入侵检测技术课件：第5章 基于网络的IDS

检测引擎的设计是基于网络入侵检测的核心问题。从具体的实现机制看，检测引擎可分为嵌入式规则检测引擎和可编程的检测。从具体采用的检测技术看，网络入侵检测引擎常见的技术类型分为两类：模式匹配和协议分析技术。5检测引擎的设计在嵌入式规则检测引擎的设计中，存在两点关键问题：检测规则和引擎架构设计。本小节将以Snort系统为例，介绍这两个关键设计问题。首先，对于Snort系统而言，它采用的是自己定义的检测规则格式。由于Snort规则格式定义的良好特性，类似的规则格式在很多实际系统中得到采纳。Snort的检测规则示例，如图5-15所示。图5-15Snort检测规则示例5.1嵌入式规则检测引擎设计alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)如图5-15所示，Snort规则可以划分为两个逻辑部分：规则头和规则选项。规则头包含了规则动作、协议、IP源地址和目的地址、子网掩码以及源端口和目标端口值等信息。而规则选项则包含警报信息以及用于确定是否触发规则响应动作而需检查的数据包区域位置的相关信息。Snort规则头主要由下列字段的信息组成。（1）规则动作规则动作定义了在当前数据包满足所有在规则中指定的属性特征的情况下，所应该采取的行动。它位于规则的首位，在Snort中定义了3种基本的动作类型。①Alert:使用选定的报警方式生成警报信号，然后记录当前数据包。②Log:记录当前数据包。③Pass:丢弃（忽略）当前数据包。在Snort的后继版本中，不断引入以下新的动作类型。●Activate:激活指定的特定Dynamic类型的检测规则。●Dynamic:在特定Activate类型规则触发后，得到激活。由此可知，Activate和Dynamic类型的规则必须成对出现，以完成特定的任务。（2）协议规则中的下一个字段为协议字段。目前，Snort主要支持对3种IP协议进行分析，以发现可疑行为，它们是TCP、UDP和ICMP协议。（3）IP地址规则头的下一个字段主要用来指定当前规则的IP地址和端口信息。可以使用关键字Any来指定任何地址。Snort不支持对规则文件中的IP地址进行主机名称查询。在图5-16中，源IP地址指定为任何对话主机的地址，而目的地址则设定为在C类网络地址上进行匹配。对IP地址还可以应用一种称为“求反算子”的操作符。该操作符告诉Snort系统匹配除了所指定地址之外的任意IP地址。求反操作符使用符号“！”来表示。图5-16IP地址规则实例（4）端口号端口号可以使用多种方法进行指定，包括Any关键字指定、静态端口定义、范围定义和求反操作符指定等。Any关键字指定的端口为一通配符值，意味着所有的端口号。静态端口由某一单独端口号来指定，如111为端口映射，23为Telnet端口以及80为HTTP服务端口等。使用范围定义的端口值用范围操作符“：”来指示。范围操作符的使用可以有多种形式，对应的含义也不同，如图5-17所示。alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)图5-17端口范围示例logudpanyany->/241:1024记录来自任意端口且目标端口为1~1024范围内的UDP数据包logtcpanyany->/24:6000记录目标端口小于或等于6000的TCP数据包logtcpany:1024->/24500:记录源端口号小于或等于1024而目标端口号大于或等于500的TCP数据包端口求反指定使用求反操作符“！”来表示。求反操作符能够应用于其他几种端口的指定形式（除了Any端口）。例如，由于某种原因，需要对XWindows端口之外所有端口的数据流量进行记录，此时可以使用如图5-18所示的规则形式。图5-18端口求反示例logtcpanyany->/24!6000:6010（5）方向操作符方向操作符“->”指示规则所适用的流量方向。位于方向操作符左侧的IP地址和端口号被认为是指示来自源主机的数据包流量，而位于右侧的部分则指示目的主机。还有一种称为“双向操作符”的符号定义，表示为“<>”。该双向操作符告诉Snort，将任一地址/端口对视为源地址或者目的地址均可。这对于需要同时记录并分析对话双方流量的场合是十分适合的。图5-19中所示的情况就是使用双向操作符来记录一个Telnet会话双方的数据流量的例子。图5-19使用双向操作符的规则log!/24any<>/2423规则头的主要作用就是定义网络数据包分组中的报头路由特征，这些特征在检测若干明显违反安全特征的行为时，是十分有效的。规则选项是Snort检测规则设计中的核心部分，Snort规则选项的设计将易用性和检测性能以及灵活性结合起来。Snort不断引入新的规则选项类型。这里介绍其中的基本选项类型。

