入侵檢測(cè)工具Snort的剖析及其在社區(qū)局域網(wǎng)中的應(yīng)用

薛李濱 潘瑜

(1青海師范大學(xué)計(jì)算機(jī)學(xué)院 青海 810000；2江蘇理工學(xué)院計(jì)算機(jī)工程學(xué)院 江蘇 213001)

0 引言

隨著網(wǎng)絡(luò)的普及和互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益突出，針對(duì)網(wǎng)絡(luò)的攻擊行為，在互聯(lián)網(wǎng)中也變得越來越嚴(yán)重。防火墻技術(shù)，數(shù)據(jù)加密技術(shù)，安全路由技術(shù)等作為傳統(tǒng)的網(wǎng)絡(luò)安全保護(hù)的第一道防線已經(jīng)阻擋不了越來越高科技的犯罪，這時(shí)迫切需要一種更加安全的機(jī)制，來對(duì)重要部門的網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的入侵跟蹤和檢測(cè)，而不是像防火墻那樣僅在靜態(tài)范圍內(nèi)對(duì)網(wǎng)絡(luò)資源提供保護(hù)。因此，承擔(dān)網(wǎng)絡(luò)安全第二道防線任務(wù)的入侵檢測(cè)系統(tǒng)[1](Intrusion Detection System,IDS)就應(yīng)運(yùn)而生。IDS能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)信息的收集、分析、攻擊識(shí)別并及時(shí)做出反應(yīng)， IDS能夠檢測(cè)出最常見的因特網(wǎng)攻擊，這些攻擊類型主要有三種：第一是拒絕服務(wù)攻擊[2]（Denial of service attacks），即IDS能夠檢測(cè)出通過使系統(tǒng)癱瘓的方式來拒絕向用戶提供服務(wù)的攻擊，第二種是分布式拒絕服務(wù)攻擊（Distributed Denial of service attacks），即IDS能夠檢測(cè)出從多個(gè)分散的主機(jī)發(fā)動(dòng)攻擊，從而使一個(gè)系統(tǒng)的遠(yuǎn)程資源耗盡的攻擊，第三種是特洛伊木馬，即IDS能夠?qū)Π瑦阂廛浖⒁院戏ㄐ问匠霈F(xiàn)的軟件進(jìn)行監(jiān)控和檢測(cè)。按照收集信息的類型不同，IDS分為基于網(wǎng)絡(luò)和基于分布式的兩種主要類型。因?yàn)槟壳皣鴥?nèi)外的IDS都是商用軟件，價(jià)格昂貴，大多數(shù)的小型企業(yè)都希望能使用一些開源的IDS，Snort是一種開源的IDS，并且它是免費(fèi)的，因此受到很多用戶的歡迎。

1 Snort簡(jiǎn)介

Snort是一種免費(fèi)、跨平臺(tái)、用C編寫的開放源碼的IDS，它符合GPL[3]，經(jīng)過多次版本更新，已經(jīng)發(fā)展成為高效穩(wěn)定的IDS。

Snort支持?jǐn)U充定制以及各種形式的插件，同時(shí)能夠跟蹤IP網(wǎng)絡(luò)數(shù)據(jù)包的日志記錄，探測(cè)異常的入侵軌跡，Snort兼具在功能強(qiáng)大的同時(shí)實(shí)現(xiàn)可移植性和代碼簡(jiǎn)潔的優(yōu)點(diǎn)，在Linux這些開源工具中，Snort數(shù)百萬的下載量，使得其成為名符其實(shí)的行業(yè)標(biāo)準(zhǔn)。

Snort的特點(diǎn)：（1）Snort壓縮后只有1.8M的簡(jiǎn)潔代碼，卻能夠?qū)崿F(xiàn)相對(duì)強(qiáng)大的功能，充分體現(xiàn)了它輕量級(jí)的優(yōu)點(diǎn)。（2）除了Windows，Linux， Solaris， Snort還能夠支持Irix，HP-ux等操作系統(tǒng)，跨平臺(tái)的可移植性能極佳。（3）Snort能夠分析TCP、UDP、ICMP和對(duì)端口掃描、緩沖區(qū)溢出攻擊、CGI攻擊等多種攻擊方式進(jìn)行探測(cè)，并能夠探測(cè)可能存在的系統(tǒng)指紋特征。（4）Snort具有良好的可擴(kuò)展性，能迅速探測(cè)到新的攻擊。 （5）Snort符合GPL，使得所有個(gè)人或企業(yè)均可根據(jù)自身需求自由使用。

