入侵檢測(cè)系統(tǒng)分析及其在Linux下實(shí)現(xiàn)
一、入侵檢測(cè)系統(tǒng)分析
1.1 什么是入侵檢測(cè)系統(tǒng)
所謂入侵,是指任何試圖危及計(jì)算機(jī)資源的完整性、機(jī)密性或可用性的行為。而入侵檢測(cè),顧名思義,便是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并對(duì)這些信息進(jìn)行分析,從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(簡(jiǎn)稱IDS)。與其他安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作,保證網(wǎng)絡(luò)安全地運(yùn)行。
1.2 入侵檢測(cè)系統(tǒng)的分類
按檢測(cè)所使用數(shù)據(jù)源的不同可以將IDS分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。
基于主機(jī)的IDS使用各種審計(jì)日志信息(如主機(jī)日志、路由器日志、防火墻日志等)作為檢測(cè)的數(shù)據(jù)源。通常,基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí),IDS將新的記錄條目與攻擊標(biāo)記相比較,看它們是否匹配。如果匹配,系統(tǒng)就會(huì)向管理員報(bào)警,以采取措施。
基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)分組數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)。一旦檢測(cè)到了攻擊行為,IDS的響應(yīng)模塊就會(huì)對(duì)攻擊采取相應(yīng)的反應(yīng),如通知管理員、中斷連接、終止用戶等。
1.3 入侵檢測(cè)的檢測(cè)方法
入侵檢測(cè)技術(shù)通過(guò)對(duì)入侵行為的過(guò)程與特征的研究,使安全系統(tǒng)對(duì)入侵事件和入侵過(guò)程能做出實(shí)時(shí)響應(yīng),從檢測(cè)方法上分為兩種:誤用入侵檢測(cè)和異常入侵檢測(cè)。
在誤用入侵檢測(cè)中,假定所有入侵行為和手段都能夠表達(dá)為一種模式或特征,那么所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)。誤用入侵檢測(cè)的關(guān)鍵是如何表達(dá)入侵的模式,把真正的入侵與正常行為區(qū)分開來(lái)。其優(yōu)點(diǎn)是誤報(bào)少,局限性是它只能發(fā)現(xiàn)已知的攻擊,對(duì)未知的攻擊無(wú)能為力。
在異常入侵檢測(cè)中,假定所有入侵行為都是與正常行為不同的,這樣,如果建立系統(tǒng)正常行為的軌跡,那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。比如,通過(guò)流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測(cè)的局限是并非所有的入侵都表現(xiàn)為異常,而且系統(tǒng)的軌跡難于計(jì)算和更新。
對(duì)比這兩種檢測(cè)方法可以發(fā)現(xiàn),異常檢測(cè)難于定量分析,這種檢測(cè)方式有一種固有的不確定性。與此不同,誤用檢測(cè)會(huì)遵循定義好的模式,能通過(guò)對(duì)審計(jì)記錄信息做模式匹配來(lái)檢測(cè),但僅可檢測(cè)已知的入侵方式。所以這兩類檢測(cè)機(jī)制都不完美。就具體的檢測(cè)方法來(lái)說(shuō),現(xiàn)在已經(jīng)有了很多入侵檢測(cè)的方法,但任何一種方法都有它的局限性,都不能解決所有問(wèn)題。因而對(duì)于入侵檢測(cè)方法的研究仍然是當(dāng)前入侵檢測(cè)研究的一個(gè)重點(diǎn)。
二、Linux下的實(shí)現(xiàn)
在對(duì)入侵檢測(cè)技術(shù)研究的基礎(chǔ)上,我們?cè)贚inux系統(tǒng)下設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。
2.1 系統(tǒng)的組成結(jié)構(gòu)
