摘 要:摘要:伴随着网络安全技术的飞速发展和逐步完善,入侵检测技术作为一种主动安全防护技术,不仅为系统提供了完善的内部攻击、外部攻击和误操作等威胁的防范方案,更可以做到早发现早处理,在网络系统受到切实损害之前进行拦截和预处理。在基于SNORT软件包的基础上,基于IPv6协议的入侵检测系统的提出为未来的网络安全提供了新鲜的血液。
关键词:关键词: SNORT软件包;入侵检测;网络安全
中图分类号:TP302.1 文献标识码:A 文章编号:
1. SNORT入侵检测系统概述
1.1 SNORT入侵检测系统架构
SNORT入侵检测系统包括三个重要的组成子系统:数据包嗅探和解析子系统、检测引擎子系统、日志记录和报警子系统。首先使用数据包嗅探系统从网卡上捕获数据包发送给数据包解析系统,通过数据包解析子系统中的数据包解码器对数据包进行解码及预处理。然后检测引擎子系统接收分析结果并且对其进行规则匹配。最终根据不同的匹配结果对数据包进行相应的处理操作。入侵检测系统的另一种分类方法可以把SNORT入侵检测系统架构分解为以下几个模块:数据包解析模块、预处理模块、检测引擎模块和预警信息记录输出模块。数据包解析模块和上文中的数据包嗅探和解析子系统功能相似,同样是实现网络数据信息获取并且对其进行解析处理。不同点是数据包解析模块会将解析后的数据存入相应的数据格式,而不是直接发送给检测系统。预处理模块的功能包括报文的分片重组和数据流重组预处理等。检测引擎模块实现基于规则的模式匹配过程,它不仅包含种种的检测插件,重点是它能够检测出入侵行为。预警信息记录模块能够详细记录检测信息和预警信息并且能够实现各种报文日志功能。
1.2 SNORT入侵检测系统工作原理
对于入侵检测系统的分类,业界并未使用统一的标准,并且由此衍生了不同的入侵检测系统分类方法。根据检测数据的来源来分,入侵检测系统大体分为从主机获取数据的入侵检测系统和从网络获取数据的入侵检测系统两种。根据检测机制的不同,入侵检测系统可以分为基于异常的入侵检测系统和基于误用的入侵检测系统。这两种分类方法恰好能够将SNORT入侵检测系统的属性详细的刻画出来,SNORT入侵检测系统是一种从网络获取数据的基于异常检测机制的入侵检测系统。除此之外,SNORT入侵检测系统的特点还包括支持跨平台应用、代码冗余小、结构清晰和易于扩展等。不得不说SNORT是入侵检测系统中的杰出代表。
系统的初始化部分会充分按照系统配置文件和初始化命令要求对系统进行初始化操作,这一过程包含了匹配算法的重定义、规则文件的更新和各个子系统和插件的重置。上文中对SNORT的各个子系统和模块有了简单的介绍,这里我们将其具体的工作流程介绍一下。数据包捕获模块在捕获网络数据包之前需要一部必要的配置工作:将网卡设置为混杂模式。因为只有网卡在这种模式下入侵检测系统才能够获取被保护网段上的数据包。数据解析模块按照捕获数据包的类型将数据包进行相应处理。由于原数据包为了方便传输协议而采用的特定数据结构会给检测匹配带来不便,所以数据解析模块会转换数据包的数据结构。预处理模块的主要功能是对捕获的数据包进行应用层的解析操作和根据实际需求进行分段重组或建立流状态等预处理。最后,作为SNORT入侵检测系统的核心模块,检测模块采用快速匹配算法将经过以上几个模块捕获和预处理的数据包进行规则匹配。一旦发现符合入侵数据包规则匹配的数据包,马上发送该数据包给响应模块。响应模块会对入侵数据包做出反馈,包括对系统管理员发出预警、立即阻断入侵数据接收和更新检测日志等。
2. IPv6协议概述
2.1 IPv6协议报文
众所周知,以太网帧中包括6字节的源MAC地址、6字节的目的MAC地址、2字节的协议类型和源数据。IPv6报文的头部是由固定报文段和扩展报文段两部分组成的。其中固定报文段是每个IPv6报文必不可少的基本报文头部,而扩充报文段在常规应用中起到了视具体报文功能来选择IPv6报文通用模式的功能。通用的IPv6报文规范包括一个固定长度的基本报文段和一个可变长度的扩充报文段。一个可以被正常引用的IPv6报文可以没有扩充报文段,但是不能缺少基本报文段。当前IPv6报文在使用中常规的扩充报文段包括信道选择报文段、路由选择报文段、分段报文段、认证信息报文段、封装有效载荷信息报文段、上层协议应用报文段和基本报文段等。
