網(wǎng)絡(luò)監(jiān)測與監(jiān)控

網(wǎng)絡(luò)監(jiān)測與監(jiān)控前言網(wǎng)絡(luò)發(fā)展到今天，已經(jīng)徹底改變了人類生活、工作的方式。信息化革命對人類生產(chǎn)、生活的影響遠遠大過前幾次的傳統(tǒng)的工業(yè)革命?，F(xiàn)在，人們發(fā)現(xiàn)，沒有了電腦，生活就像癱瘓；沒有了網(wǎng)絡(luò)，就像生活在古代社會，完全落后于現(xiàn)代文明。網(wǎng)絡(luò)以其迅猛的發(fā)展，迅速占據(jù)了人們生活的方方面面，人們已經(jīng)對網(wǎng)絡(luò)產(chǎn)生了依賴，截止到2012年7月底，我國的網(wǎng)民數(shù)量已經(jīng)超過了5.38億。但是隨著網(wǎng)絡(luò)的普及以及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，技術(shù)漏洞的無可避免，廣大網(wǎng)絡(luò)黑客們出于各種目的，利用遍布世界各地的網(wǎng)絡(luò)迅速傳播病毒并發(fā)起攻擊，對現(xiàn)有的網(wǎng)絡(luò)信息安全構(gòu)成了巨大的威脅。病毒、木馬、蠕蟲等等泛濫成災(zāi)。網(wǎng)絡(luò)入侵攻擊事件與日俱增，無論網(wǎng)絡(luò)信息系統(tǒng)有多么安全堅固不易被入侵，最后都被成功入侵了，可見網(wǎng)絡(luò)安全現(xiàn)實的嚴(yán)峻性。網(wǎng)絡(luò)入侵，它所帶來的威脅和影響已經(jīng)遠遠超出了預(yù)期，它的威脅直指經(jīng)濟安全和國家安全。網(wǎng)絡(luò)的監(jiān)控與檢測TOC\o"1-5"\h\z\o"CurrentDocument"第一章.計算機網(wǎng)絡(luò)安全及其現(xiàn)狀 11.網(wǎng)絡(luò)安全及其現(xiàn)狀 11.1.1計算機網(wǎng)絡(luò)安全 11.1.2計算機網(wǎng)絡(luò)安全現(xiàn)狀 11.2入侵檢測現(xiàn)狀 2\o"CurrentDocument"第二章入侵檢測系統(tǒng)綜合研究 22.1 入侵檢測系統(tǒng)概述 22.2 基于主機的入侵檢測系統(tǒng) 32.3 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) 42.3.1基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)原理..4\o"CurrentDocument"2.3.2Snort網(wǎng)絡(luò)入侵檢測系統(tǒng) 5\o"CurrentDocument"第三章告警融合關(guān)鍵技術(shù)研究 103.1 入侵檢測信息規(guī)范化 10\o"CurrentDocument"3.1.1CIDF模型 10\o"CurrentDocument"3?1?2IDMEF模型 113.1.3IDMEF模型中數(shù)據(jù)存儲問題研究?????????????????????????????錯誤!未定義書簽。3?2聚類算法研究???????????????????????????????????????12網(wǎng)絡(luò)的監(jiān)控與檢測第一章.計算機網(wǎng)絡(luò)安全及其現(xiàn)狀1.網(wǎng)絡(luò)安全及其現(xiàn)狀1.1.1計算機網(wǎng)絡(luò)安全計算機安全特性可以歸納描述為：完整性，保密性，可用性，可控性，不可否認(rèn)性等。安全問題主要包括：計算機數(shù)據(jù)破壞，非授權(quán)擅自使用計算機系統(tǒng)，濫用計算機系統(tǒng)。計算機網(wǎng)絡(luò)安全可以分為網(wǎng)絡(luò)安全、計算機系統(tǒng)安全和數(shù)據(jù)庫系統(tǒng)安全。（1）網(wǎng)絡(luò)安全問題主要表現(xiàn)為：網(wǎng)絡(luò)協(xié)議的安全機制存在先天性缺陷，在設(shè)計之初，無法完全考慮到實際應(yīng)用時的安全性問題。