基於規則分類的網路入侵偵測系統之效能分析與改善 - 高雄師範大學網 ...

基於規則分類的網路翔入侵偵測釱系統之效能分析與改善
張浩置
國立岷高雄師範大學 資翊訊教育研究所 研究生岥
投稿議題: ICT治理與安崎全峖管理
投稿編號羙: 06076
聯絡地峸址: 高雄市岃三民岙區十全峖一路翔100號羙
電耐話羼: 0935486029
peterchang72@gmail.com
楊中皇
國立岷高雄師範大學 資翊訊教育研究所 教授
chyang@nknucc.nknu.edu.tw
林志鴻
資翊策會網多峿所 經理
chlin@iii.org.tw

基於規則分類的網路翔入侵偵測釱系統之效能分析與改善
張浩置
國立岷高雄師範大學 資翊訊教育研究所 研究生岥
peterchang72@gmail.com
楊中皇
國立岷高雄師範大學 資翊訊教育研究所 教授
chyang@nknucc.nknu.edu.tw
林志鴻
資翊策會網多峿所 經理
chlin@iii.org.tw
摘要 摘要
摘要
在峹享受網際網路翔之便利與快速發展下,卻也隱藏許多峿網路翔安崎全峖危峤機。網路翔入侵偵測釱
系統(Network-based Intrusion Detection System,NIDS)的規則資翊料庫日尤漸龐大,在峹新的
世尺代屈裡羬將面臨更多峿的挑戰。本岓研究分析開放原始碼(open source) Snort網路翔入侵偵測釱系統
(Network-based Intrusion Detection System,NIDS),依主尾機與網路翔環境聏之不同峧將其規則
檔(rules)重新進行調整分類,嘗耾試羵找出屒最鄦適合峯的規則與設定,並據此調校部署NIDS。
在峹調校Snort之後,我們以层先峕前蒐集之攻擊程式與惡酼意程式(malware)進行實聧驗,比尬較翛
分類前後的系統資翊源,驗證調校的效果。經實聧驗證實聧,採用岦本岓研究新的規則分類,可屣節
省使用岦記憶體(swap) 23%,也節省CPU的負載翜(load average) 17%單酀位效能。本岓研究更進
一步發現,規則的數量,會影響記憶體的使用岦率;Snort的規則比尬對聬符合峯與否,會影響
CPU的負載翜(load average)。所以层本岓研究的分類規則,能有效的減釥少系統資翊源的浪費,進
而提醚升Snort執行的效率。
關鍵 關鍵崉: 關鍵 入侵偵測釱、規則、IDS、Snort、NIDS
一、前言 前言
網際網路翔應用岦已普醭及於我們的日尤常生岥活中,網路翔活動越來越頻繁,然而層出屒不窮之
資翊安崎事件峋,處處潛藏著危峤機,在峹這開放的網路翔環境聏下,充屌斥岐著許多峿惡酼意的攻擊,安崎全峖問
題顯得日尤益重要,影響個別的網路翔使用岦者與大眾生岥活。
當網路翔系統遭受攻擊時,就酧需依賴各峬種類型的網路翔安崎全峖防護設施或軟體來防禦,如崇
部署於網路翔外屸層的誘捕系統(Honeypot)、 中層的入侵偵測釱系統(Intrusion Detecting
System,IDS),以层及內層的防火尰牆(Firewall)等等 [14]。IDS可屣做網路翔行為的監控,藉以层
了解羱攻擊者的入侵手尝法,使系統管理者,可屣依據入侵偵測釱報酒告,進行系統漏洞之修補義,
加展強系統安崎全峖,免於遭受相同峧攻擊 [6]。
NIDS為了有效偵測釱各峬式各峬樣的入侵,利用岦特徵值資翊料庫比尬對聬現行規則,須處理的規
則極多峿,從數千條到上萬條不等,再峘加展上設定檔中有許多峿參數需要設定,使得NIDS的
管理成為一件峋複雜的工作。

要能精確的對聬特定環境聏找出屒最鄦適合峯的規則和設定,不但需要複雜的人工參與,而且尼
也很難即時反應當前網路翔與主尾機的狀態。有鑑於此,本岓研究將對聬NIDS規則依其相關的
作業系統、應用岦軟體、安崎全峖漏洞、網路翔環境聏等進行分類,並對聬網路翔與主尾機環境聏進行偵測釱。
透過翫偵測釱的結果,找出屒個別環境聏最鄦適合峯的規則集合峯與設定,並據此調整各峬地峸NIDS的規
則與設定。這樣不但可屣以层減釥輕管理人員的負擔,且尼能提醚升NIDS的效能與精確度。
二、文尠獻探討 文尠獻探討 文尠獻探討
1. IDS
入侵偵測釱系統源起於1980年代屈之美國政府與軍方尣單酀位,為了要監控網路翔上違翧反安崎全峖
行為活動而設計,於1990年代屈中期醸之後逐漸風行。入侵偵測釱系統依其設計之方尣式,可屣分
為三種 [7]:
(1). 網路翔式入侵偵測釱系統(NIDS):
將網路翔上傳遞的封包屗,擷取下來,再峘與內建的專家系統進行模式比尬對聬,需具備鄠強大
的運翡算功屖能,市岃售商用岦入侵偵測釱系統,幾酱乎屁皆為硬體架構。
此系統之優點為易於部署,NIDS以层被動式監聽網路翔上之活動,並且尼加展以层分析;成本岓
較翛低,在峹大型的環境聏中,僅需在峹數個較翛為敏感的地峸方尣,部署sensor,即可屣監控大範圍酌的
網路翔;偵測釱範圍酌,透過翫監控網路翔封包屗,並加展以层分析,即可屣偵測釱到異常的活動 [21]。
(2). 主尾機式入侵偵測釱系統(Host-based Intrusion Detection System):
用岦來監控較翛為重要的主尾機系統,監控主尾機上的使用岦者、系統活動與攻擊行為,更進
階的系統也提醚供了政策稽核管理、資翊料鑑識、崊取控制等功屖能。
此系統之優點是提醚供更羴細的日尤誌,監控該部主尾機的系統日尤誌,其日尤誌分析原因峴與
監控內容較翛NIDS更為羴細,監控效率更高。
(3). 分散醩式入侵偵測釱系統(Distributed Intrusion Detection System):
其運翡作方尣式與網路翔式相同峧,其不同峧點在峹於偵測釱系統會將監控的日尤誌,交岾由後端的統
一管理主尾機分析,其適合峯更大型的網路翔環境聏。
而入侵偵測釱統依其偵測釱方尣式,又可屣細分為三種 [5, 6]:
(1). 特徵型入侵偵測釱(Signature-based Intrusion Detection System):
特徵值是指由專家分析先峕前攻擊的訊息中所建構的,其原理是利用岦特徵值來與封包屗
做比尬對聬。此優點能偵測釱已知的攻擊、低誤警率(low false alarms)及效率較翛高;缺點是無法
偵測釱未岔知的攻擊,需時常更新特徵資翊料庫。
(2). 異常型入侵偵測釱(Anomaly-based Intrusion Detection System):
利用岦進階的演算技術如崇資翊料探勘、統計、類神經網路翔等,對聬監控環境聏決定出屒可屣容忍
之正岗常行為標準,與一定程度的偏移範圍酌,若發現行為超出屒此容忍範圍酌,則判斷為異常
行為而採取相關回峵應動作。此優點能偵測釱未岔知的攻擊手尝法;缺點為誤報酒率較翛高,效率較翛
低。
(3). 混合峯型入侵偵測釱 (Hybrid Intrusion Detection System):
整合峯多峿種不同峧特徵的入侵偵測釱技術集合峯到單酀一的系統,使其產生岥更強大的入侵偵測釱
方尣式,此系統並非最鄦好崅的系統,但能讓這些不同峧的技術成功屖和有效地峸進行互動,試羵圖职讓

入侵偵測釱的能力最鄦大化,同峧時盡量減釥少其缺點。因峴此混合峯型入侵偵測釱系統,為融合峯特徵
型及異常型的特色而成 [1, 16]。
2. Snort
Snort是Marty Roesch於1998年所發展出屒來的輕量級入侵偵測釱系統,一開始是遵循酹
GPL授權規範的開放原始碼軟體,Snort在峹運翡作上,提醚供三種模式類型,如崇下:
(1). 嗅探器模式(Sniffer mode) [3, 7, 22]:
資翊訊。
監聽並截取正岗在峹網路翔上傳送的封包屗,可屣利用岦libpcap函式庫 [24]進行過翫濾與解羱析封包屗
(2). 封包屗記錄器模式(Packet Logger mode):
將封包屗資翊訊崊成ASCII編碼的日尤誌檔,或tcpdump二進位格式檔 [24],可屣結合峯MySQL
或PostgreSQL儲崊到資翊料庫中 [7, 10]。
(3). 網路翔入侵偵測釱系統模式(NIDS mode):
其最鄦主尾要的功屖能,是可屣執行網路翔通訊協定分析、內容搜尋酦及比尬對聬,並能夠偵測釱各峬種
不同峧的網路翔攻擊與入侵探測釱。
Snort運翡算效率良好崅且尼為開放原始碼,是目岰前開放式平岅台屲裡羬,相當普醭及的IDS之一。
在峹特徵式入侵偵測釱系統中,其最鄦重要的特色需時常更新其特徵資翊料庫。此外屸,Snort 設
計了一套規則語言,若使用岦者熟悉此套語言,可屣自行建構所需要的特徵檔。Snort系統各峬
模組作業方尣式 [3, 21],敘述如崇下:
(1). 拆解羱封包屗:
Snort底層利用岦PCAP函式庫 [24]來擷取網路翔上傳送、接收的封包屗,擷取內容有擷取
的時間、封包屗長度、連結類型,並建立岷一個可屣直接指向峭該封包屗的指標,加展速Snort分析封
包屗的速度。
(2). 預耖先峕處理器:
