E4Snort软件的入侵检测NIDS入侵检测日志服务系统

摘 要 随着网络技术的发展，人们的生活和工作也越发地依赖于计算机网络。而且由于Internet本身的缺陷及开放特性，使其安全受到严峻的考验。越来越多的人意识到，一些恶意的入侵行为已经成为了全球的公害，必须采取有力的措施保护网络免受侵害。计算机安全科学涉及以下三个基本要素： （1）预防 （2）检测 （3）响应 这三者对计算机系统的综合防护都很关键。但很久之前人们重视的却是预防，毕竟，如果防止了威胁，那就不需要检测和响应，但不幸的是那是不够的。入侵检测是近些年来发展起来的，入侵检测就是三要素中的检测环节。入侵检测技术是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术。入侵检测系统则是基于入侵检测技术的一个程序，它是网络安全体系中的重要组成部分，随着防火墙的渐渐普及，人们不再满足于防火墙的网络控制功能，需要有使用安全产品能够智能发现网络入侵行为，和防火墙一起组成立体防御体系。智能发现网络入侵行为就是入侵检测系统的工作。Snort作为世界上应用最广泛的开放源码的入侵检测系统，在网络安全行业占据着主要的地位。 在享受到网络带来种种便利的同时，人们不禁担心自己的数据信息是否安全，而且由于网络技术的飞速发展，也给网络带了许多新的考验。入侵检测技术正在趋于成熟，但许多人仍然对其概念感到陌生，希望我的这篇文章能有助于大家对这方面的认识。 第一章 绪论 随着社会信息化的普及，人们获取信息的渠道也更加的广泛，伴随着Internet技术的发展，网络对人们来说已经成为了必不可少的一部分。对于企业而言更是如此，他们建立了基于网络的信息系统，电子商务可以说是这方面的代表，它的飞速发展已经有取代传统企业经营方式的趋势。由此可见信息资源的重要性，计算机网络作为信息的载体，在带给人们极大的便利的同时，由于Internet本身的开放及互联特性，也带来了一个棘手的问题，那就是安全问题。 1.1网络安全现状 由于近几年计算机技术的飞速发展，Internet已改变了早期以单机为主的模式。一方面网络给大家提供了资源的共享，通过分散工作负荷提高了工作效率，并且还具有可扩充性；而另一方面正是由于资源的共享和分布也增加了网络受攻击的可能性。1988年11月，Robert T.Morris设计Internet蠕虫程序攻击了数千台主机。蠕虫程序主要采用了三种攻击方法：一是弱点攻击，利用Sendmail和finger程序的漏洞进行；二是协议攻击，利用了主机信任关系；三是破解口令。这三种攻击方式开辟了网络攻击的先河，至今仍被攻击者所利用。 根据美国GAO（General Accounting Office）披露，去年有上百万次黑客尝试闯入联邦计算机系统的事件发生，按照一些研究结果，这些攻击有64%是成功的，预计只有1%~4%的攻击被检测到，仅有1%的攻击被报告。计算机网络安全不再仅仅是一个学术问题，随着计算机网络的普及，它已经和我们的切身利益密切相关。网络入侵就在我们身边，昨天你常去的网站被攻击导致服务器瘫痪；今天你的邮箱被攻击，导致信件丢失，有关的个人隐私就被暴露了。随着攻击者对系统运行的深入认识，攻击者能熟练地判断系统中的弱点，并通过使用这些弱点提升权限，从而在系统中能够做任何事情。攻击者也使用很难跟踪和识别的入侵模式，攻破目标系统前，会进行很多侦察，并不是所有的活动都表现异常。当然攻击者会掩藏自己的踪迹以免入侵行为容易被发现，因此前面众多的方法也并不完全可行了，因为访问控制本身存在弱口令问题，和静态保护模型本身也不足以保护完全保护对象，要不会过于简单，要不就是过度限制用户，所有的这些，难道没有办法？不，如果配合一种动态的方法，则尽可能地防范这些入侵就是可能的了。 1.2问题的解决 在现代社会互联网飞速发展的同时，入侵攻击，拒绝服务攻击，网络资源滥用等威胁也随之出现，为互联网带来很多负面影响。