（2）計算機系統(tǒng)安全問題是指：由于在設(shè)計計算機操作系統(tǒng)之時，系統(tǒng)本身存在的諸多漏洞，入侵者可以利用漏洞進入系統(tǒng)，取得系統(tǒng)控制權(quán)限，肆意對系統(tǒng)內(nèi)的數(shù)據(jù)進行修改、偽造、拷貝、刪除、損毀，并留下后門。這就為入侵攻擊者提供了另外一個突破口。（3）數(shù)據(jù)庫安全問題是建立在操作系統(tǒng)基礎(chǔ)上的，操作系統(tǒng)被攻破之后，操作系統(tǒng)上的數(shù)據(jù)庫就得赤裸裸的直面入侵者。數(shù)據(jù)庫，作為所有組織單位信息化的核心，它是大多數(shù)關(guān)鍵數(shù)據(jù)記錄的載體，一旦被人攻擊將會造成的后果是不可估計的。1.1.2計算機網(wǎng)絡(luò)安全現(xiàn)狀自從世界上第一個在電腦上大面積流行病毒C-Brain誕生以來，安全技術(shù)就在制造病毒、防御病毒，制造攻擊、防御攻擊的博弈中不斷發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為了一個永恒的話題。2011年1月，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）在京發(fā)布了《第27次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，對整個中國的互聯(lián)網(wǎng)絡(luò)發(fā)展和現(xiàn)狀做了總結(jié)歸納。據(jù)該報告調(diào)查，2010年度，有過病毒或木馬攻擊經(jīng)歷的網(wǎng)民比例為45.8%，同比下降了10.8個百分點，總?cè)藬?shù)約為2.09億人。許多網(wǎng)民都遇到過攻擊，只是，許多攻擊入侵是非常隱秘的，主要是一些修改用戶瀏覽器首頁、廣告點擊器等低影響性攻擊，往往只在后臺運行，惡意引導(dǎo)誘騙廣大網(wǎng)民瀏覽該網(wǎng)站，用戶可能毫無察覺。因此，網(wǎng)絡(luò)安全的現(xiàn)狀呈現(xiàn)出表面攻擊下降，實際攻擊行為更加隱秘的狀況。網(wǎng)絡(luò)安全問題正呈現(xiàn)此消彼長，花樣繁多，新問題不斷涌現(xiàn)的態(tài)勢。網(wǎng)絡(luò)的監(jiān)控與檢測1.2入侵檢測現(xiàn)狀入侵一般可以分為三個階段：預(yù)攻擊階段，攻擊階段，后攻擊階段［23］。現(xiàn)在流行入侵檢測的檢查方法主要有：特征檢測，完整性檢驗，異常檢測。特征檢測主要是建立各類攻擊的特征庫，用該特征來準(zhǔn)確地描述某一特殊攻擊的特點，為了避免引起其他誤報，該特征的描述最好是唯一的。它主要是對那些試圖越權(quán)操控系統(tǒng)的安全事件進行監(jiān)控完整性檢驗為系統(tǒng)的每個文件生成一個校驗和，然后定期地將該校驗和與源文件比較，這樣就可以檢查出文件是否被修改過，這類似于視頻監(jiān)控中的圖像變化產(chǎn)生的報警。完整性檢驗適用于檢測篡改網(wǎng)頁等的活動，當(dāng)出現(xiàn)篡改時，通過計算校驗和來發(fā)現(xiàn)異常。異常檢測主要是通過制定一個正常行為模式來衡量網(wǎng)絡(luò)行為的合法性。實際流量中的模式如果在正常行為模式庫中找不到匹配的原型，就會被判斷為異常行為而觸發(fā)報警。分析討論。各種方法都不是十全十美的，因此，光用一種方法來進行入侵檢測是不明智的。多種方法綜合使用，才能減少誤報和漏報率?，F(xiàn)今各大廠商主要傾向于采用特征檢驗，因為該方法邏輯思路清晰，實現(xiàn)方法簡單，而且規(guī)則添加也十分方便，易于維護和增改。特征檢驗確實是一種高效的檢測方法。第二章入侵檢測系統(tǒng)綜合研究入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)的作用是監(jiān)控網(wǎng)絡(luò)和計算機系統(tǒng)是否被入侵或濫用。