第15讲第十一章 Snort分析.pptVIP

0 入侵检测技术分析 北京信息科技大学 刘凯 liukai@ 第 15 讲 1 入侵检测技术分析 第 11 章 Snort 分析 2 课程安排 ? 入侵检测概述 5 学时 ? 入侵检测技术分类 3 学时 ? 基于主机的入侵检测技术 2 学时 ? 基于网络的入侵检测技术 3 学时 ? 混合型的入侵检测技术 2 学时 ? 先进的入侵检测技术 3 学时 ? 分布式入侵检测架构 3 学时 ? 设计考虑及响应问题 2 学时 ? 入侵检测系统的评估与测试 3 学时 ? Snort 分析 4 学时 ? 入侵检测技术的发展趋势 2 学时 3 教材及参考书 ? 《入侵检测技术》唐正军等 清华大学出版社 ? 《入侵检测技术》曹元大 人民邮电出版社 ? 《入侵检测》罗守山 北京邮电大学出版社 4 上一章回顾 ? Snort 的安装配置 ? Snort 总体结构 ? Snort 的使用 5 第十一章 Snort 分析 ? Snort 的安装与配置 ? Snort 的总体结构分析 ? Snort 的使用 ? Snort 的规则 ? 使用 Snort 构建入侵检测系统实例 6 11.4 Snort 的规则 ? 规则的结构 ? 规则的语法 ? 预处理程序 ? 输出插件 ? 常用攻击手段对应规则举例 ? 规则的设计 继续 7 规则的结构 ? Snort 的规则分为两个部分 : 规则头和规则选项。 ? 规则头 ? 规则动作： Alert, log, pass, activate, dynamic 用户可以创建一条规则，记录到系统日志和 MySQL 数据库 ruletype redalert { type alert output alert_syslog: LOG_AUTH LOG_ALERT output database: log, mysql, user=Snort dbname=Snort host=localhost } 8 规则的结构 ? 协议： TCP ， UDP ， ICMP 和 IP ? IP 地址：由直接的数字型 IP 地址和一个 Cidr 块组 成。“ any“ 用来定义任何地址。可将”！“操 作符用在 IP 地址上。比如： alert tcp !/24 any -/24 111 (content: “|00 01 86 a5|”; msg: “external mountd access”;) ? 端口号：包括“ any” 端口， 静态端口定义、范 围、以及通过否定操作符。例如： Log udp any any - 1:1024 Log tcp any :1024 -/24 500: ? 方向操作符： “ - “ 表示规则所施加的流的方 向，” ” 表示双向操作符。 ? Activate 和 Dynamic 规则： 将被 Tagging 所替代。 9 规则的结构 ? 规则的选项：所有规则选项用 Snort 规则选用分 号“；”隔开。规则选项关键字和它们的参数用 “：”分开。 Snort 有 42 个规则选项关键字 ? msg ? Logto ? ttl ? tos ? id ? ipoption ? fragbits ? dsize ? Seq ? 等等 返回 10 规则的语法 ? 规则分类存放在规则文件中。规则文件是普通的文 本文件。可使用注释行。 ? Snort 允许定义