2 安全性分析

2.1 Snort的結(jié)構(gòu)模型及工作流程

首先，數(shù)據(jù)包進(jìn)入目標(biāo)系統(tǒng)進(jìn)行訪問，接著數(shù)據(jù)包、審計(jì)數(shù)據(jù)等通過rub轉(zhuǎn)數(shù)據(jù)copy給Snort，Snort就開始通過數(shù)據(jù)收集器進(jìn)行數(shù)據(jù)收集了，收集完成后，通過其內(nèi)部機(jī)制傳遞給Snort的檢測(cè)器，檢測(cè)器通過配置信息里的配置進(jìn)行檢測(cè)，然后通過數(shù)據(jù)庫或規(guī)則知識(shí)庫進(jìn)行規(guī)則匹配，匹配完成后，若發(fā)現(xiàn)此行為是定義的入侵攻擊方式，即開始報(bào)警，將報(bào)警信息傳遞給內(nèi)在的控制器，這個(gè)控制器開始內(nèi)在的控制操作，從而對(duì)目標(biāo)系統(tǒng)進(jìn)行安全性的防范，體系架構(gòu)如圖1所示。

其中檢測(cè)器和知識(shí)庫的檢測(cè)流程分為兩大步：第一步是規(guī)則解析流程,它首先讀取規(guī)則文件，從規(guī)則文件中讀取每一條規(guī)則并對(duì)其進(jìn)行解析， 用對(duì)應(yīng)的語法表示出來，然后在內(nèi)存中建立規(guī)則語法樹，規(guī)則語法樹其實(shí)就是一個(gè)二維鏈表，規(guī)則由規(guī)則頭和若干規(guī)則選項(xiàng)組成， 規(guī)則頭存放源IP及端口、目的IP及端口、指向下一規(guī)則頭的指針和指向歸屬于它的規(guī)則選項(xiàng)的指針。規(guī)則選項(xiàng)存放規(guī)則信息、關(guān)聯(lián)規(guī)則頭和下一規(guī)則選項(xiàng)的指針。所有的規(guī)則頭組成規(guī)則頭鏈（主鏈），規(guī)則選項(xiàng)以規(guī)則頭為鏈?zhǔn)捉M成規(guī)則選項(xiàng)鏈（從鏈）。

第二步規(guī)則匹配流程，它對(duì)捕獲到的每條數(shù)據(jù)報(bào)文同第一步所建立的規(guī)則樹進(jìn)行匹配， 根據(jù)數(shù)據(jù)報(bào)的IP和端口在主鏈中搜索對(duì)應(yīng)的規(guī)則頭，找到后在此規(guī)則頭為鏈?zhǔn)椎膹逆溨衅ヅ湟?guī)則選項(xiàng)，如果發(fā)現(xiàn)存在規(guī)則匹配該報(bào)文，就表示檢測(cè)到一個(gè)入侵行為，則根據(jù)規(guī)則指定的行為進(jìn)行處理，如果搜索完所有規(guī)則都沒有匹配到報(bào)文，就表示該報(bào)文是正常行為。

圖1 Snort體系架構(gòu)圖

2.2 Snort程序源碼分析

研究Snort源程序，應(yīng)由幾個(gè)主要的源文件入手：

snort.c(h)文件，實(shí)現(xiàn)main函數(shù)和一系列輔助函數(shù)，是snort的主程序文件。

decode.c(h)層層解碼數(shù)據(jù)包后，分析其包的協(xié)議和特征，是snort的包解碼文件。

Mstring.c(h)采用Boyer_More[4]算法，實(shí)現(xiàn)字符串的匹配。

rules.c(h)通過檢測(cè)入侵所需要的函數(shù)和設(shè)置規(guī)則，檢測(cè)攻擊的特征。

log.c(h)利用多種編碼格式記錄日志和實(shí)時(shí)報(bào)警。

（1）Snort主程序及main函數(shù)分析

分析之前,首先來介紹一下在snort.c(h)的主程序文件中的兩個(gè)重要數(shù)據(jù)結(jié)構(gòu)，主程序中是通過PV來記錄命令行參數(shù)，以便于Snort根據(jù)參數(shù)來確定怎樣工作；主程序同時(shí)通過PacketCount這一起到計(jì)數(shù)器作用的變量來統(tǒng)計(jì)處理數(shù)據(jù)包過程中增加的全局變量pc的閾值。