通常入侵檢測系統(tǒng)都有三個功能：數(shù)據(jù)采集功能，數(shù)據(jù)分析功能和響應(yīng)功能。IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。IDS收集源自計算機操作系統(tǒng)和計算機網(wǎng)絡(luò)中的各種數(shù)據(jù)流，經(jīng)過系統(tǒng)內(nèi)部一系列的規(guī)則分析匹配，從而判斷出是否已經(jīng)有入侵行為發(fā)生。入侵檢測系統(tǒng)可以同時檢測來自內(nèi)部用戶未授權(quán)的非法活動和外部的攻擊行為。對內(nèi)部攻擊的檢測主要是基于主機的，主要檢測內(nèi)部用戶的越權(quán)行為；對外部的入侵檢測主要是基于網(wǎng)絡(luò)的，主要檢測網(wǎng)絡(luò)上的攻擊行為。這兩步都是網(wǎng)絡(luò)安防的重點。2.1入侵檢測系統(tǒng)概述現(xiàn)在市場上的IDS產(chǎn)品種類繁多，無論是在數(shù)據(jù)的采集，系統(tǒng)的布局，信息的分析方法，響應(yīng)的模式上都有很大的差異。

網(wǎng)絡(luò)的監(jiān)控與檢測通常，入侵檢測分為異常檢測和誤用檢測兩大類。異常檢測是試圖建立一個正常的運行模式和規(guī)則，對在網(wǎng)絡(luò)中捕獲的數(shù)據(jù)信息進行分析，如果符合正常規(guī)則模式則系統(tǒng)默認(rèn)其為一個合法的操作，反之，如果捕獲的數(shù)據(jù)信息不在正常規(guī)則模式庫之列，則觸發(fā)異常報警。兩種方法各有短長，只有綜合使用以上兩種方法的入侵檢測系統(tǒng)，才能真正適應(yīng)現(xiàn)在和未來網(wǎng)絡(luò)安防。文獻還提出了一種基于擴張矩陣和GA的入侵檢測方法。入侵檢測系統(tǒng)的檢測性能評價，是評定一個IDS系統(tǒng)優(yōu)劣的首要參數(shù)。這也就意味著，一個IDS系統(tǒng)的規(guī)則庫越多越完善，則這個IDS系統(tǒng)能檢測出更多的入侵攻擊行為，即擁有更高的正確報警率，反之則漏報率更高。另外一個參數(shù)就是靈敏度，這是對入侵檢測系統(tǒng)報警分類的結(jié)果，入侵檢測系統(tǒng)按照優(yōu)先級別不同分為不同的報警種類，各類報警都有自己的優(yōu)先級，靈敏度越高的入侵檢測系統(tǒng)擁有更精細的報警類別和更豐富的報警優(yōu)先級。2.2基于主機的入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)HIDS，主要是檢查系統(tǒng)日志以獲取被入侵的信息。它主要是監(jiān)控操作系統(tǒng)、內(nèi)核、應(yīng)用程序上的威脅。它有權(quán)檢測被監(jiān)控主機的系統(tǒng)的日志、服務(wù)、錯誤消息、權(quán)限等等所有有用的可用的資源。ID>S系統(tǒng)的日志、服務(wù)、錯誤消息、權(quán)限等等所有有用的可用的資源。ID>S分析的基礎(chǔ)主要是系統(tǒng)日志，通過對日志的綜合分析，HDS能夠清楚地區(qū)分正常的或異常的應(yīng)用程序數(shù)據(jù)信息。HIDS能夠訪問并檢查系統(tǒng)中的特殊組件,HHIDS能夠訪問并檢查系統(tǒng)中的特殊組件,HID>S需要具備一些僅能為其所知的關(guān)于主機和其正常行為的特殊知識，才能保證HDS與它所駐留的系統(tǒng)協(xié)調(diào)一致。當(dāng)然，ID)當(dāng)然，ID)S也存在一些大的缺陷。首先，攻擊者可以入侵并控制一臺未安裝HIDS的主機來訪問受保護的主機，這樣的情況HIDS是無能為力的。這也就是說，要想保護區(qū)域內(nèi)的所有主機，就必須為每一臺主機安裝HIDS，并且，根據(jù)操作系統(tǒng)版本不同，所安裝的HIDS版本也會不同。