2.2 IPv6数据报
IPv6数据报中主要封装了TCP数据信息。详细内容包含40字节的IPv6首部、20字节的TCP首部和不固定长度的TCP源数据。作为IPv6体系架构中的一个重要组成部分,ICMPv6不但涵盖了IPv4中的全部功能并且精简了IPv4中的无用信息类型。除此以外,ICMPv6将IPv4中的部分功能进行了合并,例如IPv4中的RP协议、IGMP和ICMP被合并为统一模块大大简化了数据报的格式。当前,ICMPv6已经在旧版本ICMP的基础上更新了错误日志功能、诊断网络数据功能、相邻网络终端扫描和多播实现等功能。
3. IPv6入侵检测系统主要问题及系统设计
3.1 IPv6检测规则
当前版本的SNORT规则可以被分类为两个模块:一是由协议选项、响应方式、源地址端口和目的地址端口组成的规则头部,二是由入侵特征字符信息字符流、攻击类别特征信息、攻击信息编号、攻击程度特征信息和入侵日志存储模块组成的规则选项模块。详细来讲,规则头部中的协议类型包括TCP、UDP、ICMP、IP数据协议,响应方式则包括activate、pass、log等常规响应方式和应急响应方式。因为在入侵检测规则的编写过程中需要综合考虑实际情况,入侵检测规则的编写可以用对IPv6特有的攻击规则和针对应用层的常规型攻击规则来区分。
3.2 lPv6包的捕获
因为通常IP网络数据包获取的目的不同,IP网络中数据包的获取可以分为应用层通用获取、第三层和第二层数据包获取多种获取方式。其中,应用层的通用获取方式可以完整获取底层数据包头部,但是这种获取方法有一定的局限性,它只用获取特定的几类数据包类型。第三层捕获方式是针对网络层之上的网络数据包而使用的,对于数据链路层的数据无能为力。和第三层获取方式对立,第二层获取方式是针对数据链路层的数据包获取。在常规数据包获取中多种方式混合使用通常能取得很好的效果。
3.3 IPv6解析模块
针对IPv6的SNORT解码系统中不同的解码方式按照数据层来分,包括针对传输层、针对数据链路层和
针对网络层解码。当前SNORT对数据链路层的解码对IPv6和IPv4都能良好的支持,正在使用中数据链路层协议类型较多,例如FDDI、IEEE 802.11和Token Ring等。但是对于网络层解码,SNORT仅仅能够支持IPv4数据包解码,为了应对IPv6的数据包类型解码必须对其进行功能升级。
3.4 IPv6快速匹配
在SNORT中Multi-pattern searching算法和Port group技术的使用使得入侵检测系统中的规则匹配计算速度提升明显。Multi-pattern算法是基于字符串匹配模式的快速匹配算法,在入侵检测中负责攻击类型特征字符的匹配检测,重点是这种算法同样适用于IPv4和IPv6数据包检测对原有的检测系统不需要进行多余修改。Port group技术能够将相同类型协议的基础上把所有匹配规则按照端口号再次分类,将其细化为被称之为端口组的规则分组。因为是按照端口类型分类,每一个端口组中的匹配规则都能够映射一个特定的端口。这种映射关系在规则匹配中将大大减少匹配运算中的工作量,提高了匹配运算的效率。
4.总结
网络安全是一个需要我们长期关注的主题,它需要各种安全技术之间协调运作和紧密配合,而网络入侵检测系统以其独特的优势成为其中不可缺少的重要组成部分。随着IPv6协议的逐步应用,新一代的基于SNORT的IPv6入侵检测系统将逐渐完善。
参考文献:
[1]黎耀 IPv6 下异常检测系统的关键技术研究.华中科技大学,2006
[2]连洁 IPv6协议网络的入侵检测系统研究,2006
[3]胡鹏 入侵检测系统中高效模式匹配算法的研究,上海大学, 2006
[4]赵荣杰 IPv6网络中的分布式入侵检测系统研究与实现,2009
[5]张中科 IPv6下的入侵检测技术研究,2007
[6]郑晓红 基于IPv6 的网络入侵检测系统的研究与设计,西南科技大学,2006
[7]徐林 IPv6 下协议分析技术在入侵检测系统中的研究与应用,暨南大学,2006
