《微计算机信息》2011年第27卷第2期
120元/年邮局:82-946
《现场总线技术应用200例》
信息安全
Research and Improvement on Rule Base of Snort
(天津城市建设管理职业技术学院)
王喆
WANG Zhe
摘要:通过对Snort 入侵检测系统的测试,发现该系统针对135、1434端口和IIS_Translate_F 漏洞攻击未能进行报警。根据入 湘乡市育才中学
侵检测规则文件的语法规则,编写出针对漏报情况的新的入侵检测规则文件,从而使得入侵检测系统的检测成功率明显提高,有效的降低了漏报率。
关键词:Snort;入侵检测系统;规则;漏报率中图分类号:TP39文献标识码:A
Abstracts:Through the testing of Snort -Based intrusion detection system,we find that the system can not warn based on the port 135,1434and the omission IIS_Translate_F striking.According to intrusion detective grammatical rules,write the new intrusion de -tective rules,thereby to increase efficiency of the intrusion detective system apparently and reduce the underreport rates.Key words:Snort;Intrusion detection system;Rules;Underreported rate
文章编号:1008-0570(2011)02-0156-02
引言
顾客价值基于Snort 入侵检测系统主要是通过误用检测规则来检测攻击,该种检测方式的核心是已知攻击方式的知识库,通过判断知识库中的入侵模式是否出现来实施检测。对于该系统来说,如果只有Snort 的可执行程序,而没有规则文件,那么Snort 就不能真正实现入侵检测功能,不能识别任何攻击。同时如果是知识库未知攻击类型和未知系统安全漏洞,该系统也不能够检测。Snort 规则文件就是该系统的核心,是Snort 检测攻击的知识库。
通过对我院建立的基于Snort 入侵检测系统运行过程中的测试,对实际的漏报情况进行分析,入侵检测系统中不具有漏报的那些攻击或者漏洞的知识库,即没有能够检测这些攻击和漏洞的入侵检测规则文件。因此,必须根据Snort 规则文件的语法要求,编写针对这些攻击和漏洞的入侵检测文件。
1入侵检测规则文件的语法规则
Snort 的每条规则都可以分成逻辑上的两个部分:规则头(rule Header)和规则选项(rule Option)。规则头包括:规则行为
(rule ’s action)、
协议(protocol)、源/目的IP 地址、子网掩码以及源/目的端口。规则选项则包含了所要显示给用户查看的警告信息以及用来判定此数据包的其他信息(如:tcp 的flags 字段,数据字段的内容等)。在Snort 规则文件中规则头部分包含关键字有:
(1)规则行为。规则行为告诉Snort 当发现匹配的数据包时,应该如何处理。Snort 中包括alert 、log 、pass 、activate 和dynamic 等5种处理方式。其中alert 处理方式经常使用,它根据选定的报警方法产生报警信息,并且记录数据包;
(2)协议:包括TCP 、UDP 和ICMP;(3)IP 地址;(4)端口号;
(5)方向操作符;方向操作符包括单向
“->”和双向“<>”两种。Snort 规则文件中的规则选项部分包含关键字有23个。其中content 是Snort 一个非常重要的规则选项,它是需要检测的数据包的特征,Snort 根据规则中content 指定的内容进行数据包的搜索,并且触发对于这些数据的反应。Snort 检测引擎最后测试的总是content 规则选项,每当对一个content 规则选项进行模式匹配时,Snort 都会调用Boyer-Moore 模式匹配函数,测试
数据包的内容。
无论在数据包的那个位置发现要搜索的数据,就算测试成功。
2入侵检测规则文件的编写
通过对Snort 规则文件的语法规则分析,针对入侵检测系统漏报情况,在入侵检测系统中增加几种入侵检测的规则文件。
2.1135端口入侵检测规则文件
135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC 可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;
使用DCOM 可以通过网络直接进行通信,能够跨包括HTTP 协议在内的多种网络传输。RPC 本身在处理通过TCP/IP 的消息交换部分有一个漏洞,该漏洞是由于处理了格式不正确的消息造成的。由于该漏洞会影响到RPC 与DCOM 之间的一个接口,该接口侦听的端口就是135。“冲击波”病毒就是利用RPC 漏洞来攻击计算机的。
因此在Snort 系统中增加135端口的入侵检测规则文件epmap-port.rules,该文件中入侵检测语句是:alert tcp $EXTER -NAL_NET any ->$HOME_NET 135(msg:"epmap_port";sid:
10001;rev:5;)。
2.21434端口入侵检测规则文件
1434端口属于UDP 协议的端口号,SQL Server 在该端口上建立一个监听服务,让客户端可以从服务器上查询到命名实例及其网络配置信息的列表。该监听服务始终运行在UDP 1434端口上,并且用户无法更改该运行端口。
王喆:硕士讲师
156--
邮局:82-946120元/年技术创新
信息安全
《PLC 技术应用200例》
您的论文得到两院院士关注
由于该端口的开放,就会使得远程主机的MS SQL Server 存在缓冲区溢出漏洞,该漏洞可能会导致远程攻击者以SYS -TEM 权限在系统中执行任意代码,从而可能引发sapphire 蠕虫病毒的攻击。sapphire 蠕虫病毒利用该漏洞向开放该端口的主机发出大量的UDP 数据包,形成网络的Dos 攻击。