該系統(tǒng)的組成結(jié)構(gòu)如圖1所示。數(shù)據(jù)采集模塊負(fù)責(zé)從網(wǎng)絡(luò)上收集原始的網(wǎng)絡(luò)數(shù)據(jù)流,在經(jīng)過(guò)一定的預(yù)處理后,這些數(shù)據(jù)被送到數(shù)據(jù)分析模塊,由數(shù)據(jù)分析模塊進(jìn)行分析,以便判斷是否有違反安全策略的入侵行為發(fā)生。并及時(shí)將分析結(jié)果送到告警模塊,由告警模塊向控制臺(tái)產(chǎn)生告警信息。用戶可以通過(guò)用戶界面與控制臺(tái)交互,通過(guò)控制臺(tái),一方面可以對(duì)各個(gè)模塊進(jìn)行配置,另一方面也可以接收告警信息。
#p#
2.2 系統(tǒng)的功能描述
該系統(tǒng)實(shí)現(xiàn)了入侵檢測(cè)的主要功能,包括數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、入侵分析以及告警。具體來(lái)說(shuō),可以完成以下功能:
● 捕獲符合指定條件的網(wǎng)絡(luò)數(shù)據(jù)包。
● 進(jìn)行IP重組,提供IP包數(shù)據(jù)。
● 重組TCP流,提供TCP流數(shù)據(jù)。
● 重組應(yīng)用層數(shù)據(jù)流,提供HTTP數(shù)據(jù)流。
● 實(shí)現(xiàn)基于規(guī)則的入侵檢測(cè)方法。
● 向控制臺(tái)提交分析結(jié)果。
● 接受控制臺(tái)的配置和管理。
由于該系統(tǒng)功能的實(shí)現(xiàn)主要體現(xiàn)在數(shù)據(jù)采集模塊和數(shù)據(jù)分析模塊中,所以下面將對(duì)這兩個(gè)模塊加以詳細(xì)說(shuō)明。
2.3 數(shù)據(jù)采集模塊
數(shù)據(jù)采集是入侵檢測(cè)的基礎(chǔ),入侵檢測(cè)的效率在很大程度上依賴于所采集信息的可靠性和正確性。在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中,數(shù)據(jù)采集模塊需要監(jiān)聽所保護(hù)網(wǎng)絡(luò)的某個(gè)網(wǎng)段或某幾臺(tái)主機(jī)的網(wǎng)絡(luò)流量,經(jīng)過(guò)預(yù)處理后得到網(wǎng)絡(luò)、系統(tǒng)、用戶以及應(yīng)用活動(dòng)的狀態(tài)和行為信息。數(shù)據(jù)采集需要在網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)進(jìn)行。
具體來(lái)說(shuō),數(shù)據(jù)采集模塊需要監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包,進(jìn)行IP重組,進(jìn)行TCP/UDP協(xié)議分析,同時(shí)也要進(jìn)行應(yīng)用層協(xié)議數(shù)據(jù)流分析。采集到的數(shù)據(jù)要經(jīng)過(guò)預(yù)處理才能提交給數(shù)據(jù)分析模塊。由于不同的分析方法所需要的數(shù)據(jù)源是不同的,所以預(yù)處理也會(huì)有很大的不同。但是,一般來(lái)說(shuō),分析模塊所分析的數(shù)據(jù)都是基于某個(gè)網(wǎng)絡(luò)協(xié)議層的數(shù)據(jù)信息,或是直接采用這些數(shù)據(jù)的某些部分。因此在該系統(tǒng)的設(shè)計(jì)中,數(shù)據(jù)采集模塊除了采集數(shù)據(jù)外,還要對(duì)這些信息進(jìn)行協(xié)議分析。協(xié)議分析是指將網(wǎng)絡(luò)上采集到的基于IP的數(shù)據(jù)進(jìn)行處理,以便得到基于某種協(xié)議的數(shù)據(jù)。在本系統(tǒng)中主要是針對(duì)TCP/IP協(xié)議族的分析。
網(wǎng)絡(luò)數(shù)據(jù)采集是利用以太網(wǎng)絡(luò)的廣播特性實(shí)現(xiàn)的,以太網(wǎng)數(shù)據(jù)傳輸通過(guò)廣播實(shí)現(xiàn),但是在系統(tǒng)正常工作時(shí),應(yīng)用程序只能接收到以本主機(jī)為目標(biāo)主機(jī)的數(shù)據(jù)包,其他數(shù)據(jù)包將被丟棄。為了采集到流經(jīng)本網(wǎng)段的所有數(shù)據(jù),我們需要首先將網(wǎng)卡設(shè)置為混雜模式,使之可以接收目標(biāo)MAC地址不是自己MAC地址的數(shù)據(jù)包,然后直接訪問(wèn)數(shù)據(jù)鏈路層,截獲相關(guān)數(shù)據(jù),由應(yīng)用程序?qū)?shù)據(jù)進(jìn)行過(guò)濾處理,這樣就可以監(jiān)聽到流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。