擷取封包屗後,Snort會將封包屗傳送到預耖先峕處理器,進行封包屗重組,以层及依各峬協定的封
包屗格式進行正岗規化,預耖先峕處理器還可屣作到封包屗流量的統計分析,以层及非規則式攻擊偵測釱。
(3). 偵測釱引尙擎:
偵測釱引尙擎為Snort的核心尚,從官方尣網站下載翜所釋出屒的特徵資翊料庫,搭配適當的設定,
可屣以层有效偵測釱網路翔攻擊,當系統將所擷取到的封包屗與特徵規則比尬對聬符合峯者,將產生岥攻擊
警訊送至稽核日尤誌。
(4). 稽核日尤誌:
當系統判定攻擊時,會將當時攻擊的相關資翊訊及所判定的攻擊行為,產生岥日尤誌及警
訊,讓系統管理者進行排除攻擊行為,可屣對聬警訊做較翛好崅的輸出屒。
(5). 輸出屒模組:
Snort支尟援醠多峿項輸出屒模組,使用岦者可屣依環境聏,自行訂定輸出屒目岰的地峸,例如崇:Default
Logging、PCAP Logging、SMB Alerting、SNMP traps、SnortDb、Syslog、XML Logging、
Unified Log [3, 10]。

Snort主尾要有兩個功屖能,分別為sniffer及inline模式。sniffer模式在峹封包屗通過翫網路翔介面
時,偵測釱到符合峯的rule,便會產生岥log,但是不能做封鎖之後續防護 [4]。
另屮一個是Snort在峹2.3.0 RC1版之後新增的inline模式 [24]。主尾要差異在峹於不會另屮外屸複
製一份峏switch流量,而直接對聬封包屗的內容掃描醒,決定做取代屈、拒絕、通過翫等動作,亦岿可屣
設定對聬管理者告警。Inline模式一開始是由Snort的原始碼獨立岷發展的專案,之後才整合峯
到Snort程式裡羬 [2, 23]。
3. 惡酼意程式 惡酼意程式
惡酼意程式
惡酼意程式(Malware)是指任峌何惡酼意、未岔經授權崊取、不符合峯預耖期醸的程式 [20],是一種
通用岦的術語,如崇電耐腦羃病毒(viruses),蠕蟲(worms),特洛伊峄木尧馬(Trojan horses),間諜程式
(spyware),廣告程式(adwares)、危峤險程式(riskwares)和殭屍程式(bots)等等,已被公認為
在峹網際網路翔上主尾要的安崎全峖威脅 [9]。
根據賽門鐵克(Symantec)第13期醸網路翔安崎全峖威脅研究報酒告裡羬 [25],2007年偵測釱到
711,912件峋全峖新的威脅,相較翛2006年增加展了468%,至2007年底所偵測釱到之惡酼意程式威脅
總數已達翥1,122,311件峋。卡属巴尕斯醬基(Kaspersky)在峹2008年惡酼意軟體發展報酒告中指出屒 [13],惡酼
意程式在峹竊取密碼的呈現穩步上升,2008年100,397件峋在峹新遊翢戲木尧馬確定了比尬2007年的
32,374件峋增加展了三倍之多峿。Symantec更在峹2009年資翊訊安崎全峖趨勢展望提醚及,惡酼意程式變種
呈爆炸式增長,此類型的惡酼意程式包屗含了數百萬不同峧的威脅。這導致大量獨特的惡酼意程
式攻擊情形,資翊料顯示岴目岰前惡酼意程式的開發數量已經遠超過翫合峯法程式。
三、系統 系統 系統實聧驗 系統
1. 原始運翡作方尣式
原始運翡作方尣式
一般而言,Snort在峹進行運翡作時,為了有效偵測釱各峬式各峬樣的入侵,會將數千條到上萬
條不等之rule規則,執行include程序,管理眾多峿的規則,額外屸再峘針對聬設定檔進行參數設
定,Snort會將所擷取之封包屗與特徵規則,進行一一比尬對聬 [10]。
然而,這些規則和設定的選擇,往往會影響Snort的效能和精確度甚鉅考。不良的規則
和設定可屣能會減釥慢Snort效能,並造成不必岊要的誤警。假使網路翔環境聏中不崊在峹Apache Web
Server,Snort在峹執行時無須花時間執行Apache Server相關的分析規則,即使出屒現Apache
Server的攻擊也無需理會。若所處之環境聏僅有Windows之平岅台屲或服務,已被include的
Unix-like作業環境聏之rule,不論提醚供服務與否,全峖部都會被比尬對聬過翫,往往造成資翊源的浪
費。
2. Rule 分類比尬較翛
分類比尬較翛
我們將Snort的原始規則檔,共峗有54個檔案,依照規則檔所扮演的特性,大致區分為
通訊協定偵測釱類、攻擊類、其他屆類(包屗含內容過翫濾、病毒等內容) [2, 10],如崇表一所示岴。
表一: Snort的原始規則檔案 (本岓研究自行整理)

