Ｓｎｏｒｔ体系结构的研究与分析摘要：剖析了开源入侵检测工具Snort的体系结构及其工作配置模式，为中小型网络配置入侵检测系统提供了可行的解决方案。关键词：入侵检测系统；通用入侵检测框架；Snort中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31585-02ResearchandAnalysistheSystemFrameworkofSnortYUKun,WUXiao-jin(NetworkCenter,JingchuUniversityofTechnology,Jingmen448000,China)Abstract:theSystemframeworkandworkconfigurationmodeloffreeIntrusionDetectiontools:SnortisResearchedandanalyzed,offerapracticablesolvewayforIntrusionDetectionSystemconfigurationinbothmiddleandsmallnetworks.Keywords:IDS;CIDF;Snort1引言随着网络攻击的日趋复杂化，单纯依靠防火墙已经不能满足网络安全的需要。防火墙只能配置在网络边界上，对于来自网络内部的大量攻击无能为力，而事实上有80%的经济损失都来自于内部的攻击。这种背景下，入侵检测系统（IntrusionDetectionSystem，IDS）应运而生。入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程。它不仅可以检测来自外部的入侵行为，同时也可以监控内部用户的非授权行为。IDS是一个动态的防御系统，它可以识别防火墙不能识别的攻击。IDS技术经过这些年的发展已经出现了不少商业IDS产品，但这些产品大多比较昂贵，无法满足更大层面上的用户需要。而本文所介绍的Snort是一个开放源码的IDS，且高效稳定，在全世界范围内被广泛安装和使用（据统计已超过100000例）。2CIDF模型CIDF(CommonIntrusionDetectionFramework)模型是1999年美国国防高级研究项目局(DARPA)提出的通用入侵检测框架模型。该模型旨在提高IDS产品、组件及其他安全产品之间的互操作性。如图1所示是CIDF的体系结构。图1CIDF体系结构CIDF将一个入侵检测系统分为事件产生器、事件分析器、响应单元和事件数据库四个组件。CIDF将IDS需要分析的数据统称为事件（Event），它可以是基于网络的入侵检测系统从网络中提取的数据包，也可以是基于主机的入侵检测系统从系统日志等其他途径得到的数据信息。CIDF组件之间是以通用入侵检测对象（GIDO）的形式交换数据的。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件。事件分析器负责分析从其他组件收到的GIDO，并将产生的分析结果传送给其他组件。事件数据库用来存储GIDO，以备系统需要的时候使用。响应单元负责处理接收到的GIDO，并据此采取相应的措施。3Snort体系结构Snort是一个典型的遵循CIDF模型的入侵检测系统。如图2所示是Snort的体系结构。图2Snort体系结构(1)Sniffer即嗅探器，这是Snort最初的开发目的。Snort没有自己的捕包工具，它使用一个外部的捕包程序库Libpcap从物理链路上进行捕包。Libpcap可以运行在任何一种流行的硬件和操作系统的组合中，这使得Snort成为一个真正的与平台无关的应用程序。Snort按照TCP/IP协议的不同层次对收集来的包进行解码，解码后的包数据将堆满一个数据结构。包数据一被存入数据结构中，就会迅速被送到预处理程序和检测引擎进行分析。(2)预处理器是以可插入模块的形式存在于Sniffer和检测引擎之间。这种插件机制使程序具有很强的扩展性，模块性强，程序易读。Snort的预处理可以分为两类。一类预处理对发现非基于特征的攻击是不可缺少的；另一类预处理负责对流量标准化以便检测引擎能准确匹配特征。预处理的参数可以通过Snort.conf配置文件调整，还可以根据需要添加或删除预处理程序。(3)检测引擎，是Snort的核心部件，主要功能是规则分析和特征检测。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。如图3所示描述了检测引擎的工作流程。启动的时候，Snort根据具体的用户需求读取相应的规则文件，并且建立一个三维的链表。当进行规则的匹配时，在链表的两个方向同时进行，检测引擎只检测那些一开始在规则解析器中设置好了的规则选项。当检测引擎检测到第一个与被解码的包相匹配的规则时，检测引擎...