網(wǎng)絡(luò)的監(jiān)控與檢測2.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS,其主要功能是實時分析網(wǎng)絡(luò)數(shù)據(jù)包，并對其中的攻擊數(shù)據(jù)進行監(jiān)測識別。與基于主機的入侵檢測系統(tǒng)HID與基于主機的入侵檢測系統(tǒng)HIDS相比，NIDS的好處就是成本更低，由于它被部署在某一個網(wǎng)絡(luò)的關(guān)鍵區(qū)域，并且只需部署在一臺主機上，就可以監(jiān)控該網(wǎng)絡(luò)中所有主機的流量、數(shù)據(jù)包信息。NIDS的缺點也是明顯的，網(wǎng)絡(luò)流量的日益增加，NIDS要想實時地準(zhǔn)確地處理這些數(shù)據(jù)包而不發(fā)生丟包，只有部署多個NIDS協(xié)同工作才能應(yīng)付。接著，面對分段攻擊，由于包過長，包就會被分割成幾個，數(shù)據(jù)同樣被分割成幾份，NIDS主機接收到這些分段數(shù)據(jù)之后還要進行順序重裝。最后，面對日漸成熟的通信加密、隧道技術(shù)，NIDS要想捕獲并分析包內(nèi)信息實際上變得非常困難，即使解密出來的明文能被NIDS讀取，但是，這一中間步驟產(chǎn)生的時延有時是無法接受的。2.3.1基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)原理網(wǎng)絡(luò)入侵檢測系統(tǒng)的核心檢測模塊主要是對網(wǎng)絡(luò)包的包頭及其負(fù)載內(nèi)容進行檢測。其對每一個包的處理流程大致如下：首先通過包分類，先檢測數(shù)據(jù)包的包頭，判斷是否與規(guī)則庫中的某個規(guī)則所對應(yīng)的頭部相符，如果不相符，則丟棄該包，系統(tǒng)不做任何報警動作；如果匹配成功，則進入下一步，調(diào)用模式匹配算法，檢測網(wǎng)絡(luò)包的負(fù)載。當(dāng)然，為了提高報警效率，大部分的包檢測只需針對包頭進行檢查即可。對負(fù)載的檢查可以使檢測更加精確，誤報率較低。檢測規(guī)則是NIDS檢測的主要依據(jù)，為了實現(xiàn)攻擊包的有效檢測，NIDS系統(tǒng)都會構(gòu)造復(fù)雜的規(guī)則解析圖來完成對網(wǎng)絡(luò)包包頭和負(fù)載內(nèi)容的檢測。一條檢測規(guī)則包括規(guī)則頭和規(guī)則選項兩部分，規(guī)則頭分為五個常用字段：協(xié)議類型，源IP地址，源端口地址，目的IP地址，目的端口地址。而規(guī)則選項則指出攻擊的特征字段以及響應(yīng)字段和方法。網(wǎng)絡(luò)的監(jiān)控與檢測常見的基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有Snort,BASE等。2.3.2Snort網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort作為一個開源的輕量級的網(wǎng)絡(luò)入侵檢測產(chǎn)品，由于其開源的性質(zhì)，對Snort應(yīng)用系統(tǒng)及其組件的不斷完善和開發(fā)，已經(jīng)使Snort在全球范圍內(nèi)得到了廣泛的應(yīng)用，并且擁有snort社區(qū)的強大技術(shù)支持和廣大的使用群體。保守估計，世界范圍內(nèi)部署的Snort傳感器已超過了20萬。(l)Snort網(wǎng)絡(luò)入侵檢測系統(tǒng)的結(jié)構(gòu)框架Snort在整體部署時的通用層次結(jié)構(gòu)可分為傳感器層，Snort服務(wù)器層，分析控制臺三層，各層數(shù)據(jù)流程如圖2.1。圖2?1snort結(jié)構(gòu)體系傳感器層主要負(fù)責(zé)原始網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，搜集，預(yù)處理等功能，對捕獲的數(shù)據(jù)包進行解釋。