欧事我术与成用
网络安全
网络入侵检测系统中入侵规则构造浅析
彭设强”潘浩?
（1.通信指挥学院湖北武汉430010；2.96166部队广东韶关512158）
摘要：随着网络应用的还速发展，人们对网络安全的要求越来越高，网络入侵检测系统已成为计算机安全防护领域不可或缺的重要组成部分。本文从军队计算机网络安全现状出发，较详细阐了网络入侵检测系统中入侵规则的构造及数据包的匹配。
关键词：入侵检测协议分析规则链表
中图分类号：TP393
文献标识码：A
文章编号：1007-9416（2011)06-0109-01
军队计算机网络是用于作战指挥、军事训练、日常办公及业务处理等活动的信息传输和处理平台，网上时刻传输、存储和处理着大量的涉密数据信息，其安全问题至关重要，事关战争胜负和战斗力的发挥。防火墙作为防御非法入侵的第一道关卡，是长期以来保障网络安全最常用的工其，其主要优势在于能对外部网络的攻击进行有效防护。事实上，大部分的网络安全问题恰恰来自于内部网络，网络人侵检测系统（NIDS）使应运面生。人侵检测是通过收集计算机网络或计算机系统中的若干关键点信息，对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。人侵行为的检测技术是网络入侵检测系统的核心。根据入侵规则对数据包进行匹配，检测是否有入侵行为发生，这使是网络入侵检测系统需要实现的功能。因此，人侵规则
的构造将直接影响人侵检测系统的性能。 1、规则树的构造
Snort是一种开源的轻量级网络人侵检测系统，它使用了一种简单、高效的规则描述语言来对入侵特征规则进行描述。该规则的格式在逻辑上分为两个部分：规则头（RuleHeader）和规则选项（RuleOptions）。规则头包含了规则动作、协议类型、IP源地址和目的地址、源端口和目的端口等信息。面规则选项则包含报警信息以及用来判定此报文是否为攻击报文的其它信息。我们借鉴Snort在内存中组织规则的方式，采用动态生成三维链表的方式
构造规则的语法树，规则链表的结构如图1所示。器头
Rdded RTN on
darvet
广
Bnacy
态得美#事，这净健天#字#
武海式#学，品美保头#字，这子证
图1三维规则链表
ps 市 E0号
系统首先读取规则文件，然后依次读取每一条规则并进行解析，系统在内存中对规则进行组织，采用链表的方式来构建，规则语法树最顶层的规则结构按规则动作组成链，包括activation、 dynamie、alert、pass、log，以RuteListNode结构表示。其次，在其有相同规则动作的基础上，按照不同的协议类型，如TCP、 UDP、ICMP等再分成几条链表。规则树节点（RTN）中包含的是多个规则的共有属性（协议类型、IP地址和端口号），而不同的检测属性选项则包含在不同的选项树节点（OTN）中。
方方数据
RTN节户的数据结构为 ponaaptnppadla
it head_node_number, int type:
IpAdSet sip u_long snask IpAdSet dipo u_long dm sdqy uop u_thent bge s_shont blp e_thont Idp
P地线源子网 WR的P地划"目的于网纯司翼途口号结值爱瑞口号起始货目的端口号结求值 W目的端门号起始值
struct_RuleTreeNode *right; 指向下 RTN
OpfTmeNade*dow指向缩速这年攻击特征的选项链
RuleTreeNode;
2、规则与数据包的匹配
OTN节点的数累结构为： typedef struct _OptTreeNode
tag，dpdo Rspfplist*np_fane;质a数
"在系统中增加播件时
void *ds_list 落增加的数据指销
int chain_node_umber:/选项节点个数 int eypes
推警类型，alert，log
Pan
char *mewape:
OTN
报警信息
strurt_RuleTroeNode*rtn;指向规则头节点RTN
JOpTmeNade
规则链表构造完成以后，需要一个方法来指导链表寻找数据
包。规则匹配的过程实质上就是对所据获的网络数据包与规则树进行匹配的过程。如果检测到数据包与某一条规则相匹配，则表示检测到一个攻击，然后按照规则所指定的行为进行处理，如果遍历所有的规则都没有找到与之匹配的规则，则系统认为该报文是正常的报文。
在得到数据结构后，入侵检测系统便利用其中包含的信息在规则树上进行检索，检测是否有某条规则与之匹配。检测函数将根据不同的协议使用相应的规则链表对当前数据包进行检查。当数据包到达入侵检测模块时，将首先通过规则头以下面的顺序进行导航：activation、dynamic、alert、pass、log。然后避历规则树节点（RTN），检查数据包中的源/目的IP地址、协议类型、端口号等信息是否匹配，如果不匹配，转人规则头链表的下一个节点继续检查，如果所有规则头均不匹配，则表示没有已经定义的入侵发生，函数值返回O；如果规则树节点（RTN）匹配成功，则进人该RTN的选项树节点（OTN）进行匹配，每个选项关键字都与具体的处理函数相对应。如果匹配成功，则表明有入侵发生，调用相应的选项关键字处理函数，函数值返回1；反之，如果在遍历选项树节点（OTN）之后没有发现匹配，则说明没有已经定义的人侵发生，函数值返回0。在处理带有content关键字的规则与数据包有效载荷的匹配间题时，要调用匹配算法与数据包有效载荷进行匹配，然后根据检测结果对可能发生的人侵行为调用相
应的处理函数进行处理。 3、结语
本文就网络人侵检测系统中规则树的构造及规则与数据包的匹配问题进行了讨论，在实际的网络环境中，会不断产生新的人侵行为，需要根据新的人侵待征来不断更新人侵检测功能。通过这种动态构造维规则链表的方式，一旦发现新的人侵行为，只需要定义新的规则即可，有效提高了网络人侵检测系统的可扩展性。
109