网络入侵技术课件.ppt

1、本课程需具备的基础知识本课程需具备的基础知识nTCP/IP协议原理n对防火墙有初步认识n对局域网和广域网有初步认识nUnix简单操作课程目标课程目标n了解入侵检测的概念、术语n掌握网络入侵技术和黑客惯用的各种手段n掌握入侵检测系统防范入侵原理n了解入侵检测产品部署方案n了解入侵检测产品选型原则n了解入侵检测技术发展方向课程内容课程内容n入侵知识简介n入侵检测技术n入侵检测系统的选择和使用1. 入侵检测系统概述入侵检测系统概述1.1 背景介绍1.2 入侵检测的提出1.3 入侵检测相关术语1.4 入侵检测系统分类1.5 入侵检测系统构件1.6 入侵检测系统部署方式1.7 动态安全模型P2DR1.1

2、 背景介绍背景介绍 1.1.1 信息社会出现的新问题信息社会出现的新问题n信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会n计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求n存储信息的系统面临的极大的安全威胁n潜在的网络、系统缺陷危及系统的安全n传统的安全保密技术都有各自的局限性，不能够确保系统的安全1.1 背景介绍 1.1.2 信息系统的安全问题信息系统的安全问题n操作系统的脆弱性n计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性n数据库管理系统等应用系统设计中存在的安全性缺陷n缺乏有效的安全管理 1.1.3 黑客攻

3、击猖獗黑客攻击猖獗网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫这就是黑客1.1 背景介绍1.1.4 我国安全形势非常严峻我国安全形势非常严峻n1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。n1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，用户的信用卡被盗1.799万元。n1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。1.1 背景介绍背景介绍1.1.4 我国安

4、全形势非常严峻（续）我国安全形势非常严峻（续）n2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。n2000年2月1日至2日：中国公共多媒体信息网兰州节点 “飞天网景信息港”遭到黑客攻击。n2000年3月2日：黑客攻击世纪龙公司21CN。1.1 背景介绍背景介绍1.1.4 我国安全形势非常严峻（续）我国安全形势非常严峻（续）n2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 n2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件

5、。n2000年3月8日：黑客攻击国内最大的电子邮局-拥有200万用户的广州163，系统无法正常登录。1.1 背景介绍背景介绍1.1.4 我国安全形势非常严峻（续）我国安全形势非常严峻（续）n2001年3月9日: IT-全国网上连锁商城遭到黑客袭击，网站页面文件全部被删除，各种数据库遭到不同程度破坏，网站无法运行，15日才恢复正常，损失巨大。n2001年3月25日：重庆某银行储户的个人帐户被非法提走5万余元。n2001年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。1.2 入侵检测的提出入侵检测的提出1.2.1 什么是入侵检测系统什么是入侵检测系统n入侵检测系统

6、(IDS)是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。1.2 入侵检测的提出入侵检测的提出1.2.2 为什么需要为什么需要IDS？n入侵很容易n入侵教程随处可见，各种工具唾手可得n防火墙不能保证绝对的安全n网络边界的设备n自身可以被攻破n对某些攻击保护很弱n不是所有的威胁来自防火墙外部n防火墙是锁，入侵检测系统是监视器1.2.2 为什么需要为什么需要IDS?（续）（续）n网络中有可被入侵者利用的资源n在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。n用户和管理员在配置和使用系统中的失误。n对于一些存在安全漏洞的服务、协议和软件，用

7、户有时候不得不使用。1.2 入侵检测的提出入侵检测的提出1.2.3 入侵检测的任务入侵检测的任务（1）检测来自内部的攻击事件和越权访问 a. 85以上的攻击事件来自于内部的攻击 b. 防火墙只能防外，难于防内（2）入侵检测系统作为防火墙系统的一个有效的补充 a. 入侵检测系统可以有效的防范防火墙开放的有效的防范防火墙开放的服务入侵服务入侵1.2.3 入侵检测的任务（续）入侵检测的任务（续） （3）通过事先发现风险来阻止入侵事件的 发生，提前发现试图攻击或滥用网络系统的人员。（4）检测其它安全工具没有发现的网络安全事件。（5）提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆

8、弱性。1.2 入侵检测的提出1.2.4 入侵检测的发展历史入侵检测的发展历史n1980年，James Anderson最早提出入侵检测概念n1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。n1988年，Morris蠕虫事件直接刺激了IDS的研究n1988年，创建了基于主机的系统,有IDES，Haystack等n1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等1.2 入侵检测的提出1.2.4入侵检测的发展历史（续）入侵检测的发展历史（续）n90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分

9、布计算技术等引入IDS系统n2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮n2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。1.3 入侵检测相关术语入侵检测相关术语nIDS(Intrusion Detection Systems)n入侵检测系统nPromiscuous n混杂模式nSignatures n特征1.3 入侵检测相关术语入侵检测相关术语nAlertsn警告nAnomalyn异常1.3 入侵检测相关术语入侵检测相关术语nConsolen控制台nSensorn传感器（是一台将以太网卡置于

10、混杂模式的计算机，用于嗅探网络上的数据包）1.4 入侵检测系统分类入侵检测系统分类n概要nHost-Based IDS（基于主机的IDS)nNetwork-Based IDS（基于网络的IDS）nStack-Based IDS（混和的IDS)1.4 入侵检测系统分类入侵检测系统分类 1.4.1 Host-Based IDS(HIDS) 数据来源为事件日志、端口调用以及安全审计记录。 保护的对象是单个主机。（HIDS系统安装在主机上面，对本主机进行安全检测。最适合于检测那些可以信赖的内部人员的误用以及已经避开了传统的检测方法而渗透到网络中的活动。) 1.4 入侵检测系统分类入侵检测系统分类n H

11、IDS优点优点n 性能价格比高n 细腻性，审计内容全面n 视野集中n 适用于加密及交换环境1.4 入侵检测系统分类入侵检测系统分类nHIDS缺点缺点n额外产生的安全问题nHIDS依赖性强n如果主机数目多，代价过大n不能监控网络上的情况1.4 入侵检测系统分类入侵检测系统分类 1.4.2 Network-Based IDS(NIDS) 系统分析的数据是网络上的数据包。 保护的对象是单个网段，故系统安装在比较重要的网段内1.4 入侵检测系统分类入侵检测系统分类nNIDS优点优点n检测范围广n无需改变主机配置和性能n独立性和操作系统无关性n安装方便1.4 入侵检测系统分类入侵检测系统分类nNIDS缺

12、点缺点n不能检测不同网段的网络包n很难检测复杂的需要大量计算的攻击n协同工作能力弱n难以处理加密的会话1.4 入侵检测系统分类入侵检测系统分类1.4.3 Stack-Based IDS(NNIDS)n网络节点入侵检测系统n安装在网络节点的主机中n结合了NIDS和HIDS的技术n适合于高速交换环境和加密数据1.5 入侵检测系统构件入侵检测系统构件 输出：反应或事件 输出：高级中断事件 输出：事件的存储信息 输出：原始或低级事件 输入：原始事件源 事件产生器 响应单元 事件数据库 事件分析器 1.5 入侵检测系统构件入侵检测系统构件n事件产生器(Event generators)n事件产生器的目的

13、是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 1.5 入侵检测系统构件入侵检测系统构件n事件分析器(Event analyzers)n事件分析器分析得到的数据，并产生分析结果。 1.5 入侵检测系统构件入侵检测系统构件n响应单元(Response units)n响应单元则是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。 1.5 入侵检测系统构件入侵检测系统构件n事件数据库(Event databases)n事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 1.6

14、 入侵检测系统部署方式入侵检测系统部署方式SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像实现（SPAN / Port Monitor）1.6 入侵检测系统部署方式入侵检测系统部署方式n检测器部署位置n放在边界防火墙之外n放在边界防火墙之内n放在主要的网络中枢n放在一些安全级别需求高的子网Internet检测器部署示意图部署一部署二部署三部署三部署四部署四1.6 入侵检测系统部署方式入侵检测系统部署方式n检测器放置于防火墙的防火墙的DMZ区域区域n可以查看受保护区域主机被攻击状态n可以看出防火墙系统的策略是否合理n可以看出DMZ区域被