有了這兩個(gè)數(shù)據(jù)結(jié)構(gòu)，就便于main函數(shù)展開工作了，在主函數(shù)中首先調(diào)用snortMain函數(shù)對(duì)一些主程序的缺省值進(jìn)行初始化，然后對(duì)命令行的參數(shù)進(jìn)行解析，最后將變量值和參數(shù)的解析結(jié)果存入pv結(jié)構(gòu)中，得到pv的值，此解析結(jié)果便能確定具體的工作方式了；注意在Daemon的運(yùn)行方式下，則是通過GoDaemon函數(shù)創(chuàng)建的重定向IO守護(hù)進(jìn)程來實(shí)現(xiàn)的。

Snort采用文件讀取和實(shí)時(shí)采集數(shù)據(jù)兩種形式不同，實(shí)質(zhì)相同的方式獲取數(shù)據(jù)，在Unix中，網(wǎng)卡依然被當(dāng)作文件作為openPcap的參數(shù)，打開采集過程，而其他系統(tǒng)中openPcap的參數(shù)即是網(wǎng)卡的接口。接著，根據(jù)不同的數(shù)據(jù)結(jié)構(gòu)網(wǎng)絡(luò)，定義不同拆分?jǐn)?shù)據(jù)包的函數(shù)，具體實(shí)現(xiàn)過程是將全局變量datalink的值傳入setPktProcessor函數(shù)中，設(shè)定出不同的解析拆包函數(shù)，存入指針變量中，不同的拆包解析函數(shù)都已Decode為首字母，存在于decode.c中。

拆分并解析數(shù)據(jù)包后，便可進(jìn)行插件函數(shù)的初始化，需要初始化的插件包括預(yù)處理器（Preprocessor），定義日志和報(bào)警的規(guī)則插件（outputplugin）和檢測(cè)插件（plugin）三種插件進(jìn)行初始化后接著解析規(guī)則文件，最后根據(jù)報(bào)警和日志的模式，設(shè)置對(duì)應(yīng)的函數(shù)，進(jìn)行需要時(shí)的響應(yīng)，若不需響應(yīng)，則直接關(guān)閉采集的過程。

（2）數(shù)據(jù)包處理流程

圖2 InterfaceThread函數(shù)實(shí)現(xiàn)流程圖

對(duì)數(shù)據(jù)包的處理主要在InterfaceThread函數(shù)中實(shí)現(xiàn)，Interface Thread函數(shù)的處理流程如圖2所示，在調(diào)用pcap_loop函數(shù)不斷抓包后，存入重要的處理函數(shù)ProcessPacket函數(shù)中，該函數(shù)調(diào)用DecodeEthPkt函數(shù)，DecodeEthPkt顧名思義就是拆解數(shù)據(jù)包，首先按照以太網(wǎng)包頭的協(xié)議層次類型，調(diào)用DecodeTCP，DecodeUDP等函數(shù)對(duì)下層協(xié)議類型進(jìn)行判斷并解碼，系統(tǒng)進(jìn)而調(diào)用Preprocess函數(shù)，進(jìn)行預(yù)處理，最后調(diào)用Detect函數(shù)檢測(cè)數(shù)據(jù)包，并對(duì)符合檢測(cè)指定情況的規(guī)則，按照已定義的響應(yīng)方式，進(jìn)行報(bào)警和日志記錄。

（3）Snort鏈表的建立

Snort首先按照對(duì)數(shù)據(jù)包的警報(bào)，記錄，丟棄，激活，來保持空間的五種狀態(tài)，分成五種規(guī)則類型，按照規(guī)則類型建立鏈表，用以存儲(chǔ)所有的規(guī)則文件。Snort從Snort.conf中讀取配置信息后，便利用ParseRulesFile()函數(shù)讀取規(guī)則文件，接著利用Customize your rules(c)鏈接文件，最終建立鏈表。

3 Snort在社區(qū)局域網(wǎng)中的應(yīng)用

3.1 社區(qū)局域網(wǎng)

社區(qū)局域網(wǎng)定義[5]：解釋社區(qū)型局域網(wǎng)之前，首先要說一下社區(qū)的涵義。社區(qū)實(shí)際上是個(gè)小社會(huì)。社區(qū)是社會(huì)學(xué)的一個(gè)基本概念，是指聚居在一定地域中的人們所組成的社會(huì)生活共同體。目前我國城市社區(qū)的范圍。一般是指經(jīng)過社區(qū)體制改革后作了規(guī)模調(diào)整的居民委員會(huì)轄區(qū)。

隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)的高速發(fā)展，社區(qū)建設(shè)也步入了數(shù)字時(shí)代，出現(xiàn)了社區(qū)局域網(wǎng)。社區(qū)局域網(wǎng)是指在社區(qū)中組建計(jì)算機(jī)局域網(wǎng)，通過計(jì)算機(jī)網(wǎng)絡(luò)平臺(tái)實(shí)現(xiàn)社區(qū)成員之間以及本社區(qū)與其他社區(qū)之間的信息交流與共享。社區(qū)局域網(wǎng)結(jié)構(gòu)由接入網(wǎng)、信息服務(wù)中心和小區(qū)內(nèi)部網(wǎng)絡(luò)三部分構(gòu)成。接入網(wǎng)指局域網(wǎng)與Internet的聯(lián)接方式。信息服務(wù)中心是社區(qū)局域網(wǎng)的心臟,由路由器、防火墻等硬件設(shè)備和網(wǎng)絡(luò)操作系統(tǒng)、Internet應(yīng)用服務(wù)等軟件組成。其內(nèi)部網(wǎng)絡(luò)是用戶通過社區(qū)警務(wù)室連接到信息服務(wù)中心的高速公路和運(yùn)載工具。社區(qū)局域網(wǎng)的主干網(wǎng)采用全連接的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),接入網(wǎng)的用戶端采用星型拓?fù)浣Y(jié)構(gòu),可以使用有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)，以及有線無線混合網(wǎng)絡(luò)。

3.2 社區(qū)局域網(wǎng)面臨的主要安全問題

社區(qū)局域網(wǎng)除在技術(shù)層面有很多無法解決的問題外，網(wǎng)絡(luò)安全而導(dǎo)致的病毒入侵等問題也給數(shù)據(jù)的安全帶來很多隱患，常見的社區(qū)局域網(wǎng)面臨的安全威脅主要有：

第一：軟件的欺詐性降低了數(shù)據(jù)的安全性。

社區(qū)局域網(wǎng)中的大部分共享資源都具有“開放性”的特點(diǎn)，隨著局域網(wǎng)開放性共享資源的增多，導(dǎo)致數(shù)據(jù)易被公開篡改或刪除，安全性下降。

第二：局域網(wǎng)內(nèi)部的安全防御脆弱。

局域網(wǎng)內(nèi)部傳輸數(shù)據(jù)的速率極快，而防火墻雖然阻隔了外來的攻擊，然而卻無法阻擋來自局域網(wǎng)內(nèi)部的攻擊，例如內(nèi)部其中某臺(tái)感染病毒的電腦與服務(wù)器通信后，這臺(tái)服務(wù)器便感染了病毒，進(jìn)而在高速傳輸?shù)木钟蚓W(wǎng)內(nèi)部將病毒傳染給所有與它通信的電腦。

第三：用戶對(duì)安全軟件的更新滯后而導(dǎo)致的病毒威脅。

社區(qū)局域網(wǎng)中的用戶由于未在網(wǎng)絡(luò)中及時(shí)更新防毒軟件或系統(tǒng)補(bǔ)丁，從而造成安全軟件的更新滯后，進(jìn)而極易造成病毒的入侵并迅速傳播至整個(gè)社區(qū)的局域網(wǎng)絡(luò)。

第四：用戶信息的泄密和IP沖突導(dǎo)致的數(shù)據(jù)丟失。

社區(qū)局域網(wǎng)用戶使用U盤等移動(dòng)存儲(chǔ)設(shè)備及將外網(wǎng)電腦接入內(nèi)網(wǎng)網(wǎng)線而造成的病毒入侵內(nèi)網(wǎng)并在內(nèi)網(wǎng)中快速傳遞。此外，隨著用戶的不斷增多，IP地址會(huì)不時(shí)地出現(xiàn)沖突，也會(huì)導(dǎo)致數(shù)據(jù)的丟失。

與此同時(shí)，社區(qū)局域網(wǎng)大多因資金投入不足而架構(gòu)簡(jiǎn)單，安全措施較少，而商用IDS價(jià)格昂貴，不宜應(yīng)用到社區(qū)，這種安全防護(hù)上的真空為為病毒的傳播提供了通道，埋下了信息的安全的諸多隱患。因此，迫切需要一種安全、高效、經(jīng)濟(jì)適用的安全防護(hù)與檢測(cè)軟件對(duì)其進(jìn)行防護(hù)，Snort做為一種開源而免費(fèi)的IDS就是一個(gè)不錯(cuò)的選擇。

