關(guān)于Ｓｎｏｒｔ的網(wǎng)絡(luò)入侵防御功能研究

作者：蔣玉國楊明欣郭文東[摘要]當前，入侵檢測系統(tǒng)已經(jīng)成為安全解決方案的一個必要條件，然而，入侵檢測不能主動地阻斷具有攻擊特征的數(shù)據(jù)流。它往往是被動的監(jiān)視局域網(wǎng)，讓網(wǎng)絡(luò)管理員對攻擊行為采取相應的措施。本文討論了入侵防御系統(tǒng)（IPS）的概念、優(yōu)點和弱點，并根據(jù)著名的開放源代碼網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort的內(nèi)部組織特點，提出了一種讓Snort實現(xiàn)主動阻斷攻擊數(shù)據(jù)流的方法。

[關(guān)鍵詞]網(wǎng)絡(luò)入侵檢測系統(tǒng)網(wǎng)絡(luò)入侵防御系統(tǒng)Snort

一、讓Snort實現(xiàn)主動防御功能

1.設(shè)計思路。通過分析Snort的整體結(jié)構(gòu)可知，它充分利用了插件機制，這種特點使它更靈活，更容易系統(tǒng)功能的增加，使程序具有很強的可擴展性。IPS與IDS的主要區(qū)別就是IPS實現(xiàn)了主動的阻斷攻擊。利用Snort的這種內(nèi)部組織結(jié)構(gòu)和IPS的特點，可以設(shè)想，只要為Snort增加一個能夠阻斷數(shù)據(jù)包的模塊（假設(shè)稱該模塊為“在線處理模塊”），并把Snort置于在線的位置，當Snort檢測到某種入侵行為時，通過對該模塊的調(diào)用，就可以達到阻斷含有入侵傾向數(shù)據(jù)流的目的。

Snort的檢測引擎主要是基于規(guī)則的匹配。Snort規(guī)則類型（規(guī)則行為）包括：alert、log、pass、activate和dynamic。我們就讓Snort做拒絕與該規(guī)則匹配的數(shù)據(jù)包的處理。剩余的任務就是，當Snort找到了和被捕獲的數(shù)據(jù)包相匹配的規(guī)則時，Snort通過什么條件來判斷該數(shù)據(jù)包是否符合做拒絕處理，在Snort源文件rules.h中定義了OptTreeNode的數(shù)據(jù)結(jié)構(gòu)。為該結(jié)構(gòu)中增加標志位。當Snort進行規(guī)則解析時，通過判斷規(guī)則的類型和priority、classtype參數(shù)的值，當符合一定的條件時，給相應的標志位置“1”。這樣，當檢測引擎觸發(fā)了某條規(guī)則，則通過判斷這些標志位，決定是否阻斷相對應的數(shù)據(jù)包。

為了使Snort更具有靈活性，還可以為之增加一個可選的功能：通過用戶的選擇，即可使Snort以IDS方式工作，也可以使其以IPS方式工作。

2.實現(xiàn)阻斷數(shù)據(jù)包的條件。為了實現(xiàn)Snort的IPS功能，需要特定的底層庫Iptables來代替原有的Libpcap（Libpcap是Snort的底層庫）。Iptables用于計算和控制在Linux平臺上的外部連接。netfilter/iptables支持Linux2.4內(nèi)核，能夠進行數(shù)據(jù)包過濾，網(wǎng)絡(luò)地址轉(zhuǎn)換及其它的數(shù)據(jù)包處理。3.實現(xiàn)方法。(1)給Snort源文件snort.h中定義的pv結(jié)構(gòu)增加標志位。在PV結(jié)構(gòu)中增加一個標志位：inline。如果期望Snort以在線的（IPS）方式工作，則設(shè)該標志被置“1”，否則Snort工作在普通的IDS工作方式。(2)在OptTreeNode（規(guī)則選項）結(jié)構(gòu)中增加兩個標志位：reject和drop。當某規(guī)則的規(guī)則類型為alert，且classtype關(guān)鍵字屬于1級優(yōu)先級，或者priority大于9，則當程序進行規(guī)則解析時，為屬于該規(guī)則的OptTreeNode結(jié)構(gòu)標志位reject置“1”。當某規(guī)則的規(guī)則類型為alert，且classtype關(guān)鍵字屬于2級優(yōu)先級，或者priority為7或8，則當程序進行規(guī)則解析時，為屬于該規(guī)則的OptTreeNode結(jié)構(gòu)標志位drop置“1”。4.如果被捕獲的數(shù)據(jù)包與某規(guī)則相匹配，這時說明Snort已經(jīng)發(fā)現(xiàn)攻擊行為。此時判斷該規(guī)則的OptTreeNode結(jié)構(gòu)中兩個標志位的值，如果drop為1，調(diào)用在線處理模塊，對該包做阻斷處理并輸出報警信息。如果reject為1，調(diào)用在線處理模塊，阻斷該包、輸出報警信息，如果該包協(xié)議類型為TCP，向數(shù)據(jù)源發(fā)送RESET報文，終止該連接；如果協(xié)議類型是UDP，向數(shù)據(jù)源發(fā)送ICMP端口不可達報文，終止該連接。圖1是Snort以在線方式運行的響應處理過程。二、結(jié)束語

本文提出的使Snort增加主動阻斷攻擊數(shù)據(jù)流功能的方法具有以下優(yōu)點：

1.該方法簡單、靈活，不需要改動整體結(jié)構(gòu)和Snort原有的規(guī)則，只需在其原有的系統(tǒng)和規(guī)則的基礎(chǔ)上給PV結(jié)構(gòu)和OptTreeNode結(jié)構(gòu)增加了幾個標志位，為之添加現(xiàn)有的Iptables底層庫和Libnet，增加一些函數(shù)即可實現(xiàn)。

2.只有符合某種嚴重級別的數(shù)據(jù)流才對之采取阻斷處理的策