入侵检测系统IDS教案.ppt

* * * * * * * * * * * * * * * * * * § 8.2.4 Snort配置实例 § 8.2.4 Snort配置实例 使用Snort § 8.2.5 使用Snort Snort的规则 内容包括： 规则的语法 规则头 规则选项 预处理器 输出模块 对规则的更新 规则的语法 Snort使用了一种简单但是灵活、高效的规则描述语言来对检测规则进行表述 每一个Snort规则的描述都必须在单独一行内完成 Snort规则可以划分为两个逻辑部分：规则头（Rule Header）和规则选项（Rule Options） 规则头 规则动作（Alert、Log、Pass） 协议 IP地址 端口号 方向操作符 规则选项 是Snort系统入侵检测引擎的核心部分 所有的Snort规则选项之间都使用分号来分离 规则选项中的关键字与选项参数之间使用冒号隔离 当前有三十几种关键字（msg、log、ttl、id、content、flags、seq等） 预处理器 预处理器的引用大大扩展Snort功能，使得用户和程序员可以容易地加入模块化的插件 预处理器程序在系统检测引擎执行前被调用，但在数据包解码工作之后 预处理程序通过preprocessor关键字来引入和配置 preprocessorname:options 输出模块 输出模块的引入使得Snort能够以更加灵活的方式来格式化和显示对用户的输出 输出模块被系统的警告或者日志系统所调用，在预处理器模块和检测引擎之后执行。 通过在规则文件中指定output关键字，可以在运行时加载对应的输出模块。 Outputname:options 对规则的更新 要经常访问snort的官方网站，更新它所发布的新规则。这些规则通常有一定的通用性和稳定性，但时效上可能要弱一点。 可以加入一些网络安全的邮件列表，它会更及时地根据当前流行的安全漏洞，发布相应的攻击标识以及相应的检测规则 可以根据自己的环境定制自己的规则，或者根据自己发现的新攻击来编写相应的规则。 Snort总体结构分析 Snort的模块结构 主控模块 解码模块 规则处理模块 日志输出模块 插件机制 Snort的总体流程 Snort的模块结构 主控模块 解码模块 规则处理模块 预处理插件模块 处理插件模块 输出插件模块 日志模块 插件机制 插件机制具有以下一些明显的优点： 能够非常容易地增加功能，使程序具有很强的可扩展性 简化了编码工作 插件机制使代码功能内聚，模块性强，程序相对易读 预处理插件 处理插件 输出插件 Snort的总体流程 面临的问题 (1)? 随着能力的提高，入侵者会研制更多的攻击工具，以及使用更为复杂精致的攻击手段，对更大范围的目标类型实施攻击； (2)? 入侵者采用加密手段传输攻击信息； (3)?日益增长的网络流量导致检测分析难度加大； (4)? 缺乏统一的入侵检测术语和概念框架； 面临的问题 (5)?不适当的自动响应机制存在着巨大的安全风险； (6)? 存在对入侵检测系统自身的攻击； (7)?过高的错报率和误报率，导致很难确定真正的入侵行为； (8)? 采用交换方法限制了网络数据的可见性； (9)?高速网络环境导致很难对所有数据进行高效实时分析 发展方向 更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率； 在事件诊断中结合人工分析，提高判断准确性； 提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等； 采用一定的方法和策略来增强异种系统的互操作性和数据一 致性； 研制可靠的测试和评估标准； 提供科学的漏洞分类方法，尤其注重从攻击客体而不是攻击主体的观点出发； 提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段； 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 Snort分析 展望 小结 * * * * * * * * * * * * * 压制调速 1、 撤消连接 2、 回避 3、 隔离 SYN/ACK RESETs 自动响应 一个高级的网络节点在使用“压制调速”技术的情况下，可以采用路由器把攻击者引导到一个经过特殊装备的系统上，这种系统被成为蜜罐 蜜罐是一种欺骗手段，它可以用于错误地诱导攻击者，也可以用于收集攻击信息，以改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定 蜜罐 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 ? 入侵检测标准化工作 其它 展