3.3 Snort在社區(qū)局域網(wǎng)中的應(yīng)用

Snort是一種開源的輕量級(jí)IDS，應(yīng)用于社區(qū)局域網(wǎng)除了可以簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，提高性價(jià)比，易于擴(kuò)展網(wǎng)絡(luò)等多種優(yōu)點(diǎn)外，還有以下特點(diǎn)：

并行處理[6]：在不同的網(wǎng)絡(luò)分支中分別安裝IDS進(jìn)行檢測(cè)，從而避免在共享傳輸信道上因主干道流量過大而阻塞。

(2)特征庫[7]的完備性：由于社區(qū)局域網(wǎng)具有復(fù)雜而龐大的系統(tǒng)特性，因而特征檢測(cè)的數(shù)據(jù)庫中是否包含足夠的入侵方式和攻擊種類，顯得尤為重要。

(3)定義特定主機(jī)之間的特定協(xié)議：不屬于已定義行為列表的操作被視為潛在的入侵，而特定系統(tǒng)之間使用特定協(xié)議通信，則被視為可接受的策略。

(4)攻擊源追蹤：針對(duì)假冒源地址的DDoS攻擊，需要能有效地確定攻擊者的來源，特別是對(duì)于局域網(wǎng)內(nèi)部發(fā)起的攻擊，應(yīng)該能確定其大致物理位置。本系統(tǒng)要設(shè)計(jì)成一個(gè)網(wǎng)絡(luò)IDS，可以實(shí)現(xiàn)以規(guī)則匹配為主的誤用檢測(cè)技術(shù)，同時(shí)也提供可選的基于異常檢測(cè)的工作方式。

IDS系統(tǒng)的結(jié)構(gòu)由檢測(cè)核心和人機(jī)界面兩部分組成，如圖3所示。

其中，Snort內(nèi)核包括數(shù)據(jù)包嗅探器，預(yù)處理器及檢測(cè)引擎等功能。Snort內(nèi)核通過嗅探器取得網(wǎng)絡(luò)中的數(shù)據(jù)后，經(jīng)檢測(cè)引擎過濾所有的規(guī)則鏈表后，按照自定義的規(guī)則進(jìn)行匹配，若相符合，則將檢測(cè)出的數(shù)據(jù)整合報(bào)警信息輸出到UI模塊。

圖3 社區(qū)局域網(wǎng)檢測(cè)核心

由此可見，Snort成熟的內(nèi)核在局域網(wǎng)的構(gòu)建上具有動(dòng)態(tài)靈活等多種優(yōu)點(diǎn)，系統(tǒng)除根據(jù)需要自定義的規(guī)則外，還可利用Snort已有的大量規(guī)則，減少了原生代碼量。

4 結(jié)束語

本文從IDS及 Snort兩方面入手，對(duì)Snort系統(tǒng)架構(gòu)和源碼進(jìn)行了詳細(xì)的分析，在討論社區(qū)局域網(wǎng)體系結(jié)構(gòu)和網(wǎng)絡(luò)安全面臨的問題的基礎(chǔ)上，以Snort為基礎(chǔ)設(shè)計(jì)了一個(gè)輕型的、適合于社區(qū)局域網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)原型，能夠?qū)崿F(xiàn)對(duì)社區(qū)局域網(wǎng)保護(hù)，為和諧社區(qū)的建設(shè)做出應(yīng)有的貢獻(xiàn)。

［1］ 谷小剛.Snort的高效規(guī)則匹配算法[J].計(jì)算機(jī)工程， 2006，25(1)：36—38.

［2］ Steven J.Tepdump.Scott Lawrence Berkeley National Laboratory，2003.

［3］ 陳際紅.GUN GPL的規(guī)則與Linux在中國的發(fā)展.信息網(wǎng)絡(luò)與高新技術(shù)法律前沿.北京：法律出版社,2003.

［4］SNorthcutt S.網(wǎng)絡(luò)入侵檢測(cè)分析員手冊(cè)[M].北京：人民郵電出版社， 2000.

［5］張年年.利用社區(qū)局域網(wǎng)構(gòu)建數(shù)字化學(xué)習(xí)型社區(qū).臨沂大學(xué)教育學(xué)院， 2011.

［6］ 姚蘭，王新梅.防火墻與入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)分析［J].信息安全與通信保密，2002，(18).

［7］ 鐘誠，趙躍華.信息安全概論［M].武漢：武漢理工大學(xué)出版社，2003.