计算机网络安全第五章入侵检测技术ppt课件.ppt

《计算机网络安全第五章入侵检测技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《计算机网络安全第五章入侵检测技术ppt课件.ppt（74页珍藏版）》请在三一办公上搜索。

1、第5章 入侵检测技术,第5章 入侵检测技术,内容提要：入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结,5.1入侵检测概述,入侵检测技术研究最早可追溯到 1 9 8 0 年 James P.Aderson所写的一份技术报告，他首先出了入侵检测的概念。1 9 8 7 年Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图 5 - 1 所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念，与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。,主体活动,规则集处理引

2、擎,异常记录,活动简档,时钟,规则设计与修改,审计记录,更新,更新历史活动,创建活动状况,创建,提取规则,学习,图5-1 Denning入侵检测抽象模型,1 9 8 8 年 Teresa Lunt 等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（Intrusion Detection Expert System），该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1995年开发的NIDES（Next-Generation Intrusion Detection ExpertSystem）作为IDES完善后的版本可以检测出多个主机上的入侵。,1990年，H

3、eberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测网 络 安 全 监 视 器 NSM（Network Security Monitor）。1991年,NADIR（Network Anomaly Detection and Intrusion Reporter） 与 DIDS（Distribute Intrusion Detection System）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。,1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以提高IDS的可伸缩性

4、、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，software agent）正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于 1996 年提出，这就是 GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。,近年来，入侵检测技术研究的主要创新有：Forrest等将免疫学原理运用于分布式入侵检测领域；1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用

5、和异常检测。,5.1.1 入侵检测原理,图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测（ Misuse Detection）或异常检测（ Anomaly Detection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。,历史行为,特定行为模式,其他,知识库,入侵检测分析引擎,当前系统/用户行为,入侵？,记录证据,相应处理,是,相应处理,否,安全策略,图5-2 入侵检测原理框图,所谓入侵检测系统就是执行入侵检测任务的硬件或软件产品。入侵检测提供了用

6、于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。一般地，入侵检测系统需要解决两个问题：如何充分并可靠地提取描述行为特征的数据；如何根据特征数据，高效并准确地判定行为的性质。,5.1.2 系统结构,由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能（如图5-3所示）。,相应处理,入侵分析,数据提取,知识库,数据存储,原始数据流,

7、图5-3 入侵检测系统结构,入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的：监视、分析用户及系统活动；系统构造和弱点的审计；识别分析知名攻击的行为特征并告警；异常行为特征的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。,5.1.3 系统分类,由于功能和体系结构的复杂性，入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。1基于数据源的分类通常可以把入侵检测系统分为五类，即基于主机、基于

8、网络、混合入侵检测、基于网关的入侵检测系统以及文件完整性检查系统。,2基于检测理论的分类从具体的检测理论上来说，入侵检测又可分为异常检测和误用检测。异常检测（Anomaly Detection）指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。误用检测（Misuse Detection）指运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。,3基于检测时效的分类IDS在处理数据的时候可以采用实时在线检测方式，也可以采用批处理方式，定时对处理原始数据进行离线检测，这两种方法各有特点（如图5-5所示）。 离线检测方式将一段时间内的

9、数据存储起来，然后定时发给数据处理单元进行分析，如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS所采用的办法，由于计算机硬件速度的提高，使得对攻击的实时检测和响应成为可能。,用户的当前操作,入侵检测,入侵？,监测,N,Y,a）实时入侵检测的功能原理图,入侵检测,专家经验,用户历史记录,b）事后入侵检测的功能原理图,图5-5 实时与事后入侵检测原理,5.2 入侵检测的技术实现,对于入侵检测的研究，从早期的审计跟踪数据分析，到实时入侵检测系统，到目前应用于大型网络的分布式检测系统，基本上已发展成为具有一定规模和相应理论的研究领域。入侵检测的核心问题在于如何对安全审计数据进行分

