ch5 入侵检测技术77957.pptVIP

（2）更新Snort规则 下载最新的规则文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新的版本号。 [root@mail snort]# mkdir /etc/snort [root@mail snort]# cd /etc/snort [root@mail snort]# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz 返回本章首页 （3）配置Snort 建立config文件目录： [root@mail snort-2.8.0]# mkdir /etc/snort 复制Snort配置文件snort.conf到Snort配置目录： [root@mail snort-2.8.0]# cp ./etc/snort.conf /etc/snort/ 编辑snort.conf： [root@mail snort-2.8.0]# vi /etc/snort/snort.conf 修改后，一些关键设置如下： var HOME_NET yournetwork var RULE_PATH /etc/snort/rules preprocessor http_inspect: global \ iis_unicode_map /etc/snort/rules/unicode.map 1252 include /etc/snort/rules/reference.config include /etc/snort/rules/classification.config 返回本章首页 （4）测试Snort # /usr/local/bin/snort -A fast -b -d -D -l /var/log/snort -c /etc/snort/snort.conf 查看文件/var/log/messages，若没有错误信息，则表示安装成功。 返回本章首页 3．Snort的工作模式 Snort有三种工作模式，即嗅探器、数据包记录器、网络入侵检测系统。 （1）嗅探器 所谓的嗅探器模式就是Snort从网络上获取数据包然之后显示在控制台上。若只把TCP/IP包头信息打印在屏幕上，则只需要执行下列命令： ./snort -v 若显示应用层数据，则执行： ./snort -vd 若同时显示数据链路层信息，则执行： ./snort -vde 返回本章首页 （2）数据包记录器 如果要把所有的数据包记录到硬盘上，则需要指定一个日志目录，Snort将会自动记录数据包： ./snort -dev -l ./log 如果网络速度很快，或者希望日志更加紧凑以便事后分析，则应该使用二进制日志文件格式。使用下面的命令可以把所有的数据包记录到一个单一的二进制文件中： ./snort -l ./log -b 返回本章首页 （3）网络入侵检测系统 通过下面命令行，可以将Snort启动为网络入侵检测系统模式： ./snort -dev -l ./log -h /24 -c snort.conf snort.conf是规则集文件。Snort会将每个包和规则集进行匹配，一旦匹配成功就会采取响应措施。若不指定输出目录，Snort就将日志输出到/var/log/snort目录。 返回本章首页 5.5.4 Snort的安全防护 为保护Snort系统的运行安全，必须采取一些必要的安全防护措施，主要包括： 加固运行Snort系统的主机 在隐秘端口上运行Snort 在不配置IP地址的接口上运行Snort 返回本章首页 5.6 本章小结 入侵检测（Intrusion Detection）是保障网络系统安全的关键部件，它通过监视受保护系统的状态和活动，采用误用检测（Misuse Detection）或异常检测（Anomaly Detection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测按照不同的标准有多种分类方法。分布式入侵检测（Distributed Intrusion Detection）对信息的处理方法分为两种，即分布式信息收集、集中式处理和分布式信息收集、分布式处理。 返回本章首页 为了提高IDS产品、组件及与其他安全产品之间的互操作性，DARPA和IETF的入侵检测工作组（IDWG）发起制订了一系列建议草案，从体系结构、API、通信机制、语言格式等方面来规范IDS的标准，但草案或建议目前都处于逐步完善之中，尚无被广泛接受的国际标准。 在安全实践中，部署入