15、黑客攻击的重点1.6 入侵检测系统部署方式入侵检测系统部署方式n检测器放置于路由器和边界防火墙之间n可以审计所有来自Internet上面对保护网络的攻击数目n可以审计所有来自Internet上面对保护网络的攻击类型1.6 入侵检测系统部署方式入侵检测系统部署方式n检测器放在主要的网络中枢n监控大量的网络数据，可提高检测黑客攻击的可能性n可通过授权用户的权利周界来发现未授权用户的行为1.6 入侵检测系统部署方式入侵检测系统部署方式n检测器放在安全级别高的子网n对非常重要的系统和资源的入侵检测1.7 动态安全模型动态安全模型P2DR1.7 动态安全模型动态安全模型P2DRnPolicy策略nPro

16、tection防护nDetection检测nResponse响应2. 网络入侵技术网络入侵技术n2.1 入侵知识简介n2.2 网络入侵的一般步骤2.1 入侵知识简介入侵知识简介n入侵 (Intrusion)n入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。n入侵企图破坏计算机资源的完整性、机密性、可用性、可控性2.1 入侵知识简介入侵知识简介n目前主要漏洞：n缓冲区溢出n拒绝服务攻击漏洞n代码泄漏、信息泄漏漏洞n配置修改、系统修改漏洞n脚本执行漏洞n远程命令执行漏洞2.1 入侵知识简介入侵知识简介n入侵者n入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序

17、的自动发布命令的计算机。2.1 入侵知识简介入侵知识简介n侵入系统的主要途径n物理侵入n本地侵入n远程侵入2.2 网络入侵的一般步骤网络入侵的一般步骤n进行网络攻击是一件系统性很强的工作，其主要工作流程是：n目标探测和信息收集n自身隐藏n利用漏洞侵入主机n稳固和扩大战果n清除日志2.2.1 目标探测和信息收集目标探测和信息收集n目标探测和信息收集n端口扫描n漏洞扫描n利用snmp了解网络结构2.2.1 目标探测和信息收集目标探测和信息收集n利用扫描器软件n什么是扫描器Scannern扫描器工作原理n扫描器能告诉我们什么 2.2.1 目标探测和信息收集目标探测和信息收集n常用扫描器软件nSATA

18、N（安全管理员的网络分析工具） http:/nNessus(网络评估软件) http:/www.nessus.org 2.2.1 目标探测和信息收集目标探测和信息收集n常用扫描器软件（续）n流光（NT扫描工具） http:/ nMscan（Linux下漏洞扫描器） http:/ 2.2.1 目标探测和信息收集目标探测和信息收集n什么是SNMPn简单网络管理协议n协议无关性n搜集网络管理信息n网络管理软件 2.2.1 目标探测和信息收集目标探测和信息收集nSnmp用途n用于网络管理，网管工具nCommunity strings n也成为黑客入侵的一直辅助手段 2.2.1 目标探测和信息收集目标探

19、测和信息收集nSnmp查询工具nSolarWinds 通过其中的IP Network Browser工具 http:/nLANguard Network Scanner SolarWinds 的IP Network BrowserLanguard Network Scanner 2.2.2 自身隐藏自身隐藏n典型的黑客使用如下技术来隐藏IP地址n通过telnet在以前攻克的Unix主机上跳转n通过终端管理器在windows主机上跳转n配置代理服务器n更高级的黑客，精通利用电话交换侵入主机 2.2.3 利用漏洞侵入主机利用漏洞侵入主机n已经利用扫描器发现漏洞 例如CGI/IIS漏洞n充分掌握系统