10、析，以检测其中是否包含入侵或异常行为的迹象。这里，我们先从误用检测和异常检测两个方面介绍当前关于入侵检测技术的主流技术实现，然后对其它类型的检测技术作简要介绍。,5.2.1 入侵检测分析模型,分析是入侵检测的核心功能，它既能简单到像一个已熟悉日志情况的管理员去建立决策表，也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测的分析处理过程可分为三个阶段：构建分析器，对实际现场数据进行分析，反馈和提炼过程。其中，前两个阶段都包含三个功能：数据处理、数据分类（数据可分为入侵指示、非入侵指示或不确定）和后处理。,5.2.2误用检测（MisuseDetection）,误用检测是按照预定模式搜寻事件数

11、据的，最适用于对已知模式的可靠检测。执行误用检测，主要依赖于可靠的用户活动记录和分析事件的方法。1条件概率预测法条件概率预测法是基于统计理论来量化全部外部网络事件序列中存在入侵事件的可能程度。,2产生式/专家系统 用专家系统对入侵进行检测，主要是检测基于特征的入侵行为。所谓规则，即是知识，专家系统的建立依赖于知识库的完备性，而知识库的完备性又取决于审计记录的完备性与实时性。 产生式/专家系统是误用检测早期的方案之一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用了这种方法。,3状态转换方法 状态转换方法使用系统状态和状态转换表达式来描述和检测入侵，采用最优模式匹配技巧来结构化误

12、用检测，增强了检测的速度和灵活性。目前，主要有三种实现方法：状态转换分析、有色Petri-Net和语言/应用编程接口（API）。,4用于批模式分析的信息检索技术 当前大多数入侵检测都是通过对事件数据的实时收集和分析来发现入侵的，然而在攻击被证实之后，要从大量的审计数据中寻找证据信息，就 必 须 借 助 于 信 息 检 索 （ IR，Information Retrieval）技术，IR技术当前广泛应用于WWW的搜索引擎上。IR系统使用反向文件作为索引，允许高效地搜寻关键字或关键字组合，并使用Bayesian理论帮助提炼搜索。,5Keystroke Monitor和基于模型的方法 Keystro

13、ke Monitor是一种简单的入侵检测方法，它通过分析用户击键序列的模式来检测入侵行为，常用于对主机的入侵检测。该方法具有明显的缺点，首先，批处理或Shell程序可以不通过击键而直接调用系统攻击命令序列；其次，操作系统通常不提供统一的击键检测接口，需通过额外的钩子函数（Hook）来监测击键。,5.2.3 异常检测（AnomalyDetection）,异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量（measure）集来描述，度量是特定网络行为的定量表示，通常与某个检测阀值或某个域相联系。 异

14、常检测可发现未知的攻击方法，体现了强健的保护机制，但对于给定的度量集能否完备到表示所有的异常行为仍需要深入研究。,1Denning的原始模型 Dorothy Denning于1986年给出了入侵检测的IDES模型，她认为在一个系统中可以包括四个统计模型，每个模型适合于一个特定类型的系统度量。（1）可操作模型（2）平均和标准偏差模型（3）多变量模型（4）Markov处理模型,2量化分析 异常检测最常用的方法就是将检验规则和属性以数值形式表示的量化分析，这种度量方法在Denning的可操作模型中有所涉及。量化分析通过采用从简单的加法到比较复杂的密码学计算得到的结果作为误用检测和异常检测统计模型的基

15、础。（1）阀值检验（2）基于目标的集成检查（3）量化分析和数据精简,3统计度量 统计度量方法是产品化的入侵检测系统中常用的方法，常见于异常检测。运用统计方法，有效地解决了四个问题：（1）选取有效的统计数据测量点，生成能够反映主体特征的会话向量；（2）根据主体活动产生的审计记录，不断更新当前主体活动的会话向量；（3）采用统计方法分析数据，判断当前活动是否符合主体的历史行为特征；（4）随着时间推移，学习主体的行为特征，更新历史记录。,4非参数统计度量 非参数统计方法通过使用非数据区分技术，尤其是群集分析技术来分析参数方法无法考虑的系统度量。群集分析的基本思想是，根据评估标准（也称为特性）将收集到的