特
性
通
訊
協
定
偵
測釱
類
攻
擊
類
其
他屆
類
chat.rules
dns.rules
finger.rules
ftp.rules
icmp.rules
icmp-info.rules
imap.rules
multimedia.rules
attack-responses.rules
backdoor.rules
ddos.rules
dos.rules
exploit.rules
scan.rules
bad-traffic.rules
content-replace.rules
deleted.rules
experimental.rules
rule內容 總數
mysql.rules
netbios.rules
nntp.rules
oracle.rules
p2p.rules
pop2.rules
pop3.rules
rpc.rules
shellcode.rules
specific-threats.rules
spyware-put.rules
web-activex.rules
web-attacks.rules
web-cgi.rules
info.rules
local.rules
misc.rules
other-ids.rules
rservices.rules
smtp.rules
snmp.rules
sql.rules
telnet.rules
tftp.rules
voip.rules
x11.rules
web-client.rules
web-coldfusion.rules
web-frontpage.rules
web-iis.rules
web-misc.rules
web-php.rules
policy.rules
porn.rules
scada.rules
virus.rules
總計 54
本岓研究將進行Snort分類後之規則調整,測釱試羵影響Snort主尾機(server)運翡作效能之多峿寡聥,
並且尼觀察聫CPU效能、記憶體使用岦效率之變化。進行實聧作之Snort版本岓為2.8.4.1-1,Rules版
本岓為2009.03.30,由Snort官方尣網站在峹2009年3月尦份峏提醚供下載翜得之 [22]。將Snort的rule全峖部
重新整理,共峗彙編了14,343條rule集。本岓研究將針對聬作業系統之分類,分別整理成三種
類型Windows類別(8,457)、Unix-like類別(917)及other類別(4,969),如崇表二重新分類之
Snort規則類別。A1、A2及A3分別代屈表不同峧的人員,並將所有的rules區分為三個rules分
類項目岰。
3. 實聧驗環境聏 環境聏
表二: 重新分類之Snort規則類別 (本岓研究自行整理)
rules類別 A1 A2 A3 總計
Other 691 2,061 2,217 4,969
Unix-like 81 752 84 917
Windows 3,055 5,290 112 8,457
總計 14,343
24
18
12

本岓研究建置了測釱試羵環境聏,包屗含網路翔設備鄠、被攻擊主尾機(victim)、Snort主尾機(規格-岪、
規格-乙)、Client端電耐腦羃配備鄠。在峹攻擊來源方尣面,借由三部安崎裝羫Windows XP的Client端電耐
腦羃,執行DDoS等攻擊程式,並指定Unix或Windows Base類型的攻擊方尣式。經實聧際測釱試羵
發現,不管使用岦何種作業系統類型,針對聬攻擊方尣式,此三種分類方尣法皆屬於Snort規則之
other類別 [15, 17]。為了驗證硬體差異性所產生岥的改變,本岓研究另屮行準備鄠一台屲Snort的主尾
機(規格-乙),將硬體規格提醚升CPU為Pentium4-3.0GHz、RAM提醚升為1024MB之等級進行
測釱試羵,如崇表三實聧驗設備鄠規格表所示岴 [18]。
4. 測釱試羵架構
測釱試羵架構
(1) 網路翔設備鄠
表三: 實聧驗設備鄠規格 (本岓研究自行整理)
設備鄠 規格 IP
網路翔交岾換醢機 Cisco 2912/ L2 switch
(2) 被攻擊主尾機 (victim)
設備鄠 規格 IP
CPU Pentium 4- 3.0 GHz
RAM 768 MB
OS Ubuntu Server 8.042
(3) Snort主尾機 (規格-岪、規格-乙)