msg：在警报信号和数据包日志中显示一条消息；

log：将数据包记录到用户指定名称的文件，而不是标准输出文件；

ttl：测试IP数据包的TTL字段值是否为特定值；

id：测试IP数据包的分组ID字段是否等于指定值；

dsize：测试数据包的负载段大小是否等于指定值；

flow：指定网络TCP数据流的方向，例如从服务器发出或是客户端发出；

content：在数据包负载中搜索指定模式；

content-list：用于同时指定多个content选项；

uricontent：在特定的URL字段域内搜索特定模式；

offset：选项content的修饰符，设定模式搜索的起始偏移量；

depth：选项content的修饰符,设定某一指定模式匹配尝试的最大搜索深度；

nocase：在进行字符串模式匹配时，不区分大小写；

flags：测试各种TCP标识值；

seq：测试TCP序列号字段是否等于指定值；

ack：测试TCP确认字段是否等于指定值；

itype：测试ICMP类型字段是否等于指定值；

icode：测试ICMP代码字段是否等于指定值；

session：转储某一指定会话的应用层信息；

icmp_id：测试ICMPEchoID字段是否等于指定值；

icmp_seq：测试ICMPEcho序列号是否等于指定值；

ipoption：监控IP选项字段中特定选项代码的出现情况；

rpc：监控RPC服务中特定应用程序/过程的调用情况；

resp：激活的响应选项（例如，关闭连接等）。Snort分析14Snort的规则（1）记录所有登录到一个特定主机的数据包：logtcpanyany->/3223（2）在第一条的基础上记录了双向的流量：logtcpanyany<

>/3223（3）这一条规则记录了所有到达你的本地主机的icmp数据包：logicmpanyany->/24any（4）这条规则允许双向的从你的机子到其他站点的http包：passtcpany80<

>/24any对于网络入侵检测而言，存在着两种基本的技术类型，分别称为“特征（signature）分析”和“协议（protocol）分析”技术。特征分析技术最早应用在早期的网络入侵检测系统中，它的基本工作原理是建立在字符串匹配的简单概念之上。最初的基于特征分析的入侵检测系统是非常原始的，它在工作时完全不考虑网络数据包中所包含的协议格式化信息，而是将输入数据包视为一个无序无结构的随机数据流，企图仅仅依靠简单的字符串匹配操作完成所有的检测任务。5.3特征分析与协议分析技术基于网络的入侵检测技术16模式匹配技术从网络数据包的包头开始和攻击特征比较；如果比较结果相同，则检测到一个可能的攻击；如果比较结果不同，从网络数据包中下一个位置重新开始比较；直到检测到攻击或网络数据包中的所有字节匹配完毕，一个攻击特征匹配结束。对于每一个攻击特征，重复1步到4步的操作。直到每一个攻击特征匹配完毕，对给定数据包的匹配完毕。基于网络的入侵检测技术17模式匹配

00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111180a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:www.amer14069746563682e636f6d0d0a436f6e6e65..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....基于网络的入侵检测技术18协议分析技术网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，如果将协议分析和模式匹配方法结合起来，可以获得更好的效率、更精确的结果。协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。协议分析有效利用了网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。他的高效使得匹配的计算量大幅度减小。基于网络的入侵检测技术19

00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f

686f6d655f636f6c6c616765ges/home_collage

60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:http://www902e616d657269746563682e636f6d2f70./pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b2