本文所介绍的正是人们面临这些问题时的一种解决手段——入侵检测（Intrusion Detection）。 入侵检测技术是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术。 入侵检测系统（Intrusion Detection System，简称IDS）则是基于入侵检测技术的一个程序，它驻留在被保护的主机上，不断监视系统的各种变化，发现入侵征兆，并及时向系统管理员或用户报警。入侵检测系统是网络安全体系中的重要组成部分，随着防火墙的渐渐普及，人们不再满足于防火墙的网络控制功能，它是对防火墙的合理补充。 面对问题，许多公司开发出的阻止和检测网络攻击的软件，但大部分都价值不菲，因此它们在这个市场中面临着一个强劲的对手：Snort。因为Snort是免费的，而且Snort还是高效的，稳定的，并拥有一个不断成长的用户群。 Snort的创始人Marty Roesch把Snort定位为轻量级的入侵检测系统。它能够运行在大多数的硬件平台和操作系统上，因为其可扩展的体系结构和开放源码的发布模式，Snort成为入侵检测软件中非常流行的选择，经常有已经花费了数千元购买入侵检测系统的管理员还使用Snort来填补网络中的一些缺口。Snort从本质上说是网络数据包嗅探器。只要运行Snort时不加载规则，就可以把网络中的数据包显示出来，但是Snort的真正价值在于把数据包经过规则处理的过程。Snort灵活的和强大的语言能对网络中所有数据包做充分的分析，当有了新的攻击手段的时候，只要简单加入新的规则就可以升级Snort。Snort没有提供友好的图形化用户界面、华丽的报表，它只在如何做好入侵检测做深入研究。有了强大的规则引擎和简洁的体系结构，它能够取代任何商业IDS的工作。 由于Snort的工作模式是在DOS环境下，而且它的日志记录以及规则配置分别处于不同的目录下，导致用户使用的不便，因而产生了将Snort多项功能集于一体的设计思想，一个利用可视化编程实现的简单的入侵检测日志服务系统就是该设计的主要目的。 1.3研究入侵检测的必要性和局限性 计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于网络用户的飞速扩充和网上电子商务开辟的广阔前景，使系统的安全性受到挑战。攻击者企图利用操作系统或应用程序的缺陷破坏系统。为了对付这些攻击企图，可以要求所有的用户确认自己的身份并进行验证，并使用严格的访问控制机制，还可以利用密码等对数据提供保护，但这也并不能是全部。比如弱口令、静态安全措施的限制，还有软件工程的bug（在短期内是无法解决的），这些本身也存在着问题。由于蓄意未授权的可能尝试可能造成非授权访问、泄露信息、信息不可靠或不可用，因此必须设计系统的安全机制以保护系统资源与数据以防恶意入侵，但是企图完全防止安全问题的出现是不现实的，但可以尽力检测出这些入侵以便在稍后修补这些漏洞。从这个角度来看，入侵检测就是很有必要的了，它将弥补传统安全保护措施的不足。 入侵检测是基于计算机网络环境下的一种技术，它最主要的条件就是需要有可靠的数据来源供入侵检测分析，其次是要有一些数据、计算机、人工智能等各种学科的知识。目前入侵检测技术的方法主要停留在异常检测统计方法和误用检测方法上，这两种方法都存在着这样或那样的问题，而且网络的发展还在给入侵技术带来更多的难题，如何让入侵检测系统适应高速的网络，怎样有效地检测入侵发生过程？虽然目前已经有自然语言描述入侵的发生，但是自然语言存在语义不确切、不便于计算机处理等局限性。由于各种原因，各个系统的审计数据格式不尽相同，如何实现一种软件在各方面有更好地统一？入侵检测只是仅仅试图发现计算机网络安全中的问题，要解决网络安全的问题还得要依靠其他的网络安全技术。入侵检测系统如何结合其他学科研究成果以开发出有效的系统以及入侵检测系统与其他系统的接口、协调处理等问题都有待进一步研究和实现。以后的章节将对这种技术进行深入讲解。