20、信息n进一步入侵 2.2.4 稳固和扩大战果稳固和扩大战果n安装后门n添加系统账号n利用LKMn利用信任主机 2.2.4 稳固和扩大战果稳固和扩大战果n什么是木马n客户端软件n服务端软件n木马启动方式n修改注册表n修改INI文件n作为服务启动 2.2.4 稳固和扩大战果稳固和扩大战果nBOnBO的客户端程序可以监视、管理和使用其他网络中运行了BO服务器程序的计算机系统n冰河n国产木马程序n一般杀毒软件均可发现 2.2.4 稳固和扩大战果稳固和扩大战果n黑客入侵主机后，可添加管理员账号nWindows主机账号nUnix主机账号 2.2.4 稳固和扩大战果稳固和扩大战果n控制了主机以后，可以利用该

21、主机对其它邻近和信任主机进行入侵n控制了代理服务器，可以利用该服务器对内部网络进一步入侵 2.2.5 清除日志清除日志n清除入侵日志n使管理员无法发现系统已被入侵 2.2.5 清除日志清除日志（windows）n清除系统日志n清除IIS日志n清除FTP日志n清除数据库连接日志系统日志IIS日志 2.2.5 清除日志（清除日志（Unix）n登陆信息 /var/logn/home/user/.bash_historynlastlog网络入侵步骤总览网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的

22、漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。 3 IDS工作原理工作原理n目标n通过本章学习，可以掌握入侵检测系统对网络入侵事件分析的方法和原理。n概要n入侵检测引擎工作流程n入侵检测的分析方式n入侵检测技术 3.1 入侵检测引擎工作流程入侵检测引擎工作流程 3.1.1 监听部分监听部分n网络接口混杂模式n根据设置，过滤一些数据包n过滤程序的算法的重要性 3.1.1 监听部分监听部分监听器设置如下规则进行过滤：nOnly check the following packetn源地址为192.168.0.1 3.1.2 协议分析协议

23、分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI 3.1.3 数据分析n根据相应的协议，调用相应的数据分析函数n一个协议数据有多个数据分析函数处理n数据分析的方法是入侵检测系统的核心n快速的模式匹配算法 3.1.4 引擎管理n协调和配置各模块间工作n数据分析后处理方式nAlertnLognCall Firewall 3.2 入侵检测的分析方式入侵检测的分析方式n异常检测（Anomaly Detection） n统计模型n误报较多n误用检测（Misuse Detection）n维护一

24、个入侵特征知识库（CVE）n准确性高n完整性分析 3.2.1 异常检测异常检测n基本原理 （检测与可接受行为之间的偏差。如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。） n正常行为的特征轮廓n检查系统的运行情况n是否偏离预设的门限？ 3.2.1 异常检测异常检测n异常检测的优点：n可以检测到未知的入侵 n可以检测冒用他人帐号的行为 n具有自适应，自学习功能 n不需要系统先验知识 3.2.1 异

25、常检测异常检测n异常检测的缺点：n漏报、误报率高n入侵者可以逐渐改变自己的行为模式来逃避检测n合法用户正常行为的突然改变也会造成误警 n统计算法的计算量庞大，效率很低 n统计点的选取和参考库的建立比较困难 3.2.2 误用检测误用检测n采用匹配技术检测已知攻击 （收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。） n提前建立已出现的入侵行为特征n检测当前用户行为特征 3.2.2 误用检测误用检测n误用检测的优点n算法简单n系统开销小 n准确率高n效率高 3.2.2 误用检测误用检测n误用检测的缺点 （1）被动n只能检测出已知攻击

26、 n新类型的攻击会对系统造成很大的威胁 （2）模式库的建立和维护难n模式库要不断更新n知识依赖于n硬件平台n操作系统n系统中运行的应用程序 3.2.3 完整性分析完整性分析n通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 n其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 n缺点是一般以批处理方式实现，不用于实时响应。 3.3 入侵检测具体技术入侵检测具体技术n基于统计方法的入侵检测技术n基于神经网络的入侵检测技术n基于专家系统的入侵检测技术n基于模型推理的入侵检测技术 3.3.