因此在Snort 系统中增加1434端口的入侵检测规则文件ms-sql-m.rules,该文件中入侵检测语句是:alert udp $EXTER -NAL_NET any ->$HOME_NET 1434(msg:"ms -sql -m";sid:10002;rev:5;)。
2.3IIS 的IIS_Translate_F 漏洞入侵检测文件
IIS 的IIS_Translate_F 漏洞存在,攻击者在HTTP 的
“get ”请求语句的头文件中加入“Translate:f ”语句,使服务器把所请求的文件的源代码发送给客户端,这样可能造成网站重要信息(如密码等)的泄密,或者攻击者利用这些源代码为自己服务。
对IIS_Translate_F 漏洞的Snort 规则在编写时,必须要有该漏洞信息的特征码,也就是Snort 规则文件规则选项部分con -tent 的内容。为了获得IIS_Translate_F 漏洞的特征码,利用X-Scan v3.2GUI 扫描软件只针对IIS 漏洞进行扫描,同时利用sniffer 进行攻击数据包的截取,截获的数据包如图1所示。从截获的数据包中,查出IIS_Translate_F 漏洞的特征码是:“5472
616E 736C 6174653A 2066”
。图1sniffer 截获的数据包
此时根据Snort 系统入侵检测规则文件的语法,编写针对IIS_Translate_F 漏洞的规则文件IIS-Translate-F.rules,该文件中入侵检测语句是:alert tcp $EXTERNAL_NET any ->$HTTP_SERVERS $HTTP_PORTS (msg:"IIS -Translate -F";con -tent:"|5472616E 736C 6174653A 2066|";)。
3改进后的入侵检测系统测试
在入侵检测系统中增加了这几种规则文件后,重新利用X-Scan v3.2GUI 扫描软件对目标主机进行端口和漏洞扫描,发现入侵检测控制台中针对135端口、1434端口和IIS_Translate_F 漏洞的扫描已经可以进行检测。表1为改进前与改进后的入侵检测结果对比表,图2改进前、后的入侵检测成功率的对比图。
表1改进前、后入侵检测结果对比表
图2入侵检测成功率对比图
由表1和图2显示的结果可以发现改进后的入侵检测系统的检测成功率比改进前明显提高。同时通过对表1和图2显示结果的分析,发现只有在入侵检测系统的运行过程中,根据实际情况扩充入侵检测规则文件,才能逐步完善入侵检测系统的检测能力,提高入侵检测系统的检测成功率。
4总结
利用Snort 具有的可扩展性,充分分析入侵检测系统运行中的漏报情况,开发出针对漏报内容的入侵检测规则文件,有效降低漏报率,提高了网络的安全性。
本文创新点:针对学院基于snort 开发的入侵检测系统出现的漏报情况,根据入侵检测系统规则文件的语法规则,编写出针对漏报情况的新的入侵检测规则文件,从而提高了入侵检测系统的检测成功率。耵聍腺瘤
作者对本文版权全权负责,无抄袭。
参考文献
[1]戴英侠,连一峰,王航,系统安全与入侵检测[M],清华大学出版社[M],2002,33
度学
[2]方贤进,校园网环境下入侵检测系统的研究与实现:[硕士学位论文],安徽:安徽大学,2005
[3]韩东海,王超,李,入侵检测系统实例剖析[M],清华大学出版社[M],2003
[4]张雷,刘慧巍,刘中杰,Linux 下入侵安全检测系统的分析[J],长春师范学院学报(自然科学版),2005,(4)
[5]张俊,江汉红,陈少昌等.Internet 网络攻击与抵御的层次化分析[J].微计算机信息.2005,1-0
作者简介:王喆(1978-),男(汉),天津市人,硕士,讲师,研究方向:计算机网络。
Biography:WANG Zhe (1978-),male (Han),TianJin,lecturer,master,Research area:computer network.
300134天津天津城市建设管理职业技术学院)王喆
(Tianjin Urban Construction Management &Vocation Tech -nology College,Tianjin 300134,China)WANG Zhe
通讯地址:(300134天津市天津城市建设管理职业技术学院)
王喆
ANALYSISES
(收稿日期:2010.07.12)(修稿日期:2010.10.12)
(上接第248页)
[3]郭伟斌,冯钿,罗文村.软件注册机制模块的研究.微计算机信息,2006年第22卷第5-3期.
[4]冯振国,何瑞春.随机多重加密方法在小型软件注册中的应用.计算机工程与科学.2009年第31卷第4期.
[5]张宝生.一种基于网络的实用软件注册方法.北京石油化工学院学报.2001年6月第9卷第1期.
[6]韦伟.Delphi 中利用Windows 注册表实现软件的审核注册过程.黄冈职业技术学院学报.2009年3月第11卷第l 期
[7]陈奇峰.基于椭圆曲线数字签名算法的软件注册码方案.科学技术与工程.2009年3月第9卷第6期
作者简介:何定华(1972-),男,湖北监利人,副教授,硕士在读,主要研究领域为网络安全,数据安全。
Biography:HE Ding-hua (1972-),master,Research area:Net -work Security,Data Security.
(430074武汉武汉职业技术学院计算机学院)何定华
(Dept.of Computer,Wuhan Institute of Technology Wuhan 430074,China)HE Ding-hua
通讯地址:(430074武汉武汉职业技术学院计算机学院)何定华
(收稿日期:2010.05.28)(修稿日期:2010.08.28)
157--
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议