在進(jìn)行數(shù)據(jù)捕獲時(shí),我們采用的是libpcap,libpcap是一個(gè)與實(shí)現(xiàn)無(wú)關(guān)的訪問(wèn)操作系統(tǒng)所提供的分組捕獲機(jī)制的分組捕獲函數(shù)庫(kù),用于訪問(wèn)數(shù)據(jù)鏈路層。該庫(kù)提供的C函數(shù)接口可用于需要捕獲經(jīng)過(guò)網(wǎng)絡(luò)接口數(shù)據(jù)包的系統(tǒng)開發(fā)上。這個(gè)庫(kù)為不同的平臺(tái)提供了一致的編程接口,在安裝了libpcap的平臺(tái)上,以libpcap為接口寫的程序,可以自由地跨平臺(tái)使用。
Libpcap在網(wǎng)上捕獲到的是數(shù)據(jù)幀,我們還需要對(duì)數(shù)據(jù)幀進(jìn)行協(xié)議分析,協(xié)議分析的處理過(guò)程為:首先根據(jù)預(yù)先定義的過(guò)濾規(guī)則從網(wǎng)絡(luò)上獲取所監(jiān)聽子網(wǎng)上的數(shù)據(jù)包,然后進(jìn)行TCP/IP棧由下至上的處理過(guò)程,主要是IP重組和TCP/UDP層協(xié)議處理,最后進(jìn)行應(yīng)用層協(xié)議分析。
協(xié)議分析的工作在每個(gè)操作系統(tǒng)里都有,在這里,我們選擇了libnids函數(shù)庫(kù)。libnids是在libnet和libpcap的基礎(chǔ)上開發(fā)的,它封裝了開發(fā)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的許多通用型函數(shù)。libnids提供的接口函數(shù)除了可以監(jiān)視流經(jīng)本地的所有網(wǎng)絡(luò)通信、檢查數(shù)據(jù)包外,還具有重組TCP數(shù)據(jù)段、處理IP分片包的功能。而且它同樣具有很好的移植性。
2.4 數(shù)據(jù)分析模塊
數(shù)據(jù)分析是入侵檢測(cè)系統(tǒng)的核心。各種分析方法各有利弊,但基于規(guī)則的檢測(cè)方法因?yàn)槭孪葘⒏鞣N入侵方式表示為規(guī)則存放于規(guī)則庫(kù)中,因此在規(guī)則庫(kù)比較完備的基礎(chǔ)上,可以有很好的檢測(cè)效率,所以我們?cè)谠撓到y(tǒng)的實(shí)現(xiàn)中主要考慮了基于規(guī)則的檢測(cè)方法。
基于規(guī)則的檢測(cè)方法是誤用檢測(cè)的一種。入侵檢測(cè)系統(tǒng)需要從以往的攻擊入侵活動(dòng)中,歸納識(shí)別出對(duì)應(yīng)的入侵模式,并將這些入侵模式存放于規(guī)則庫(kù)中,然后將系統(tǒng)現(xiàn)有的活動(dòng)與規(guī)則庫(kù)中的規(guī)則進(jìn)行模式匹配,從而決定是否有入侵行為發(fā)生。
每一種基于規(guī)則的入侵檢測(cè)方法都需要一個(gè)確定的入侵模式庫(kù),即規(guī)則庫(kù),其中存放著描述入侵方法和行為的規(guī)則。在我們的系統(tǒng)中,采用了SNORT的入侵行為描述方法。SNORT是一個(gè)開放源代碼的輕量級(jí)的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。這種描述方法簡(jiǎn)單、易于實(shí)現(xiàn),能夠描述絕大多數(shù)的入侵行為。由于其簡(jiǎn)單,因此檢測(cè)速度比較快。
#p#
規(guī)則庫(kù)中的每條規(guī)則在邏輯上分為兩部分:規(guī)則頭部和規(guī)則選項(xiàng)。規(guī)則頭部包含規(guī)則的操作、協(xié)議、源IP地址和目標(biāo)IP地址及其網(wǎng)絡(luò)掩碼和端口。規(guī)則選項(xiàng)包括報(bào)警信息及需要檢測(cè)的模式信息。規(guī)則的一般格式為:
<規(guī)則操作><協(xié)議><源主機(jī)IP><源端口><方向操作符><目標(biāo)主機(jī)IP><目標(biāo)端口>(<規(guī)則選項(xiàng)1:值1>;<規(guī)則選項(xiàng)2:值2>;…;<規(guī)則選項(xiàng)n:值n>;)