27、1 基于统计方法基于统计方法n审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。 3.3.2 基于神经网络基于神经网络n采用神经网络技术，根据实时检测到的信息有效地加以处理，作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：n难于建立确切的统计分布函数n难于实现方法的普适性n算法实现比较昂贵n系统臃肿难于剪裁 3.3.3 基于专家系统基于专家系统n根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规

28、则的专家系统或推进系统的也有一定的局限性。 3.3.4 基于模型推理基于模型推理n用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。n一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。 3.4 其他的检测技术其他的检测技术 n免疫系统方法 n遗传算法 n基于代理检测 n数据挖掘 6 IDS产品评估与选型原则n目标n通过本章学习，可以具备对自己或者客户的网络结构提出入侵检测系统方面的建议。n概要nIDS评估与测试n环境和策略考虑nIDS产品功能和品质 6.1 IDS评估与测试评估与测

29、试n入侵检测系统能发现入侵行为吗？n入侵检测系统是否达到了开发者的设计目标？n什么样的入侵检测系统才是用户需要的性能优良的入侵检测系统呢？ 要回答这些问题，就要对入侵检测系统进行测试和评估。 6.1.1 IDS的评价标准的评价标准nPorras等给出了评价入侵检测系统性能的三个因素：n准确性（Accuracy）n处理性能（Performance）n完备性（Completeness）nDebar等增加了两个性能评价测度n容错性（Fault Tolerance）n及时性（Timeliness） 6.1.2 IDS2 IDS测试评估步骤测试评估步骤n创建、选择一些测试工具或测试脚本n确定计算环境所要

30、求的条件，比如背景计算机活动的级别n配置运行入侵检测系统n运行测试工具或测试脚本n分析入侵检测系统的检测结果 6.1.3 IDS测试分类n入侵识别测试（也可说是入侵检测系统有效性测试）n资源消耗测试n强度测试 6.1.4 评估评估IDS的性能指标的性能指标n检测率、虚警率及检测可信度(最重要的指标 )n入侵检测系统本身的抗攻击能力n延迟时间n资源的占用情况n系统的可用性。系统使用的友好程度。 n日志、报警、报告以及响应能力 7 Liunx下实现一个简单的下实现一个简单的入侵检测系统入侵检测系统 n本章内容简介：n系统框架n数据采集部分n数据分析部分n告警与响应n性能分析 7.1 系统框架系统框

31、架 从实现结构上看，waRcher分成三个应用程序，它们分别是：n数据收集及分析程序(agent) ；n告警信息收集程序(listener)；n告警信息显示程序(console)。 7.2 数据采集部分数据采集部分 nAgent采用了linux2.2内核中提供的PF_PACKET类型的socket（并未采用libpcap提供的API接口） ,直接从链路层获取数据帧 n数据采集部分还做了一项工作就是将网卡置于混杂模式，这样可以监听到整个网段的数据 7.3 数据分析部分n 数据分析部分事实上与数据采集部分作为一个进程(agent)存在,主要是为了简化程序设计的复杂性。n 框图详见下一页 7.4 告

32、警与响应告警与响应n经过采集和分析模块后，如果判断为攻击行为或异常行为，IDS进行告警n发生告警后，可以人为的进行响应，也可以通过预先设定的相应模块进行自动响应n最常见的响应方式是IDS和防火墙联动 7.5 性能分析性能分析nIDS系统面临的一个矛盾便是性能与功能的折衷 n对waRcher而言，其可能影响性能的有三个地方：n内核到应用层的转换（涉及数据拷贝）；n数据分析（大量的数据匹配操作）；n记录日志（IO操作）。8 Snort 分析分析n内容概要：nSnort安装与配置nSnort的使用nSnort的规则nSnort总体结构分析 8.1 Snort 安装与配置安装与配置nSnort是一个用

33、C语言编写的开放源代码软件，符合GPL（GNU General Public License）的要求，当前的最新版本是1.8，其作者为Martin Roesch。nSnort称自己是一个跨平台、轻量级的网络入侵检测软件，实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具，可以用于入侵检测。从入侵检测分类上来看，Snort应该算是一个基于网络和误用的入侵检测软件。 8.1.1 Snort简介简介n Snort由三个重要的子系统构成： n数据包解码器n检测引擎 n日志与报警系统 8.1.2 底层库的安装与配置底层库的安装与配置 n 安装Snort所必须的底层库有三个底层库有三个：n

