第15讲：第十一章-Snort分析..pptVIP

入侵检测技术分析 第11章 Snort 分析 课程安排 入侵检测概述 5学时 入侵检测技术分类 3学时 基于主机的入侵检测技术 2学时 基于网络的入侵检测技术 3学时 混合型的入侵检测技术 2学时 先进的入侵检测技术 3学时 分布式入侵检测架构 3学时 设计考虑及响应问题 2学时 入侵检测系统的评估与测试 3学时 Snort分析 4学时 入侵检测技术的发展趋势 2学时 教材及参考书 《入侵检测技术》唐正军等 清华大学出版社 《入侵检测技术》曹元大 人民邮电出版社 《入侵检测》罗守山 北京邮电大学出版社 上一章回顾 Snort的安装配置 Snort总体结构 Snort的使用 第十一章 Snort分析 Snort的安装与配置 Snort的总体结构分析 Snort的使用 Snort的规则 使用Snort构建入侵检测系统实例 11.4 Snort的规则 规则的结构 规则的语法 预处理程序 输出插件 常用攻击手段对应规则举例 规则的设计 规则的结构 Snort的规则分为两个部分:规则头和规则选项。 规则头 规则动作： Alert, log, pass, activate, dynamic 用户可以创建一条规则，记录到系统日志和MySQL数据库 ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log, mysql, user=Snort dbname=Snort host=localhost } 规则的结构 协议：TCP， UDP，ICMP和IP IP地址：由直接的数字型IP地址和一个Cidr块组成。“any“用来定义任何地址。可将”！“操作符用在IP地址上。比如： alert tcp !/24 any -/24 111 (content: “|00 01 86 a5|”; msg: “external mountd access”;) 端口号：包括“any”端口， 静态端口定义、范围、以及通过否定操作符。例如： Log udp any any - 1:1024 Log tcp any :1024 -/24 500: 方向操作符： “-“ 表示规则所施加的流的方向，” ”表示双向操作符。 Activate和Dynamic规则： 将被Tagging所替代。 规则的结构 规则的选项：所有规则选项用Snort规则选用分号“；”隔开。规则选项关键字和它们的参数用“：”分开。Snort有42个规则选项关键字 msg Logto ttl tos id ipoption fragbits dsize Seq 等等 规则的语法 规则分类存放在规则文件中。规则文件是普通的文本文件。可使用注释行。 Snort允许定义变量，并在规则中使用这些变量。如：var : name value $name: 定义一个元变量 $(name): 使用name的内容替代 $(name: -defaultvalue):使用name的内容替代。如果name未定义，则使用defaultvalue $(name: ?message): 使用name的内容替代。若name没有定义，则打印错误信息message,并退出程序。 规则的语法 例如： var MY_NET [/24, /24] var MY_NET $ (MY_NET: -/24) log tcp any any -$ (MY_NET: ?MY_NET is udefined!) 23 此外，还可以在规则文件中使用关键字include,允许引用其它的规则文件 预处理程序 预处理程序代码在探测引擎被调用之前运行，但在数据包译码之后。通过这个机制，数据包可以通过额外的方法被修改或分析。使用preprocessor关键字加载和配置预处理