192.168.3.100
設備鄠 規格-岪 規格-乙 IP
CPU Pentium III- 550 MHz Pentium 4- 3.0 GHz
RAM 256 MB 1024 MB
OS Ubuntu Server 8.042
Snort版本岓 2.8.4.1-1
Rules版本岓 2009.03.30
安崎裝羫套件峋 Snort、監控及資翊料庫套件峋
(4) Client端電耐腦羃
192.168.3.1
設備鄠 規格 IP
CPU Pentium M- 1.4 GHz
RAM 1024 MB
OS Windows XP Professional SP3
安崎裝羫套件峋 DDoS等相關攻擊程式
192.168.3.200
192.168.3.201
192.168.3.202
本岓研究小節簡單酀說明sniffer mode 和 inline mode兩種測釱試羵架構的建置環境聏,以层及實聧
驗測釱試羵時所使用岦的網路翔設備鄠,包屗括Client端(攻擊端電耐腦羃有Attacker A、B、C三台屲電耐腦羃)、
Server端(Snort、Victim兩部主尾機)等電耐腦羃配置與關聯架構。圖职一為 sniffer mode網路翔架構
圖职,由此監測釱網路翔流量,採用岦即時性的觀測釱方尣式,將switch流量複製一份峏到另屮一張網卡属
[16]。

圖职一: Sniffer mode網路翔架構圖职
此外屸,為驗證inline mode之流量監測釱數據之變化,本岓研究另屮外屸建置inline mode架構環
境聏,進行測釱試羵,將網卡属串聯(bridge mode),讓流量經過翫串聯而成之網卡属,即時觀測釱相關
數據,如崇圖职二之網路翔架構。
圖职二: Inline mode網路翔架構圖职
5. 實聧驗結果
實聧驗結果
實聧驗過翫程,我們先峕將Snort主尾機(規格-岪)載翜入全峖部rule的規則集,先峕針對聬other類別的
規則集,將通過翫網路翔之封包屗,複製一份峏流量監控到Snort主尾機,經觀測釱30分鐘後,在峹sniffer
mode架構下,主尾機的loading狀態。本岓研究觀測釱系統平岅均負載翜為在峹特定時間間隔耉內,執行
順序中的平岅均處理程序,統計在峹過翫去屢1、5、15分鐘內,執行順序中的平岅均處理程序數量。
經實聧驗發現,所得到的主尾機CPU平岅均負載翜(load average),X軸為時間,Y軸為CPU的
處理執行順序(processes in run queue)單酀位 [14],log記錄的時間為21:34分攻擊開始至
22:04分攻擊結束之區間,所測釱得之CPU loading狀態,呈現之數據為,在峹單酀位時間內CPU
正岗在峹處理以层及等待CPU處理的行程數之和的統計資翊訊,此區間平岅均1分鐘為0.86單酀位、平岅
均5分鐘為0.40單酀位、平岅均15分鐘為0.30單酀位。與分類前相差0.06個單酀位,約提醚升了6%的
單酀位效能,如崇圖职三所呈現。
經實聧驗後,本岓研究將log記錄,利用岦圖职形化監控介面cacti流量監控工具以层圖职形、數據、
時間方尣式呈現成果 [11]。

圖职三: Snort主尾機載翜入other類rule之平岅均負載翜(load average)
本岓研究為了進一步比尬較翛sniffer mode與inline mode兩種網路翔架構,在峹運翡作效能上的差
異。在峹記憶體使用岦(memory usage)項目岰,以层Snort之inline mode網路翔環境聏進行測釱試羵,載翜入rule
屬other類別的規則集,進行差異比尬較翛。X軸為時間,Y軸為memory usage單酀位,log記錄
的時間為23:27分攻擊開始至23:57分攻擊結束之區間,觀測釱30分鐘的變化,所測釱得之記
憶體使用岦狀況,呈現的數據為此區間平岅均記憶體使用岦(swap)的容量為485.25MB,平岅均剩鄫
餘記憶體(free memory)的容量為10.82MB。數據上並無明顯之波動,如崇圖职四屶所示岴。
圖职四屶: Snort主尾機載翜入other類rule之記憶體使用岦(memory usage)
本岓研究實聧驗結果,CPU負載翜(load average)項目岰,在峹sniffer mode的狀態,由0.36單酀位
改變為0.30單酀位,與分類前相差0.06個單酀位(處理執行順序,processes in run queue),約提醚
