Snort入侵检测系统介绍

什么是Snort

Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。

Snort首先根据远端的ip地址建立目录,然后将检测到的包以tcpdump的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.

Snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于libpcap库的,继承了libpcap库的平台兼容性。它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。snort具有良好的扩展能力。它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。snort还能够记录网络数据,其日志文件可以是tcpdump格式,也可以是解码的ASCII格式。

简单的说,Snort是数据包的嗅探器,也是数据包记录器,还是NIDS。 提供数据包嗅探和记录功能只是Snort的部分功能,Snort的特点就是其入侵检测功能—根据入侵规则匹配数据包中的内容。

Snort系统需求

Snort对硬件没有特殊的要求,对Snort来说,硬件系统的处理器频率越高越好,不同网络使用的网卡和硬盘空间大小会制约Snort捕捉数据包和存储数据包的功能。

Snort的产品定位为简单NIDS。现在能运行x86平台的Linux、FreeBSD、NetBSD、OpenBSD和Windows等操作系统上。另外,Sparc Solaris、PowerPc MacOS X MKLinux和PA-RISC HP-UX等操作系统都支持Snort。可以说Snort可以在任何流行的平台上运行。

Snort的功能架构

Snort可提供Protocol分析、内容查找和匹配,可以用来检测各种攻击和探测,如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别尝试等.其中的包嗅探、数据包记录和入侵检测是其重要功能.Snort的架构决定了它的各种功能,构架图见下图所示.而Snort架构由以下4个基本模块构成:

⑴嗅探器

⑵预处理器

⑶检测引擎

⑷输出模块

Snort的最简单形式就是包嗅探器,但当Snort获取到数据包后会将数据包传送到与处理模块,然后通过检测引擎判断这些数据包是否违反了某些预定义规则

Snort的预处理器、检测引擎和报警模块都以插件形式存在.插件就是符合Snort接口定义的程序,这些程序曾经是Snort内核代码的一部分,现在独立出来使内核部分的修改变得简单可靠.

包嗅探器用来监听数据网络,可以是硬件也可以是软件.一个网络嗅探器使应用程序或者硬件设备能够监听网络上的数据流.互联网多是IP数据流,在本地局域网或传统网络中多是IPX或AppleTalk数据流.具体来说,包嗅探器不仅可以进行网络分析及错误处理、性能分析及基准测量、监听明文密码及其他感兴趣的数据.

预处理器得到原始数据包,使用不同的插件检测数据包,这些插件检测数据包的某些特定行为.一旦数据包被确认具有某些特定行为,就会被送到检测模块.插件可以根据需要在与处理层被启用或停用,从而更具网络优化级被分配计算资源并生成报警,插件是入侵检测系统的一个非常有用的功能.

检测引擎接收预处理器及其插件穿送来的数据,然后根据一系列的规则对数据进行检测.如果这些规则和数据包中的数据相匹配,就将数据包传送给报警处理器.

当数据通过检测引擎后,Snort会对其数据进行不同的处理.如果数据和检测引擎的规则相匹配,Snort就会触发报警.报警可以通过网络连接、UNIX的套接字或Windows Popup(SMB),甚至SNMP陷阱机制发送到日志文件.也可以使用Snort的一些附加工具来通过Web接口显示日志内容,包括一些perl、PHP和Web服务器的插件等.日志可以存储在文本文件中.报警和日志都可以记录到数据库中,如MySQL或Postgree等.另外,Snort报警可以通过系统日志工具如SWATCH发送电子邮件及时通知系统管理员,是系统不需要由专人24小时监控。

Snort与其他入侵监测系统的比较

Snort是一个轻量级产品,因此很难应用于大型网络。但Snort的规则语言非常经典,以至于一些商业化的产品中也套用其规则描述语言。

根据国内外IDS的现状,主要的IDS有着以下相同和差异:

相同之处:模式匹配检测是主流方式;多采用多引擎+控制台结构;适用于10/100 Mbps的以太网络;

主要差异 :

同厂商对攻击的认识和定义各不相同,用户购买时不能简单观看产品宣传页中的一些数字。

国外产品本地化程度要差一些,但产品成熟度要好一些。

在管理界面和模式上各有特色,有采用浏览器方式,有采用独立界面方式,还有利用和其他网络安全产品统一界面的管理方式。

有的产品在引擎上采用软件方式(如ISS、北方计算中心和CA的产品等),有的产品引擎提供硬件方式(如启明星辰和Cisco等)。比较起来,硬件方式在安装、调试等方面的操作相对简单方便。

国外产品贵一些。

一些商业的IDS有着自身的技术特点:

ISS公司的Realsecure 对网络引擎和主机代理技术的结合做得比较好,并且其创始人克劳斯和X-Force小组在网络安全界有较高的知名度。

Cisco公司的NetRanger 由于占有网络设备的优势地位,在IDS硬件引擎的处理性能方面表现极佳,可以把入侵检测和路由器、防火墙技术有机集成或结合。

Symantec收购的Axent公司Netprowler/Intruder Alert 其NIDS可对主机进行细粒度控制,其HIDS所支持的操作系统平台的种类最全面。

CA公司的eTrust Intrusion Detection对Web内容和邮件内容的检。测比较直观,和该公司其他安全产品管理结合得比较好。

启明星辰公司的天阗入侵检测系统具有主控中心、多级子控和网络引擎(主机代理)的集中管理与分级(分权限)控制的架构,非常适合大型的分布式网络体系; 可对独特的网络行为或关联行为进行定制检测。

对于免费的IDS,应该说是适合一些个人、有研究兴趣的单位(如学校)或是计算机技术能力较强的小型企业。这样不需要花费任何投资,只要有能力和时间来进行很好的配置,便可让它发挥检测和分析作用。

免费IDS的主要缺点是功能单一,对用户友好性差,不像商业产品那样具有支持、服务和后续升级能力,其不明背景很难保证其可用性和自身安全性,不适于大中型企业或关键行业部门的应用。建议一些大型企业的安全建设和管理人员在小范围内使用免费IDS,以积累入侵检测技术分析的经验,增强认识,有助于选取或应用商业产品。

与免费的IDS相比,IDS商业产品具有明显的优势。首先,知名的IDS商业产品提供商都是具有丰富安全技术背景的安全公司,具有强大的开发团队,并具有对黑客技术的安全研究能力,保证了对IDS技术的跟踪和发展。其次,由于是商业化产品,在产品的需求设计、新技术应用、产品功能和性能以及用户友好性上非常关注,产品易用性、功能性等表现出色。最后,商业化的产品会给用户提供成熟的技术支持、有保障的安全服务和可保护投资的产品升级换代技术

正确看待IDS,不管是免费的,还是付费的,关键是要把入侵检测技术利用起来。只有用户用起来,碰到具体问题,真正体会其中的用处和不足,引发更为准确的用户需求,才能使得入侵检测产品发挥应有的作用。

你可能感兴趣的:(网络,cgi,FreeBSD,Cisco,引擎,产品)