码、报警信息,报警时间,目标/源IP地址,目标/源端口号,协议类型等 信息。图5-4为具体的报警日志信息。在该控制台上还可以对特定的日志信息 进行处理,如:删除该条口志,管理员可以创建不同的口志组,能将日志信息加 入到该组中.井能将日志记录发送到设定的邮箱中,由其它人员进行分析处理等 功能。
熹罴=黑!=!.—一 ;-鼍材j::j:“ 5.3本章小节
图514报警日志信息
本章首先介缁了Snort系统与防火墙技术配台使用的必要性,并提出了一个 Snort系统的具体麻川方案。针对目前公安网存在的安仝隐患,将免费的Snort 作为网络入侵检测系统与防火墙配合.达到了舫御和检测的良好效果。 第入章总结与展望 6.1总结
第六章总结与展望
随着网络的普及和发展,网络安全问题也日益突出。入侵检测技术作为一种 重要的安全技术,已经成为网络安全体系中不可缺少的一部分。入侵检测系统已 成为目前安全工具的主要研究和开发方向。
本文主要在分析入侵监测系统结构和开放源代码入侵检测系统snort规则和 结构特点的基础上,以提高snort的性能作为出发点,提出改进方案。主要研究 工作如下:
l、在介绍入侵检测系统的基础上,对Snort系统结构、主要模块功能、工 作流程和规则结构进行细致剖析。
。2、通过对Snort的深入分析,提m了改进Snort的四种方法:第一、采用内 存映射技术iNNAPI技术来改进Snort的包捕获性能。第■、采用规则优化技术创 建高效的规则集以提高规则匹配的速度。第三、利用高速缓存策略提l亩检测效率。 第四、在预处理模块设定阈值忽略统计到的频繁连接的包。 3、结合实际提出了一个snort系统的典犁应用方案。 6.2展望