服務(wù)器層主要是搜集從傳感器上傳過來的報警數(shù)據(jù)，然后將其轉(zhuǎn)化為系統(tǒng)或用戶可讀的格式；分析控制臺層主要是一臺支持SSL的瀏覽器，它的作用是對服務(wù)器搜集的報警進行集中顯示，與分析管理員進行溝通。從Snort入侵檢測系統(tǒng)分析網(wǎng)絡(luò)流量并形成報警的流程來看，不同的組件承擔(dān)著不同的功能，snort包含的主要組件有包捕獲程序Libpcap，包解碼器，預(yù)處理程序，檢測引擎和輸出插件。各組件模塊數(shù)據(jù)流程如圖2?2所示。首先是應(yīng)用程序Libpcap包捕獲器，由于單獨的Snort應(yīng)用程序并不包含包捕獲器，因此需要引入一種合適的包捕獲工具。Libpcap可以運行在幾乎所有現(xiàn)行的操作系統(tǒng)之上，正是因為Libpcap的這種通用性和可移植性，使得Libpcap本身具有很大的優(yōu)勢，這為在不同操作系統(tǒng)上實現(xiàn)的Snort入侵檢測系統(tǒng)提供了一個統(tǒng)一的底層接口程序。圖2?2Snort內(nèi)部組件工作流程圖原始數(shù)據(jù)包被捕獲后，就送入Libpcap的包解碼器，它的作用和工作流程與操作系統(tǒng)的包解碼過程如出一轍，即都是對具體協(xié)議單元進行解碼，分析其有效荷載的一個處理過程。從較低層的協(xié)議開始，逐漸向上剖析各層協(xié)議單位。解碼后的數(shù)據(jù)將送往內(nèi)存中暫存下來，等待預(yù)處理程序和檢測引擎的調(diào)用。預(yù)處理程序和檢測引擎可以對Libpcap捕獲并解碼的數(shù)據(jù)進行檢測匹配。其解碼流程如圖2?3所示。預(yù)處理程序?qū)τ趕nort檢測體系來說非常重要，它的主要功能是進行數(shù)據(jù)規(guī)約和數(shù)據(jù)清洗。預(yù)處理匹配一般分為兩類。一類是檢查和修改可疑行為的數(shù)據(jù)包。一類是負(fù)責(zé)對流量標(biāo)準(zhǔn)化以便檢測引擎能準(zhǔn)確匹配特征。前者可以發(fā)現(xiàn)非基于特征的攻擊，后者可以處理流量的模式，從而使一些運用了躲避技術(shù)的攻網(wǎng)絡(luò)的監(jiān)控與檢測擊無法逃過Snort檢測引擎的檢查。圖2.3包解碼流程統(tǒng)計包異常檢測引擎SPADE(StatisticalPacketAnomalyDetectionEngine)是一種特殊的預(yù)處理程序。它所用到的方法是前面提到的異常檢測，即首先建立一個描述正常流量的表，表中的數(shù)據(jù)記錄是用如源或目的IP地址，端口地址,通信協(xié)議等特性唯一確定的一類數(shù)據(jù)包，然后將實際流量與該表中的正常描述匹配。它為將要處理的每個數(shù)據(jù)包配置一個異常值，該異常值與該類數(shù)據(jù)包出現(xiàn)的頻率相關(guān)，出現(xiàn)頻率越低，則所分配的異常值較高，如果該異常值超出了報警的極限值，則引起該類異常對應(yīng)的報警。檢測引擎是Snort入侵檢測系統(tǒng)中最重要的，它的主要職責(zé)是對從Libpcap解碼出來的數(shù)據(jù)和經(jīng)過預(yù)處理模塊處理過的數(shù)據(jù)進行規(guī)則分析和特征匹配檢測。最后，Snort體系結(jié)構(gòu)中重要的一個組件是輸出插件。它是原始數(shù)據(jù)包經(jīng)過處理后呈獻給用戶分析的平臺。輸出插件可以將檢測引擎和預(yù)處理程序分析后的報警數(shù)據(jù)轉(zhuǎn)存到不同的文件或存儲系統(tǒng)中。⑵Snort規(guī)則Snort之所以能像現(xiàn)在這樣流行，除了有大量專業(yè)人員對程序代碼的不斷補充完善和論壇的交流和技術(shù)共享之外，另一個讓廣大用戶非常歡迎的就是它支持用戶自定義規(guī)則，甚至包括可以修改原有規(guī)則庫來定制一套適合于自身網(wǎng)絡(luò)環(huán)境的入侵檢測規(guī)則?