西安理工大学-信息安全科学出版社新版课件 第七章 网络入侵检测技术.pptVIP

* 入侵检测系统实例Snort 下面分别介绍数据包嗅探器、预处理器、检测引擎、报警/日志输出各个组成模块的工作原理。 （1）数据包嗅探器模块 （2）预处理器模块 （3）检测引擎模块 （4）报警/日志输出模块 数据包嗅探器模块主要用来实现网络数据包捕获和解析的功能。将捕获的网络数据包按照TCP/IP协议族的不同层次进行解析。 预处理模块针对可疑行为检查包或者修改包以便检测引擎能对其正确解释，还可以对网络流进行标准化，以便检测引擎能够准确匹配特征。 检测引擎模块是入侵检测系统实现的核心，当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。 检测引擎检查后的Snort数据需要以某种方式输出。 * 入侵检测系统实例Snort 3．Snort的规则结构 Snort采用基于规则的网络入侵模式搜索机制，对网络数据包进行模式匹配，从中发现入侵或恶意攻击行为。 Snort将所有已知的入侵行为以规则的形式存放在规则库中，每一条规则由规则头和规则选项两个部分组成。规则头定义了规则的动作、所匹配网络报文的协议、源地址、目的地址、源端口及目标端口等信息；规则选项部分则包含了所要显示给用户查看的警告信息以及用来判定报文是否为攻击报文的其他信息。 * 入侵检测系统实例Snort