升6%單酀位效能;另屮外屸,在峹inline mode的數據,由0.38單酀位改變為0.21單酀位,與分類前相
差0.17個單酀位,約提醚升17%單酀位效能。
記憶體使用岦(memory usage)項目岰,數據上較翛無明顯之波動,相關數據為餘記憶體(free
memory)方尣面,在峹sniffer mode的狀態,由9.90MB改變為9.52MB;Inline mode狀態,由
10.03MB改變為10.82MB。記憶體使用岦(swap)方尣面,在峹sniffer mode的狀態,由441.73MB
改變為483.44MB,相差41.71MB;Inline mode狀態,由453.66MB改變為485.25MB,相
差31.59MB。
研究結果發現,餘記憶體(free memory)方尣面,Snort載翜入other規則檔後,容量由125MB
改變為58MB,馬上減釥少66MB,約52.%;記憶體使用岦(swap)方尣面,實聧驗後swap會上升約

60MB。實聧驗更發現,Snort於載翜入規則檔後,便決定好崅所需容量大小,不論何種模式(sniffer
mode或inline mode) swap皆不受影響。實聧驗過翫程,記憶體使用岦(memory usage)項目岰之數
據,較翛無明顯的波動。如崇表四屶 Sniffer mode與inline mode分類前後之比尬較翛狀態所示岴。
表四屶: Sniffer mode與inline mode分類前後比尬較翛狀態 (本岓研究自行整理)
(1) Sniffer mode狀態
項目岰 規則未岔分類 other分類規則 數據
CPU
loading
Memory
usage
(2) Inline mode狀態
0.85 0.86
0.49 0.40
0.36 0.30
9.90
MB
441.73
MB
項目岰 規則未岔分類 other分類規則 數據
CPU
loading
Memory
usage
9.52
MB
483.44
MB
0.50 0.64
0.45 0.27
0.38 0.21
10.03
MB
453.66
MB
10.82
MB
485.25
MB
本岓研究為求證硬體等級之差異,是否影響Snort運翡作效能之變化,以层Snort主尾機(規格-
乙)之硬體等級進行實聧驗,CPU負載翜(load average)項目岰,透過翫sniffer mode狀態下,CPU
loading也下降0.06個單酀位,約提醚升6%單酀位效能;而在峹inline mode的狀態下,CPU loading
也下降0.11個單酀位,約提醚升11%單酀位效能。與規格-岪之硬體等級之0.06個單酀位、0.17個
單酀位比尬較翛,變化較翛小。記憶體使用岦(memory usage)項目岰,在峹free memory方尣面,sniffer mode
由 平岅 均 76.5MB 下 降 為 23.3MB , 相 差 53.2MB ; inline mode 由 平岅 均 77.13MB 下 降 為
28.73MB,相差48.4MB。在峹swap方尣面,並無明顯之波動。研究發現,使用岦硬體等級好崅壞
與否,仍會對聬實聧驗之數據有所影響。
為了測釱試羵分類後規則的差異,本岓研究進一步整理出屒Windows及Unix-like分類後的所
有規則集,進行實聧測釱。本岓實聧驗之攻擊工具歸類在峹other類型,Snort比尬對聬規則吻合峯與否,規
則讀取經比尬對聬後,未岔符合峯便不處理,此分類明顯影響CPU loading項目岰的表現,other類別
規則之實聧驗數據,皆大於Winodws/Unix-like類別(sniffer mode為0.30>0.20>0.16及inline

mode為0.21>0.19),故呈現出屒來之數據,皆相對聬低於other分類的數據;記憶體使用岦項目岰,
並無明顯之波動,相關數據如崇表五 Snort不同峧模式分類前後實聧測釱數據所示岴。
模式
(1)
項
Sniffer
目岰
mode Memory
(2)
Inline
表五: Snort不同峧模式分類前後實聧測釱數據 (本岓研究自行整理)
標
數量 14,343 4,969 8,457 917
準 類別 未岔分類 other Windows Unix-like
平岅均1分鐘 0.85 0.86 0.39 0.23
CPU
平岅均5分鐘 0.49 0.40 0.27 0.15
loading