在圓括號(hào)前的部分是規(guī)則頭部,在圓括號(hào)中的部分是規(guī)則選項(xiàng)。規(guī)則選項(xiàng)部分中冒號(hào)前面的詞組稱為選項(xiàng)關(guān)鍵字。規(guī)則選項(xiàng)不是規(guī)則的必需部分,它只是用來(lái)定義收集特定數(shù)據(jù)包的特定特征。一條規(guī)則中不同部分必須同時(shí)滿足才能執(zhí)行,相當(dāng)于“與”操作。而同一個(gè)規(guī)則庫(kù)文件中的所有規(guī)則之間相當(dāng)于一個(gè)“或”操作。
以下是一個(gè)例子:alert tcp any any -> 192.168.1.0/24 111 (content:" 00 01 86 a5 "; msg: "mountd access";)。該條規(guī)則描述了:任何使用TCP協(xié)議連接網(wǎng)絡(luò)192.168.1.0/24中任何主機(jī)的111端口的數(shù)據(jù)包中,如果出現(xiàn)了二進(jìn)制數(shù)據(jù)00 01 86 a5,便發(fā)出警告信息mountd access。
規(guī)則操作說(shuō)明當(dāng)發(fā)現(xiàn)適合條件的數(shù)據(jù)包時(shí)應(yīng)該做些什么。有兩種操作:alert和log。如果是 alert,則使用選定的告警方法產(chǎn)生警報(bào),并記錄這個(gè)數(shù)據(jù)包;如果是log,則只記錄該數(shù)據(jù)包。
協(xié)議指明當(dāng)前使用的是何種協(xié)議。對(duì)于IP地址和端口,關(guān)鍵字“any”可以用來(lái)定義任何IP地址。在IP地址后指定網(wǎng)絡(luò)掩碼,如/24指定一個(gè)C類網(wǎng)絡(luò),/16指定一個(gè)B類網(wǎng)絡(luò),/32指定一個(gè)特定主機(jī)。如192.168.1.0/24指定了從192.168.1.1 到 192.168.1.255的一個(gè)范圍的IP地址。
IP地址有一個(gè)“非”操作。這個(gè)操作符號(hào)用來(lái)匹配所列IP地址以外的所有IP地址。“非”操作使用符號(hào)“!”表示。例如任何由外部網(wǎng)絡(luò)發(fā)起的連接可以表示為:alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111。
端口號(hào)可以用幾種方法指定:用“any”、數(shù)字、范圍以及用“非”操作符。“any”指定任意端口。指定端口范圍用“:”它可以指定一個(gè)范圍內(nèi)的所有端口。如:log udp any any -> 192.168.1.0/24 1:1024。該條規(guī)則記錄任何從任意主機(jī)發(fā)起的到目標(biāo)網(wǎng)絡(luò)任何主機(jī)上的1~1024端口的UDP協(xié)議數(shù)據(jù)包。
方向操作符“->”規(guī)定了規(guī)則應(yīng)用的數(shù)據(jù)流方向。其左邊的IP地址為數(shù)據(jù)流的起點(diǎn),右邊為終點(diǎn)。雙向操作符為“<>”,它告訴系統(tǒng)應(yīng)該關(guān)注任何方向的數(shù)據(jù)流。
規(guī)則選項(xiàng)形成了檢測(cè)系統(tǒng)的核心,一個(gè)規(guī)則的規(guī)則選項(xiàng)中可能有多個(gè)選項(xiàng),不同選項(xiàng)之間使用“;”分隔開來(lái),他們之間為“與”的關(guān)系。選項(xiàng)由關(guān)鍵字和參數(shù)組成,每個(gè)關(guān)鍵字和它的參數(shù)使用冒號(hào)“:”分隔。這些關(guān)鍵字主要包括:
● msg:在警報(bào)和記錄的數(shù)據(jù)中打印消息。
● logto:將數(shù)據(jù)包記錄到一個(gè)用戶指定的文件中。
● ttl:檢測(cè)IP數(shù)據(jù)包的TTL域。
● id:檢測(cè)IP數(shù)據(jù)包的分段ID域是否等于特定的值。
● nocase:設(shè)定搜索中使用與大小寫無(wú)關(guān)的方式。
● dsize:檢測(cè)數(shù)據(jù)包的有效荷載是否等于特定的值。
● content:在數(shù)據(jù)流中搜索特定的模式串。
● offset:設(shè)定content中的起點(diǎn)。
