许恒伟windows入侵检测系统部署要点.docVIP

许恒伟windows入侵检测系统部署要点 许恒伟windows入侵检测系统部署要点 PAGE / NUMPAGES 许恒伟windows入侵检测系统部署要点 专业：信息管理与信息系统 学号： 0811120117 Hebei Normal University of Science Technology 信息安全技术训练 题 目： windows 入侵检测系统部署 院（系、部）：工商管理学院 学 生 姓 名：许恒伟 指 导 教 师：刘海滨 2015年 4月 26日 windows 入侵检测系统部署 一、课程设计题目： windows 入侵检测系统部署 要求： 在 windows 平台下部署 snort 入侵检测系统，拟订详尽的入侵检测规则，给出检测报告。起码给出 5 种以上不一样种类的检测方法与结果。 二、 Snort 的工作原理 1)包捕捉，解码引擎：第一，利用 Winpcap 从网卡捕捉网络上的数据包，然 后数据包经过解码引擎填入到链路层协议的包构造体中， 以便对高层次的协议进 行解码，如 TCP 和 UDP 端口。 2)预办理器插件：接着，数据包被送到各种各种的预办理器中，在检测引擎 办理以行进行检查和操作。 每个预办理器检查数据包能否应当注意、 报警或许修 改某些东西。 3)规则分析和检测引擎：而后，包被送到检测引擎。检测引擎经过各种规则 文件中的不一样选项来对每个包的特点和包信息进行单调、 简单的检测。检测引擎 插件对包供应额外的检测功能。规则中的每个重点字选项对应于检测引擎插件， 能够供应不一样的检测功能。 4)输出插件： Snort 经过检测引擎、预办理器和解码引擎输出报警。 三、规则分析 格式为： snort -[options] 。 options 中可选的参数好多，下边逐个介绍。 第一介绍 -[options] 的内容： -A 设置告警方式为 full,fast 或许 none。在 full 方式下，Snort 将传统的告警信息 格式写入告警文件，告警内容比较详尽。在 fast 方式下， Snort 只将告警时间， 告警内容，告警 IP 地点和端口号写入文件。在 none 方式下，系统将封闭告警功 能。 -a 显示 ARP 包 -b 以 tcpdump 的格式将数据包记入日记。所有的数据包将以二进制格式记入名 为 snort.log 的文件中。这个选项提升了  snort 的操作速度，由于直接已二进制存 储，省略了变换为文本文件的时间，经过  -b 选项的设置，  snort 能够在  100Mbps 的网络上正常工作。 -c 使用配置文件。这是一个规则文件。文件内容主要控制系统哪些包需要记入 日记，哪些包需要告警，哪些包能够忽视等。 -C 仅抓取包中的 ASCII 字符 -d 抓取应用层的数据包 -D 在守卫模式下运转 Snort。告警信息发送至，除非特别配置。 -e 显示和记录网络层数据包头信息 -F 从文件中读取 BPF 过滤信息。 -h 设置 (C 类 IP 地点 ) 为内部网络 .当使用这个开关时 ,所有从外面的流量将会有一个方向箭头指向右侧 ,所有从内部的流量将会有一个左箭头 .这个选项没有太大的作用 ,可是能够使显示的包的信息格式比较简单观察 . -i 使用网络接口文件 。 -l 将包信息记录到目录下。 设置日记记录的分层目录构造， 按接收包的 IP 地点 将抓取的包储存在相应的目录下。 -M 向〉文件中的工作站发送 WinPopup 信息。文件格式特别简单。文件的每一 行包含一个目的地点的 SMB 名。 -n 办理完包退后出。 -N 封闭日记功能。告警功能仍旧工作。 -o 改变应用于包的规则的次序。标准的应用次序是： Alert-Pass-Log；采纳 -o 选项后，次序改为： Pass-Alert-Log，同意用户防止使用冗长的 BPF 命令行来 过滤告警规则。 -p 封闭混淆模式的嗅探（ sniffing ）。这个选项在网络严重拥堵时十分有效。 -r 读取 tcpdump 生成的文件。 Snort 将读取和办理这个文件。 比如：当你已经得 到了一个 Shadow文件或许 tcpdump 格式的文件，想办理文件包含的内容时，这个选项就很实用了。 -s 将告警信息记录到系统日记。在其余的平台下，日记文件能够出此刻 /var/log/secure,/var/log/messages目录里。 -S ,n=v设置变量 n 的值为 v。这个选项能够用命令行的方式设置 Snort 规则文件中的变量。比如：假如要给 Snort 规则文件中的变量 HOME_NET 赋值，就能够在命令行下采纳这个选项。 -v 将包信息显示到终端时， 采纳详尽模式。 这类模式存在一个问题： 它的显示速度