网络安全实验-入侵检测.pdf

网络安全实验 北京邮电大学信息安全中心 武斌 实验目标 了解Snort的基本原理和关键技术 配置Windows下Snort并运行，对入侵行为进行检测。 “Snort”是什么 •Snort是由Sourcefire开发的一个开源的网络入侵检测系统。用C 语言编写的开放源代码软件。它是一个跨平台、轻量级的网络入 侵检测软件。它结合了协议、特征和基于异常的检测，是目前使 用最多的IDS/IPS系统。 •Snort主要优点：基于libpcap库调用的网络数据包嗅探和日志记 录分析的应用工具，代码开源、功能模块标准化，插件模式使用 灵活，运行时相比其他IDS 占用资源少、支持多种硬件平台，并能 运行在几乎所有的操作系统平台上。 Snort的主要功能 截取网络数据报文，进行网络数据实时分析、报警、 以及日志的能力。  Snort还能够记录网络数据，其日志文件可以是 tcpdump格式，也可以是解码的ASCII格式。  Snort 具有实时报警能力。可以将报警信息写到 syslog 、指定的文件、套接字或者使用WinPopup 消息。 Snort的主要功能（contd. ） 能够进行协议分析，内容搜索、匹配，能够用来检 测各种攻击和探测，例如：缓冲区溢出、隐秘端口 扫描、CGI攻击、SMB探测、OS指纹特征检测等等。 Snort使用一种灵活的规则语言来描述网络数据报 文，因此，可以对新的攻击作出快速地解析。 Snort Working Architecture Snort Output Rule module Log Pass Alert Preprocessor Active Snort的组成 因特网 包解析 剥离出链路层、网络 层、传输层的数据信 息并填入snort自定 义的包结构体中 输出 预处理器 检测引擎 日志和报 警告 插件 警系统 或计 入文 对规则链进行遍 件 在数据包匹配规则链前， 历，若匹配规则， 输出模块 完成重组分片数据包， 则被送入输出模 探测数据包头中的一些 块 明显的错误等功能，可 以直接做出报警或其他 处理 Snort支持灵活的插件模式