，F(xiàn)在許多的非開源代碼入侵檢測系統(tǒng)廠商為了能兼容snort的規(guī)則集，都在其自身開發(fā)的IDS系統(tǒng)上實現(xiàn)了Trons功能特性，Trons能夠接受官方發(fā)布的規(guī)則集合和用戶自定義的規(guī)則集，該功能模塊能將snort規(guī)則集轉(zhuǎn)換為對應(yīng)廠商支持的規(guī)則集。規(guī)則集存儲著入侵攻擊數(shù)據(jù)的特征描述，因此，規(guī)則集的編寫與裝載也就成為了配置系統(tǒng)之前的關(guān)鍵步驟。規(guī)則頭的規(guī)則類型關(guān)鍵字選項有三種：Alert，Pass，Log。其中Alert是最常用的，它用于產(chǎn)生一個報警，接下來就記錄下該報警所對應(yīng)的數(shù)據(jù)包。被設(shè)置成Alert規(guī)則類型的規(guī)則是系統(tǒng)管理員認(rèn)為最重要的規(guī)則，與該規(guī)則相匹配的數(shù)據(jù)包將被發(fā)送到報警輸出模塊。Pass關(guān)鍵字被用來建立忽略規(guī)則集，即與該規(guī)則集相匹配的數(shù)據(jù)包將不會被入侵檢測系統(tǒng)處理。Log類型的規(guī)則的重要程度沒有Alert規(guī)則高，與Log規(guī)則匹配的數(shù)據(jù)包不會被報警輸出，它只是被系統(tǒng)簡單的記錄下來而已。其中，數(shù)據(jù)包流向的可選方向關(guān)鍵字支持兩種類型：-＞是單向的流量描述，要想描述雙向流量，則要使用＜＞雙向操作符。源地址、目的地址，源端口，目的端口都可以用any來表示任意，如果要特別指定，可以單獨列出來。規(guī)則頭中的協(xié)議字段關(guān)鍵字支持三個常用的協(xié)議：TCP，UDP，ICMP。如果說規(guī)則頭代表的是事件發(fā)生在宏觀方向上的描述的話，規(guī)則選項則是對事件發(fā)生在微觀范圍內(nèi)的細化。規(guī)則選項的關(guān)鍵字按其功能和作用對象不同，常見的可分為以下幾類：關(guān)于snort的響應(yīng)選項關(guān)鍵字。最常見的就是報警關(guān)鍵字Msg,它被用于生成一個簡單的報警，同時觸發(fā)該報警的數(shù)據(jù)包也同時被記錄下來。而關(guān)鍵字Logto不只是產(chǎn)生報警，而且還將與規(guī)則匹配的數(shù)據(jù)包記錄到日志文件中。（3）Snort報警Snor報警作為一個人機交互的環(huán)節(jié)，是非常重要的。Snort產(chǎn)生報警的方式可以有很多種，并且報警平臺也很多，最常用的是在ACID即入侵分析控制臺輸出報警，它是基于Web和PHP的。ACID提供了豐富的查詢功能。它可以按照邏輯功能對報警分組并且可以分別關(guān)聯(lián)到internet上的CVE標(biāo)準(zhǔn)漏洞庫對應(yīng)的記錄上，同時ACID還可以處理來自其他安全裝置的數(shù)據(jù)，這樣，就可以利用ACID來做關(guān)聯(lián)分析[10]。用的最多的snort報警是fast格式，圖2.4中就是兩條完整的fast格式的輸出報警，其格式如下:時間戳[**][事件產(chǎn)生器/預(yù)處理器/分析器編號：規(guī)則號：版本號]打印信息[**]類別信息[報警等級]協(xié)議源IP：源端口->目的IP：目的端口。在圖2.4所顯示的第一條報警記錄中，03/26-00:03:12.411064表示報警產(chǎn)生的時間；[**]是元素分隔符；規(guī)則信息[1:483:5]顯示,使用的預(yù)處理器或分析器的編號為1,規(guī)則的簽名編號sid為483,字段值rev=5表示此規(guī)則時該類規(guī)則修改的第五個版本；該條報警顯示信息為ICMPPingCyberKit2.2Windows；報警所屬類別為Miscactivity；優(yōu)先級priority為3,優(yōu)先級比較低；該條報警的攻擊源地址為24.91.123.110,目的地址是202.203.208.104。