● depth:設(shè)定content中的終點(diǎn)。
● flags:檢測(cè)TCP數(shù)據(jù)包的標(biāo)志是否等于特定的值。
● seq:檢測(cè)TCP的順序號(hào)是否等于特定的值。
● ack:檢測(cè)TCP的應(yīng)答域否等于特定的值。
三、實(shí)例分析
下面結(jié)合入侵檢測(cè)的實(shí)例來(lái)介紹該系統(tǒng)是如何檢測(cè)入侵的,這里以WEB攻擊為例來(lái)進(jìn)行介紹。WEB攻擊是入侵的一大類,它是指利用CGI、WEB服務(wù)器和瀏覽器等存在的安全漏洞來(lái)?yè)p害系統(tǒng)安全或?qū)е孪到y(tǒng)崩潰的一類入侵方式。由于WEB的廣泛使用,關(guān)于它的各種安全問(wèn)題不斷地發(fā)布出來(lái),這些漏洞中的一些漏洞甚至允許攻擊者獲得系統(tǒng)管理員的權(quán)限而進(jìn)入站點(diǎn)內(nèi)部。因此,WEB攻擊的危害很大。
雖然WEB攻擊種類繁多,但是分析一下,還是具有如下幾個(gè)特點(diǎn):
● 都是通過(guò)HTTP數(shù)據(jù)流來(lái)進(jìn)行的,所以可以通過(guò)HTTP數(shù)據(jù)流來(lái)進(jìn)行檢測(cè)。
● HTTP是無(wú)狀態(tài)的協(xié)議,一般都是通過(guò)一次請(qǐng)求來(lái)實(shí)現(xiàn),或者包含有一次具有典型的入侵特征的請(qǐng)求,所以利用一次請(qǐng)求信息就可以實(shí)現(xiàn)檢測(cè)。
● 一般都是通過(guò)構(gòu)造別有用心的請(qǐng)求字符串來(lái)實(shí)現(xiàn)的,所以可以采用基于規(guī)則的方法。
在我們的系統(tǒng)中可以檢測(cè)出100多種WEB攻擊方式。例如規(guī)則:alert http $EXTERNALNET any -> $HTTPSERVER 80 (content:"/maillist.pl"; nocase; msg: " WEB-CGI Maillist CGI access attempt ";) 。該規(guī)則規(guī)定了檢測(cè)從外網(wǎng)的任意端口到內(nèi)網(wǎng)的WEB服務(wù)器的80端口的數(shù)據(jù)流。檢測(cè)條件為請(qǐng)求中包含“/maillist.pl”字符串,匹配不分大小寫,告警名稱為“WEB-CGI Maillist CGI access attempt”。這里利用了兩個(gè)自定義的變量$EXTERNALNET和$HTTPSERVER,分別表示外網(wǎng)和WEB服務(wù)器。
四、結(jié)束語(yǔ)
本文在對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行分析的基礎(chǔ)上,在Linux系統(tǒng)下實(shí)現(xiàn)了一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。實(shí)踐表明,該系統(tǒng)對(duì)于檢測(cè)一些常見(jiàn)的入侵方式具有很好的效率和性能。同時(shí),該系統(tǒng)提供了完整的框架,可以靈活地應(yīng)用于各種環(huán)境并擴(kuò)充。當(dāng)然,本系統(tǒng)還有很多不足的地方:數(shù)據(jù)源比較單一,還應(yīng)該加入日志數(shù)據(jù)源;而且現(xiàn)在對(duì)于應(yīng)用層協(xié)議只實(shí)現(xiàn)了HTTP協(xié)議分析,以后還可以加入其他協(xié)議分析,如TELNET、FTP等。這些都需要今后進(jìn)一步完善。未來(lái)的入侵檢測(cè)系統(tǒng)將會(huì)結(jié)合其它網(wǎng)絡(luò)管理軟件,形成入侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。同時(shí),網(wǎng)絡(luò)安全需要縱深的、多層次的防護(hù)。即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng),如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話,安全也無(wú)從談起。只有將入侵檢測(cè)系統(tǒng)與其他安全工具結(jié)合起來(lái),才能構(gòu)筑起一道網(wǎng)絡(luò)安全的立體防御體系,最大程度地確保網(wǎng)絡(luò)系統(tǒng)的安全。
【編輯推薦】