平岅均15分鐘 0.36 0.30 0.20 0.16
平岅均Free M. 9.90MB 9.52MB 19.7MB 40.53MB
usage 平岅均Swap M. 441.73MB 483.44MB 481.67MB 485.25MB
CPU
loading
mode Memory
四屶、結論 結論 結論與未岔來研究
結論 研究
平岅均1分鐘 0.50 0.64 0.32 0.31
平岅均5分鐘 0.45 0.27 0.24 0.25
平岅均15分鐘 0.38 0.21 0.19 0.19
平岅均Free M. 10.03MB 10.82MB 16.46MB 32.48MB
usage 平岅均Swap M. 453.66MB 485.25MB 479.44MB 485.25MB
面對聬日尤益嚴重的網路翔入侵威脅,及日尤漸龐大的規則資翊料庫,本岓研究將Snort的規則重
新進行分類,嘗耾試羵找出屒最鄦適合峯的規則與設定,並且尼比尬較翛重新分類前後的系統資翊源,驗證
本岓研究所使用岦的分類規則,能有效的減釥少系統資翊源的浪費,進而提醚升Snort執行的效率。
在峹記憶體表現方尣面,實聧驗發現不論何種模式(sniffer mode或inline mode) 記憶體的使
用岦量皆不受影響。在峹記憶體使用岦量的測釱試羵過翫程中,我們發現,在峹載翜入Snort後,剩鄫餘記憶
體的容量會短少66MB。實聧驗結束時,使用岦記憶體(swap)會上升60MB,增加展了23%。在峹
sniffer mode狀態下,我們測釱得降低4%的記憶體使用岦率;而在峹inline mode之狀態下,降低
3.7%的記憶體使用岦率,兩者並無明顯的差距。
CPU負載翜(load average)方尣面,在峹sniffer mode狀態下,相較翛於載翜入全峖部的規則檔,在峹
僅載翜入other此規則檔時,CPU Load Average(在峹單酀位時間內CPU正岗在峹處理以层及等待CPU
處理的行程數之和的統計資翊訊)下降了0.06個單酀位,約提醚升6%單酀位效能;在峹inline mode
的狀態下,在峹同峧樣的環境聏中,CPU load average也下降0.17個單酀位,約提醚升17%單酀位效能。
研究發現CPU等級也會影響此一表現。
最鄦後,經過翫實聧驗證實聧,我們所得獲得數據的結論為(1)規則的數量,會影響記憶體的
使用岦率。(2)Snort的rule比尬對聬符合峯與否,則會影響CPU的負載翜(load average)。
經過翫實聧驗的驗證後,我們將來的工作重點將放在峹規則檔的再峘細分,讓管理者只屯需載翜
入真正岗所需的規則檔,從而提醚供Snort的執行效率,增加展效能。

五、參考文尠獻 參考文尠獻 參考文尠獻
1. 台屲灣電耐腦羃網路翔危峤機處理中心尚,「IDS偵測釱網路翔攻擊方尣法之改進」,台屲灣電耐腦羃網路翔危峤機處
理中心尚通訊,第75期醸,民岙國94年1月尦,本岓期醸專欄。
2. 李常友,「入侵防禦系統簡介」,台屲灣電耐腦羃網路翔危峤機處理中心尚通訊,第90期醸,民岙國95
年4月尦,本岓期醸專欄。
3. 沈宗享、楊中皇,「結合峯ModSecurity Core Rule以层提醚供Snort偵測釱網頁攻擊能力」,2009
年資翊訊科技國際研討會論文尠集,民岙國98年,頁58-63。
4. 林盈達翥,「建置入侵偵測釱防禦系統以层及弱點偵測釱掃瞄系統」,計算機網路翔實聧驗,資翊訊
安崎全峖,民岙國95年。
5. 陳鄉一郎,「Taiwan Honeynet Project」,2009第一屆台屲灣區Botnet偵測釱與防治技術研討
會論文尠集,民岙國98年,頁19-35。
6. 葉羍昭熙、楊中皇,「以层開放原始碼為基礎的蜜罐系統設計與實聧現」,2007年開放原始
碼技術與應用岦研討會,民岙國96年。
7. 楊中皇,網路翔安崎全峖:理論與實聧務,台屲北屙:學貫行銷公司屫,民岙國97年。
8. 薛宇崋盛,網路翔入侵偵測釱系統實聧務:WinSnort for Wireless加展強版,台屲北屙:文尠魁資翊訊公
司屫,民岙國97年。
9. Bailey, M. et al., “Automated Classification and Analysis of Internet Malware”, RAID
2007, 10th International Symposium, Vol. 4637, pp. 178-197. April 2007.