03/26-00:03:12.411064 [**][1:483:5]ICMPPINGCyberKit2.2Windows[**][Classification:Miscactivity][Priority:3]{I匚MP}24.91.123.110->202.203.208.104^03/26-00:04:17.670840 [**] [1:1419:9]SNMPtrapudp[**][Classification:AttemptedInformationLeak][Priority:2]{UDP}202.203.131.179:162>202.203.208.78:162圖2.4Snort的Fast報警格式第三章告警融合關(guān)鍵技術(shù)研究3.1入侵檢測信息規(guī)范化現(xiàn)在市場上的入侵檢測系統(tǒng)種類繁多，廠家標(biāo)準(zhǔn)也各有不同，同時，針對主機和針對網(wǎng)絡(luò)的入侵檢測系統(tǒng)由于針對的對象不同，在結(jié)構(gòu)上也大相徑庭，對于研究者和用戶來說，不同種類不同要想綜合利用這些結(jié)構(gòu)的入侵檢測系統(tǒng)所提供的報警信息，這就牽涉到報警格式以及報警信息存儲的問題。要想解決這一問題并非易事。3?1?1CIDF模型美國國防部高級研究計劃署(DARPA)的CIDF工作組針對上述問題提出了(CommonIntrusionDetectionFramework，CIDF)通用入侵檢測框架，該框架針對的對象是事件Event,在該框架下定義了EventGenerators事件產(chǎn)生器＞EventAnalyzers事件分析器，EventDatabases事件數(shù)據(jù)庫和ResponseUnit響應(yīng)單元四個組件［32］。通用入侵檢測對象是組件之間數(shù)據(jù)信息交換的統(tǒng)一格式。該框架下的四個組件工作流圖如圖3?1。圖3?1CIDF模型流圖網(wǎng)絡(luò)的監(jiān)控與檢測3.1.2IDMEF模型IDMEF數(shù)據(jù)模型能夠很好的描述各種類型的報警特征，有效的實現(xiàn)報警分析器與控制臺、系統(tǒng)管理程序之間的數(shù)據(jù)交流，其告警采用二進制的方式實現(xiàn)，而且，由于該模型釆用的是一種描述語言的元語言XML，因此，各系統(tǒng)的報警都可以用這一模型進行描述。它能為不同系統(tǒng)產(chǎn)生的報警構(gòu)建一個統(tǒng)一的描述標(biāo)準(zhǔn)，這樣使得各個異構(gòu)入侵檢測系統(tǒng)分析引擎所產(chǎn)生的報警信息都能夠作為分析員進行關(guān)聯(lián)分析的原始數(shù)據(jù)。設(shè)計IDMEF數(shù)據(jù)模型的目標(biāo)是為警報提供確定的標(biāo)準(zhǔn)表達方式，并描述簡單警報和復(fù)雜警報之間的關(guān)系［36］。IDMEF采用了面向?qū)ο蟮拿枋龇椒ǘx了入侵報警模型的各個元素、實體、屬性等的數(shù)據(jù)結(jié)構(gòu)模型［32］，其的主要類定義如圖3.2所示。IDMEF-MessageAlertAnalyzCreatTDetectHeartBeaNodeUserAnalyzProceSourceAlertAnalyzCreatTDetectHeartBeaNodeUserAnalyzProceSourceServiTargetNodeClassiUserAdditi|AssessProceServiFile圖3.2IDMEF模型類庫其中IDMEF-Message類，它是該模型中最頂層的類。在IDMEF模型的數(shù)據(jù)類型定義中，它包含了兩個大類，即Alert（報警）類和Heartbeat（心跳）類。在XML格式的文檔中，Alert用來描述報警的元素，主要是描述該報警的特征，它的屬性值ident，作為報警產(chǎn)生先后的標(biāo)識號；impact屬性記錄的是攻擊成功與否；Alert元素包含了九類元素，其中Source和Target分別記錄該攻擊告警的源頭與目的地的特征；Analyzer用于標(biāo)識分析引擎；AnalyzeTime描述報警分析的時間；Classification包含的是報警的類型信息，包括類型名和報警名；A