第9章入侵检测技术(免费阅读).pptVIP

Snort由三个重要的子系统构成：数据包解码器、检测引擎、日志与报警系统 。 （1）数据包解码器 数据包解码器主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。解码器运行在各种协议栈之上，从数据链路层到传输层，最后到应用层。因为当前网络中的数据流速度很快，如何保障较高的速度是解码器子系统中的一个重点。目前，Snort解码器支持的协议包括Ethernet、SLIP和raw（PPP）data-link等。 (2)检测引擎 Snort用一个二维链表存储它的检测规则，其中一维称为规则头，另一维称为规则选项。规则头中放置的是一些公共的属性特征，而规则选项中放置的是一些入侵特征。为了提高检测速度，通常把最常用的源/目的IP地址和端口信息放在规则头链表中，而把一些独特的检测标志放在规则选项链表中。规则匹配查找采用递归的方法进行，检测机制只针对当前已经建立的链表选项进行检测。当数据包满足一个规则时，就会触发相应的操作。 Snort的检测机制非常灵活，用户可以根据自己的需要很方便地在规则链表中添加所需要的规则模块。 （3）日志和报警子系统 日志和报警子系统可以在运行Snort的时候以命令行交互的方式进行选择。 Snort是一种基于网络的入侵检测系统， Snort的规则在逻辑上分为两部分：规则头（Rule Header）和规则选项（Rule Option）。规则头定义了规则的行为、所匹配网络报文的协议、源地址、目标地址及其网络掩码、源端口和目标端口等信息；规则选项部分则包含了所要显示给用户查看的警告信息以及用来判定此报文是否为攻击报文的其他信息。 9.3.2 Snort软件的使用技术 Snort软件使用的技术有： l 网络安全事件响应技术； l 安全事件的定义； l 事件响应的处理过程； l 网络攻击的追踪； l 应急处置与恢复技术； l 远程备份技术； l 安全事件的定义。 所谓“事件”，我们指的是那些影响计算机系统和网络安全的不当行为。这些行为包括在计算机和/网络上发生的可以观察得到的任何现象，包括通过网络连接到另一个系统、获取文件、关闭系统等。恶意事件包括对系统的破坏、在某个网络内IP包的泛滥、未经授权的情况下使用另一个用户的账户或系统的特殊权限、黑掉了一个或若干个网页以及执行恶意代码并毁坏了数据。其他有害事件还包括水、火、断电和过热而导致系统瘫痪等。 “事件响应”的意思是事件发生后采取的措施和行动。这些行动措施通常是阻止和减小事件带来的影响。行动可能来自于人也可能来自于计算机系统。 事件响应的处理过程： 它包括6个阶段：准备、检测、抑制、根除、恢复和跟踪（称为PDCERF方法）。 1. 准备阶段 第1个阶段是准备，即在事件真正发生前为事件响应做好准备。这一阶段极为重要，因为当今的安全事件大多数都是复杂且费时的，准备是必须的而不是一种奢侈。准备阶段具体措施为： l?? 基于威胁建立一组合理的防御/控制措施； l?? 建立一组尽可能高效的事件处理程序； l?? 获得处理问题必须的资源和人员； l?? 建立一个支持事件响应活动的基础设施。 2. 检测阶段 就事件响应而言，检测和入侵检测并不是同义词。检测意味着弄清是否出现了恶意代码、文件和目录是否被篡改或者出现其他的特征；如果是的话，问题在哪里，影响范围有多大。入侵检测最常见的含义是确定对系统的非授权访问和滥用中否发生入侵行为。比如，病毒感染可以用病毒检测软件而不是入侵检测软件来发现。因此，检测包含的范围要比入侵检测宽广的多。 从操作的角度来讲，事件响应过程中所有的动作都依赖于检测。坦率地说，没有检测，就没有真正意义上的事件响应，检测触发了事件的响应。这一点大大提升了检测在其他5个阶段的相对重要性。 3. 抑制阶段 抑制的目的是限制攻击的范围，同时也就限制了潜在的损失和破坏。抑制相关的活动当然只有在第2阶段观察到事件的确已经发生的基础上才能进行。 抑制阶段一个关键的部分是决策（也就是决定做什么，才能减小损失或破坏的范围）。决策包括下列一些措施： l 完全关闭所有系统。 l 断开外部网络。这样至少允许本地用户获得一定的服务。 l 修改所有防火墙和路由器的过滤规则，拒绝来自发起攻击主机的所有的流量。 l 封锁或删除被攻破的登录账号。 l 提高系统或网络行为的监控级别。 l 设置诱饵服务器作为陷阱，“陷阱及伪装手段”。 l 关闭服务，比如文件传输服务，如果服务中的漏洞被利用的话。 l 反击攻击者的系统，尽管一般来说应该避免这样做，而且在得到上