34、Libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程nLibnet提供的接口函数主要实现和封装了数据包的构造和发送过程 nNDIS packet capture Driver是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序 8.1.2 底层库的安装与配置底层库的安装与配置n以Libpcap为例，讲解库的安装： n检查Libpcap n解开压缩包n # tar zxvf libpcap.tar.zn正式安装n # cd libpcapn# ./configuren# maken# make checkn# make install 8.1.3 Snort的安

35、装的安装n Linux环境下的安装（确认Libpcap已经安装成功），安装过程如下：n# tar zxvf snort-1.8.tar.gzn# cd snort-1.8n# ./configuren# maken# make install 8.1.3 Snort的安装nSolaris环境下的安装（确认Libpcap已经安装成功）n在Solaris下，同样可以按照Linux下的步骤和方法使用源代码包进行安装，另外还提供了Solaris特有的Packet Format包，安装方法则比较冷门一点，所以在此另行说明。安装过程如下：n# pkgtrans snort-1.8-sol-2.7-spar

36、c-local /var/spool/pkgn# pkgaddn在此选择“Mrsnort”选项进行安装即可。 8.1.3 Snort的安装的安装nWin 32环境下的安装n解开snort-1.8-win32-source.zipn用VC+打开位于snort-1.8-win32-sourcesnort-1.7 win32-Prj目录下的snort.dsw文件n选择“Win 32 Release”编译选项进行编译n在Release目录下会生成所需的Snort.exe可执行文件。 8.1.3 Snort的安装 8.1.3 Snort的安装 8.1.4 Snort的配置的配置n 配置Snort并不需要

37、自已编写配置文件，只需对Snort.conf文件进行修改即可 n设置网络变量 n配置预处理器 n配置输出插件n配置所使用的规则集 8.2 Snort的使用 8.2.1 Libpcap的命令行的命令行 Snort和大多数基于和大多数基于Libpcap的应用程序一样，的应用程序一样，可以使用标准可以使用标准BPF类型的过滤器。类型的过滤器。设置过滤器设置过滤器关键字关键字分为以下几类：分为以下几类：n属性类关键字：说明后面所跟值的意义，这样的关键字有host、net、port n方向类关键字：说明报文的流向，这样的关键字有：src、dst、src or dst、src and dst n协议类关键

38、字：用来限制协议，这样的关键字有：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等 8.2.2 Snort的命令行的命令行 nSnort的命令行参数很多，可使用Snort - ?命令列出这些参数及其简单的解释 n常见的参数有：n-A 设置警告模式n-a 显示ARP报文n-b 以tcpdump格式记录报文到日志文件 n-c 使用配置文件n-d：显示应用层数据n-v：更详细地输出 n详细的解释可以使用man snort命令查看帮助页，或者直接阅读README文件和USAGE文件 8.2.3 高性能的配置方式n如果在一个高数据流量（

39、比如大于100Mbps）的网络环境下运行Snort，就需要考虑如何配置Snort才能使它高效率地运行n./snort b A fast c snort-libn./snort d c snort-lib l ./log h 192.168.9.0/24 r snort.log 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.5 使用Snort 8.2.5 使用Snort 8.3 Snort的规则的规则n本节内容包括：n 规则的语法n 规则头n 规则选项n预处理器n输出模块n对

40、规则的更新8.3.1 规则的语法规则的语法nSnort使用了一种简单但是灵活、高效的规则描述语言来对检测规则进行表述n每一个Snort规则的描述都必须在单独一行内完成nSnort规则可以划分为两个逻辑部分：规则头（Rule Header）和规则选项（Rule Options）8.3.2 规则头规则头n规则动作（Alert、Log、Pass）n协议nIP地址n端口号n方向操作符8.3.3 规则选项n是Snort系统入侵检测引擎的核心部分n所有的Snort规则选项之间都使用分号来分离n规则选项中的关键字与选项参数之间使用冒号隔离n当前有三十几种关键字（msg、log、ttl、id、content、