16、大量历史数据（一个样本集）组织成群，通过预处理过程，将与具体事件流（经常映射为一个具体用户）相关的特性转化为向量表示，再采用群集算法将彼此比较相近的向量成员组织成一个行为类，这样使用该分析技术的实验结果将会表明用何种方式构成的群可以可靠地对用户的行为进行分组并识别。,5基于规则的方法 上面讨论的异常检测主要基于统计方法，异常检测的另一个变种就是基于规则的方法。与统计方法不同的是基于规则的检测使用规则集来表示和存储使用模式。（1）Wisdom&Sense方法（2）基于时间的引导机（TIM）,5.2.4 其它检测技术,这些技术不能简单地归类为误用检测或是异常检测，而是提供了一种有别于传统入侵检测视

17、角的技术层次，例如免疫系统、基因算法、数据挖掘、基于代理（Agent）的检测等，它们或者提供了更具普遍意义的分析技术，或者提出了新的检测系统架构，因此无论对于误用检测还是异常检测来说，都可以得到很好的应用。,1神经网络（Neural Network） 作为人工智能（AI）的一个重要分支，神经网络（Neural Network）在入侵检测领域得到了很好的应用，它使用自适应学习技术来提取异常行为的特征，需要对训练数据集进行学习以得出正常的行为模式。这种方法要求保证用于学习正常模式的训练数据的纯洁性，即不包含任何入侵或异常的用户行为。,2免疫学方法 New Mexico大学的Stephanie Fo

18、rrest提出了将生物免疫机制引入计算机系统的安全保护框架中。免疫系统中最基本也是最重要的能力是识别“自我/非自我”（self/nonself），换句话讲，它能够识别哪些组织是属于正常机体的，不属于正常的就认为是异常，这个概念和入侵检测中异常检测的概念非常相似。,3数据挖掘方法 Columbia大学的Wenke Lee在其博士论文中，提出了将数据挖掘（Data Mining, DM）技术应用到入侵检测中，通过对网络数据和主机系统调用数据的分析挖掘，发现误用检测规则或异常检测模型。具体的工作包括利用数据挖掘中的关联算法和序列挖掘算法提取用户的行为模式，利用分类算法对用户行为和特权程序的系统调用进

19、行分类预测。实验结果表明，这种方法在入侵检测领域有很好的应用前景。,4基因算法 基 因 算 法 是 进 化 算 法 （ evolutionary algorithms）的一种，引入了达尔文在进化论中提出的自然选择的概念（优胜劣汰、适者生存）对系统进行优化。该算法对于处理多维系统的优化是非常有效的。在基因算法的研究人员看来，入侵检测的过程可以抽象为：为审计事件记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。,5基于代理的检测 近 年 来 ， 一 种 基 于 Agent 的 检 测 技 术（Agent-Based Detection）逐渐引起研究者的重视。所谓Agent，实

20、际上可以看作是在执行某项特定监视任务的软件实体。基于Agent的入侵检测系统的灵活性保证它可以为保障系统的安全提供混合式的架构，综合运用误用检测和异常检测，从而弥补两者各自的缺陷。,5.3分布式入侵检测,分布式入侵检测（ Distributed Intrusion Detection）是目前入侵检测乃至整个网络安全领域的热点之一。到目前为止，还没有严格意义上的分布式入侵检测的商业化产品，但研究人员已经提出并完成了多个原型系统。通常采用的方法中，一种是对现有的IDS进行规模上的扩展，另一种则通过IDS之间的信息共享来实现。具体的处理方法上也分为两种：分布式信息收集、集中式处理；分布式信息收集、分

21、布式处理。,5.3.1 分布式入侵检测的优势,分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优势：（1）检测大范围的攻击行为（2）提高检测的准确度（3）提高检测效率（4）协调响应措施,5.3.2 分布式入侵检测的技术难点,与传统的单机IDS相比较，分布式入侵检测系统具有明显的优势。然而，在实现分布检测组件的信息共享和协作上，却存在着一些技术难点。 Stanford Research Institute（SRI） 在 对EMERALD系统的研究中，列举了分布式入侵检测必须关注的关键问题：事件产生及存储、状态空间管理及规则复杂度、知识库管理、推理技术。,5