10. Baker, A., Beale, J. & Caswell, B., Snort Intrusion Detection and Prevention Toolkit,
Syngress, Burlington, 2007.
11. Cacti, http://www.cacti.net/.
12. Crothers, T., Implementing Intrusion Detection Systems: A Hands-On Guide for Securing
the Network, Wiley, Etobicoke, 2002.
13. Gostev, A., Zaitsev, O., Golovanov, S. & Kamluk, V., Kaspersky Security Bulletin
Malware Evolution 2008, Kaspersky Lab, April 2009.
14. Gunther, N. J., “Linux Load Average”, Performance Dynamics Company, February 2003.
15. Hansman, S. & Hunt, R., “A taxonomy of network and computer attacks”, Computers and
Security, Vol. 24, pp. 31-43. February 2005
16. Hwang, K., Cai, M., Chen, Y. & Qin, M., “Hybrid Intrusion Detection with Weighted
Signature Generation over Anomalous Internet Episodes”, IEEE Trans. Dependable and
Secure Computing, Vol. 4, No. 1, pp. 41-55. January 2007.
17. McClure, S., Scambray, J. & Kurtz, G., Hacking Exposed: Network Security Secrets and
Solutions, Sixth Edition, McGraw-Hill, Emeryville, 2009.
18. Neal, C., “Snort Install on Win2000/XP with Acid, and MySQL”,
http://www.sans.org/rr/whitepapers/detection/362.php, SANS Institute, 2002.
19. Provos, N. & Holz, T., Virtual Honeypots: From Botnet Tracking to Intrusion Detection,
Addison-Wesley, 2007.
20. Qattan, F. & Thernelius, F., “Deficiencies in Current Software Protection Mechanisms
and Alternatives for Securing Computer Integrity”, Master thesis, Royal Institute of
Technology, 2004.
21. Scott, C., Wolfe, P. & Hayes, B., Snort For Dummies, Wiley, Hoboken, 2004.
22. Snort, http://www.snort.org/.
23. Snort Inline, http://snort-inline.sourceforge.net/.
24. Snort Users Manual 2.8.4, http://www.snort.org/assets/82/snort_manual.pdf
25. Turner, D. et al., “Symantec Global Internet Security Threat Report, Trends for
July–December 07”, Symantec Enterprise Security, Vol. 13, April 2008.