41、flags、seq等）8.3.4 预处理器n预处理器的引用大大扩展Snort功能，使得用户和程序员可以容易地加入模块化的插件n预处理器程序在系统检测引擎执行前被调用，但在数据包解码工作之后n预处理程序通过preprocessor关键字来引入和配置 preprocessor:8.3.5 输出模块n输出模块的引入使得Snort能够以更加灵活的方式来格式化和显示对用户的输出n输出模块被系统的警告或者日志系统所调用，在预处理器模块和检测引擎之后执行。n通过在规则文件中指定output关键字，可以在运行时加载对应的输出模块。 Output:8.3.6 对规则的更新n要经常访问snort的官方网站，更新它

42、所发布的新规则。这些规则通常有一定的通用性和稳定性，但时效上可能要弱一点。n可以加入一些网络安全的邮件列表，它会更及时地根据当前流行的安全漏洞，发布相应的攻击标识以及相应的检测规则 n可以根据自己的环境定制自己的规则，或者根据自己发现的新攻击来编写相应的规则。 8.4 Snort总体结构分析 nSnort的模块结构 n主控模块n解码模块n规则处理模块n日志输出模块n插件机制 nSnort的总体流程 8.4.1 Snort的模块结构 n主控模块n解码模块 n规则处理模块 n预处理插件模块 n处理插件模块 n输出插件模块 n日志模块 8.4.2 插件机制n插件机制具有以下一些明显的优点： n能够非

43、常容易地增加功能，使程序具有很强的可扩展性 n简化了编码工作 n插件机制使代码功能内聚，模块行强，程序相对易读 n预处理插件n处理插件n输出插件 8.4.3 Snort的总体流程 9 入侵检测产品及发展方向n目标n通过本章学习，可以了解入侵检测系统的发展方向。n概要n目前的入侵检测产品n分布式入侵检测技术n智能化入侵检测技 9.1 入侵检测产品 9.1.1 免费的入侵检测产品免费的入侵检测产品nSnort http:/www.snort.orgnSHADOW http:/www.nswc.navy.mil/ISSEC/CID 9.1.2 商业的入侵检测产品nCyberCop Monitor,

44、NAInDragon Sensor, EnterasysneTrust ID, CAnNetProwler, SymantecnNetRanger, CisconNID-100/200, NFR SecuritynRealSecure, ISSnSecureNet Pro, I 9.1.3 RealSecure简介 9.1.3 RealSecure简介nRealSecure包含三个部件：nRealSecure Network Sensor 网络传感器（基于网络的监控器）nRealSecure OS Sensor 操作系统传感器（基于主机的监控器）nRealSecure Workgroup Ma

45、nager 工作组管理器 （管理控制台） 9.1.3 RealSecure简介RealSecure采用分布式体系结构采用分布式体系结构nRealSecure采用的是分布式体系结构。监控器Network Sensor和OS Sensor负责检测和响应，管理控制台负责对监控器的配置和管理。监控器和管理控制台之间完全是多对多的关系。 9.2 IDS目前存在的问题n许多现存IDS是采用集中统一收集和分析数据的体系结构， 这种体系结构存在单点失效和可扩展性有限等问题；n另有一些IDS设计成分布式收集和分析信息，分层次、相互合作、无中心集权的系统，但仍无法解决上述重新配置和增加功能的问题。 9.2 IDS

46、目前存在的问题n关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。n各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。n依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。n目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。9.3 发展趋势及主要研究方向n针对分布式攻击的分布式入侵检测方面的研究n用于大规模高速网络入侵检测系统的研究n应用层入侵检测的研究n智能入侵检测的研究9.3 发展趋势及主要研究方向n对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究n入侵检测系统的评估测试方面的研究n入侵检测与操作系统集成方面的研究n对入侵检测系统自身安全状况的研究