22、.3.3 分布式入侵检测现状,尽管分布式入侵检测存在技术和其它层面的难点，但由于其相对于传统的单机IDS所具有的优势，目前已经成为这一领域的研究热点。1Snortnet它通过对传统的单机IDS进行规模上的扩展，使系统具备分布式检测的能力，是基于模式匹配的分布式入侵检测系统的一个具体实现。主要包括三个组件：网络感应器、代理守护程序和监视控制台。,2Agent-Based 基于Agent的IDS由于其良好的灵活性和扩展性，是分布式入侵检测的一个重要研究方向。国外一些研究机构在这方面已经做了大量工作，其 中 Purdue 大 学 的 入 侵 检 测 自 治 代 理（AAFID）和SRI的EMERAL

23、D最具代表性。 AAFID的体系结构如图5-10所示，其特点是形成了一个基于代理的分层顺序控制和报告结构。,用户接口,监视器,收发器,收发器,代理,代理,代理,代理,代理,代理,图5-10 AAFID体系结构图,3DIDS DIDS（Distributed Intrusion Detection System）是由UC Davis的Security Lab完成的，它集成了两种已有的入侵检测系统，Haystack和NSM。 前 者 由 Tracor Applied Sciences and Haystack实验室针对多用户主机的检测任务而开发，数据源来自主机的系统日志。NSM则是由UC Davi

24、s开发的网络安全监视器，通过对数据包、连接记录、应用层会话的分析，结合入侵特征库和正常的网络流或会话记录的模式库，判断当前的网络行为是否包含入侵或异常。,4GrIDS GrIDS（Graph-based Intrusion Detection System）同样由UC Davis提出并实现，该系统实现了一种在大规模网络中使用图形化表示的方法来描述网络行为的途径，其设计目标主要针对大范围的网络攻击，例如扫描、协同攻击、网络蠕虫等。GrIDS的缺陷在于只是给出了网络连接的图形化表示，具体的入侵判断仍然需要人工完成，而且系统的有效性和效率都有待验证和提高。,5Intrusion Strategy B

25、oeing公司的Ming-Yuh Huang从另一个角度对入侵检测系统进行了研究，针对分布式入侵检测所存在的问题，他认为可以从入侵者的目的（ Intrusion Intention）， 或 者 是 入 侵 策 略（Intrusion Strategy）入手，帮助我们确定如何在不同的IDS组件之间进行协作检测。对入侵策略的分析可以帮助我们调整审计策略和参数，构成自适应的审计检测系统。,6数据融合（Data Fusion） Timm Bass提出将数据融合（Data Fusion）的概念应用到入侵检测中，从而将分布式入侵检测任务理解为在层次化模型下对多个感应器的数据综合问题。在这个层次化模型中，入

26、侵检测的数 据 源 经 历 了 从 数 据 （ Data） 到 信 息（Information）再到知识（Knowledge）三个逻辑抽象层次。,7基于抽象（Abstraction-based）的方法 GMU的Peng Ning在其博士论文中提出了一种基于抽象（Abstraction-based）的分布式入侵检测系统，基本思想是设立中间层（system view），提供与具体系统无关的抽象信息，用于分布式检测系统中的信息共享，抽象信息的内容包括事件信息（ event） 以 及 系 统 实 体 间 的 断 言dynamic predicate）。中间层用于表示IDS间的共享信息时使用的对应关系为

27、：IDS检测到的攻击或者IDS无法处理的事件信息作为event，IDS或受IDS监控的系统的状态则作为dynamic predicates。,5.4 入侵检测系统的标准,从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。为了提高IDS产品、组件及与其他安全产品之间的互操作性，DARPA和IETF的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面来规范IDS的标准。,5.4.1 IETF/IDWG,IDWG 定 义 了 用 于 入 侵 检 测 与 响 应（IDR）系统之间或与需要交互的

28、管理系统之间的信息共享所需要的数据格式和交换规程。IDWG提出了三项建议草案：入侵检测消息交换格式（ IDMEF）、入侵检测交换协议（IDXP）以及隧道轮廓（Tunnel Profile）。,5.4.2 CIDF,CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和应用编程接口API。CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。其结构如图5-15所示。,响应单元,事件分析器,事件数据库,事件产生器,输出：对事件的响应,输出：高级中断事件,输出：事件的存储信息,输出：原始或低级事件,输

