第7章_入侵检测技术.pptVIP

Snort安装在一台主机上可对整个网络进行监视，其典型运行环境如图所示。 2．Snort的工作机制 Snort作为一个基于网络的入侵检测系统NIDS，其工作原理是在基于共享的网络上检测原始的网络传输数据，通过分析捕获的数据包，匹配入侵行为的特征或者从网络活动的角度检测异常行为，进而采取入侵的预警或记录。就检测模式而言，Snort属于异常检测。从本质上来说，Snort是基于规则检测的入侵检测工具，即针对每一种入侵行为，都提炼出其特征值并按照规范写成检验规则，从而形成一个规则数据库。其次，将捕获的数据包按照规则库逐一匹配，若匹配成功，则认为该入侵行为成立。 3．Snort体系结构 （1）Sniffer即嗅探器，这是Snort最初的开发目的。Snort没有自己的捕包工具，它使用一个外部的捕包程序库Libpcap从物理链路上捕包。 （2）预处理器。以可插入模块的形式存在于Sniffer和检测引擎之间。这种插件机制使程序具有很强的扩展性，模块性强，程序易读。 （3）检测引擎。Snort的核心部件，主要功能是规则分析和特征检测。 （4）日志/报警。检测引擎检查后的Snort数据需要以某种方式输出。 4．Snort的特点 （1）Snort虽然功能强大，但是其代码极为简洁、短小，其源代码压缩包不足200KB。 （2） Snort是一个跨平台、轻量级的网络入侵检测软件。 Snort的可移植性非常好，目前已经支持Linux系列、Solaris、BSD系列、Windows系列、ScoOpenserver 、IRIX、HP-UX和UnixWare等。 （3）Snort具有实时流量分析和进行IP数据包日志记录的能力。它能够快速地检测网络攻击，及时地发出警报。Snort的警报机制很丰富。 （4）Snort能够进行协议分析、内容的搜索/匹配。它能够检测多种方式的攻击和探测，例如缓冲区溢出、CGI攻击、SMB检测、探测操作系统漏洞的企图等。 （5）Snort的日志格式既可以是Tcpdump的二进制格式，也可以编码成ASCII字符形式，更便于拥护尤其是新手检查或使用数据库输出插件，Snort可以把日志记入数据库，当前支持的数据库包括Postagresql、MySQL、ODBC和Oracle等数据库。 （6）使用TCP流插件，Snort可以对TCP包进行重组。Snort能够对IP包的内容进行匹配，但是对于TCP攻击，如果攻击者使用一个程序，每次发送只有一个字节的数据包，完全可以避开Snort的模式匹配。而被攻击主机的TCP协议栈会重组这些数据，将其发送给目标端口上监听的进程，从而使攻击包逃过Snort的监视。使用TCP流插件，可以对TCP包进行缓冲，然后进行匹配，使Snort具备对付上面攻击的能力。 （7）使用SPADE（Statistical Packet Anomaly Detection Engine）插件，Snort能够报告非正常的可疑包，从而对端口扫描进行有效的检测。 （8）Snort还有很强的系统防护能力。例如，使用其IPTables、IPFilter插件可以使入侵检测主机与防火墙联动，通过FlexResp功能，Snort能够命令防火墙主动断开恶意连接。 （9）扩展性能较好，对于新的攻击威胁反应迅速。 （10）Snort支持插件，可以使用具有特定功能的报告、检测子系统插件并对其功能进行扩展。Snort当前支持的插件包括数据库日志输出、破碎数据包检测、端口扫描检测、HTTP URL以及XML网页生成等插件。 （11）Snort的规则语言非常简单，能够对新的网络攻击做出很快的反应。发现新攻击后，可以很快地根据Bugtrag邮件列表，找到特征码，写出新的规则文件。 5．Snort组成 （1）数据包解码器。主要是对各种协议栈上的数据包进行解析、预处理，以便提交给检测引擎进行规则匹配。 （2）检测引擎。Snort用一个二维链表存储它的检测规则，一维称为规则头，另一维称为规则选项。规则匹配查找采用递归的方法进行，检测机制只针对当前已经建立的链表选项进行检测。 （3）日志子系统。Snort可供选择的日志形式有三种：文本形式、二进制形式、关闭日志服务。 （4）报警子系统。报警形式有五种：报警信息可发往系统日志，用文本形式记录到报警文件中去，用二进制形式记录到报警文件中去，通过Samba发送WinPopup信息，第五种方法就是关闭报警，什么也不做。 第7章 入侵检测技术 为中华之崛起而读书 计算机工程学院 * 阿尔茨海默症防治相关知识埃及的金字