29、入：原始事件源,图5-15 CIDF体系结构图,5.5 入侵检测系统示例,为了直观地理解入侵检测的使用、配置等情况，这里我们以Snort为例，对构建以Snort为基础的入侵检测系统做概要介绍。,5.5.1 Snort简介,Snort 是一个开放源代码的免费软件，它基于libpcap 的数据包嗅探器，并可以作为一个轻量级的网络入侵检测系统（NIDS）。 Snort具有很多优势：代码短小、易于安装、便于配置。功能十分强大和丰富。集成了多种告警机制支持实时告警功能。具有非常好扩展能力。遵循GPL，可以免费使用。,5.5.2 Snort的体系结构,Snort在结构上可分为数据包捕获和解码子系统、检测引

30、擎，以及日志及报警子系统三个部分。1数据包捕获和解码子系统该子系统的功能是捕获共享网络的传输数据，并按照TCP/ IP协议的不同层次将数据包解析。2检测引擎检测引擎是NIDS实现的核心，准确性和快速性是衡量其性能的重要指标。,为了能够快速准确地进行检测和处理，Snort在检测规则方面做了较为成熟的设计。Snort 将所有已知的攻击方法以规则的形式存放在规则库中，每一条规则由规则头和规则选项两部分组成。规则头对应于规则树结点RTN（Rule Tree Node），包含动作、协议、源（目的）地址和端口以及数据流向，这是所有规则共有的部分。规则选项对应于规则选项结点OTN（Optional Tree

31、 Node）， 包 含 报 警 信 息 （ msg）、 匹 配 内 容（content）等选项，这些内容需要根据具体规则的性质确定。,检测规则除了包括上述的关于“要检测什么”，还应该定义“检测到了该做什么”。Snort定义了三种处理方式： alert （发送报警信息）、log（记录该数据包）和pass（忽略该数据包），并定义为规则的第一个匹配关键字。 这样设计的目的是为了在程序中可以组织整个规则库，即将所有的规则按照处理方式组织成三个链表，以用于更快速准确地进行匹配。 如图5-17所示。,规则链表头Src/Des IPSrc/Des Port,规则链表选项ContentTCP FlagsICM

32、P Code/TypePayload Sizeetc,规则链表选项Content,RTN,规则链表头Src/Des IPSrc/Des Port,规则链表头,规则链表选项ContentTCP FlagsICMP Code/TypePayload Sizeetc,RTN,RTN,OTN,OTN,OTN,图5-17 Snort规则链逻辑结构图,当Snort 捕获一个数据包时，首先分析该数据包使用哪个IP协议以决定将与某个规则树进行匹配。然后与RTN 结点依次进行匹配，当与一个头结点相匹配时，向下与OTN 结点进行匹配。每个OTN 结点包含一条规则所对应的全部选项，同时包含一组函数指针，用来实现对这

33、些选项的匹配操作。当数据包与某个OTN 结点相匹配时，即判断此数据包为攻击数据包。具体流程见图5-18所示。,开始,获取RuleList头,链表中有记录,根据协议类型选择规则链表头,顺序查找规则链表头直至找到匹配的项,找到匹配项,调用相应函数处理,根据Tag信息进行记录,结束,查找规则链表选项直至找到相匹配的项,找到匹配项,匹配剩余规则头,开始RuleListNode下一个结点,N,N,Y,Y,Y,N,图5-18 Snort规则匹配流程图,3日志及报警子系统 一个好的NIDS，更应该提供友好的输出界面或发声报警等。Snort是一个轻量级的NIDS，它的另外一个重要功能就是数据包记录器，它主要采

34、取用TCPDUMP的格式记录信息、向syslog发送报警信息和以明文形式记录报警信息三种方式。值得提出的是，Snort 在网络数据流量非常大时，可以将数据包信息压缩从而实现快速报警。,5.5.3 Snort的安装与使用,1.Snort安装模式 Snort可简单安装为守护进程模式，也可安装为包括很多其他工具的完整的入侵检测系统。简单方式安装时，可以得到入侵数据的文本文件或二进制文件，然后用文本编辑器等工具进行查看。Snort若与其它工具一起安装，则可以支持更为复杂的操作。例如，将Snort数据发送给数据库系统，从而支持通过Web界面进行数据分析，以增强对Snort捕获数据的直观认识，避免耗费大量

35、时间查晦涩的日志文件。,2Snort的简单安装 Snort 的安装程序可以在 Snort 官方网站http:/www.snort.org上获取。（1）安装SnortSnort必须要有libpcap库的支持，在安装前需确认系统已经安装了libpcap库。rootmail snort-2.8.0# ./configure -enable-dynamicplugin rootmail snort-2.8.0# makerootmail snort-2.8.0# make install,2）更新Snort规则 下 载 最 新 的 规 则 文 件 snortrules-snapshot-CURRENT

36、.tar.gz。其中，CURRENT表示最新的版本号。rootmail snort# mkdir /etc/snort rootmail snort# cd /etc/snortrootmail snort# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz,（3）配置Snort 建立config文件目录：rootmail snort-2.8.0# mkdir /etc/snort 复制Snort配置文件snort.conf到Snort配置目录：rootmail snort-2.8.0# cp ./etc/snort.conf /etc/

37、snort/ 编辑snort.conf：rootmail snort-2.8.0# vi /etc/snort/snort.conf 修改后，一些关键设置如下：var HOME_NET yournetwork var RULE_PATH /etc/snort/rules preprocessor http_inspect: global iis_unicode_map /etc/snort/rules/unicode.map 1252 include /etc/snort/rules/reference.configinclude /etc/snort/rules/classification

38、.config,4）测试Snort # /usr/local/bin/snort -A fast -b -d -D -l /var/log/snort -c /etc/snort/snort.conf 查看文件/var/log/messages，若没有错误信息，则表示安装成功。,3Snort的工作模式 Snort有三种工作模式，即嗅探器、数据包记录器、网络入侵检测系统。（1）嗅探器所谓的嗅探器模式就是Snort从网络上获取数据包然之后显示在控制台上。若只把TCP/IP包头信息打印在屏幕上，则只需要执行下列命令：./snort -v若显示应用层数据，则执行：./snort -vd若同时显示数据链

39、路层信息，则执行：./snort -vde,（2）数据包记录器 如果要把所有的数据包记录到硬盘上，则需要指定一个日志目录，Snort将会自动记录数据包：./snort -dev -l ./log如果网络速度很快，或者希望日志更加紧凑以便事后分析，则应该使用二进制日志文件格式。使用下面的命令可以把所有的数据包记录到一个单一的二进制文件中：./snort -l ./log -b,（3）网络入侵检测系统 通过下面命令行，可以将Snort启动为网络入侵检测系统模式：./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf snort.conf是规则集文

40、件。Snort会将每个包和规则集进行匹配，一旦匹配成功就会采取响应措施。若不指定输出目录， Snort 就将日志输出到/var/log/snort目录。,5.5.4 Snort的安全防护,为保护Snort系统的运行安全，必须采取一些必要的安全防护措施，主要包括：加固运行Snort系统的主机；在隐秘端口上运行Snort；在不配置IP地址的接口上运行Snort,5.6 本章小结,入侵检测（Intrusion Detection）是保障网络系统安全的关键部件，它通过监视受保护系统的状态和活动，采用误用检测（Misuse Detection）或异常检测（Anomaly Detection）的方式，发现

41、非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。入侵检测按照不同的标准有多种分类方法。分布式入侵检测（Distributed Intrusion Detection）对信息的处理方法分为两种，即分布式信息收集、集中式处理和分布式信息收集、分布式处理。,为了提高IDS产品、组件及与其他安全产品之间的互操作性，DARPA和IETF的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面来规范IDS的标准，但草案或建议目前都处于逐步完善之中，尚无被广泛接受的国际标准。在安全实践中，部署入侵检测是一项繁琐的工作，需要从三个方面对入侵检测进行改进，即突破检测速度瓶颈制约，适应网络通信需求；降低漏报和误报，提高其安全性和准确度；提高系统互动性能，增强全系统的安全性能。,本章到此结束，谢谢！,