入侵检测技术

《入侵检测技术》由会员分享，可在线阅读，更多相关《入侵检测技术（9页珍藏版）》请在金锄头文库上搜索。

1、.入侵检测技术入侵检测技术一、实验目的一、实验目的通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统的配置和使用。实验具体要求如下：1.理解入侵检测的作用和原理2.理解误用检测和异常检测的区别3.掌握 Snort 的安装、配置和使用等实用技术二、实验原理二、实验原理1 1、入侵检测概念与其功能、入侵检测概念与其功能入侵检测是指对入侵行为的发现、 报警和响应， 它通过对计算机网络或计算机系统中的假设干关键点收集信息并对其进展分析， 从中发现网络或系统中是否有违反平安策略的行为和被攻击的迹象。 入侵检测系统(intrusion detection system,IDS)是完成入侵检测功

2、能的软件和硬件的集合。入侵检测的功能主要表达在以下几个方面：1. 监视并分析用户和系统的活动。2. 核查系统配置和漏洞。3. 识别的攻击行为并报警。4. 统计分析异常行为。5. 评估系统关键资源和数据文件的完整性。6. 操作系统的审计跟踪管理，并识别违反平安策略的用户行为。2 2、入侵检测的分类、入侵检测的分类根据 IDS 检测对象和工作方式的不同， 可以将 IDS 分为基于网络的 IDS(简称 NIDS)和基于主机的 IDS(简称 HIDS)。NIDS 和 HIDS 互为补充，两者的结合使用使得IDS 有了更强的检测能力。1. 基于主机的入侵检测系统。HIDS 历史最久，最早用于审计用户的活

3、动，比方用户登录、命令操作、应用程序使用资源情况等。HIDS 主要使用主机的审计记录和日志文件作为输入，某些HIDS 也会主动与主机系统进展交互以获得不存在于系统日志的信息。 HIDS 所收集的信息集中在系统调用和应用层审计上，试图从日志寻找滥用和入侵事件的线索。HIDS 用于保护单台主机不受网络攻击行为的侵害，需要安装在保护的主机上。2. 基于网络的入侵检测系统。NIDS 是在网络中的某一点被动地监听网络上传输的原始流量，并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS 通过对流量分析提取牲模式，再与攻击牲相匹配或与正常网络行为原形相比拟来识别攻击事件。3 3、入侵检

4、测系统、入侵检测系统1 / 9.1. 入侵检测系统的特点：入侵检测系统(Intrusion Detection System)是对防火墙有益的补充，它对网络和主机行为进展检测，提供对部攻击、外部攻击和误操作的实时监控，增强了网络的平安性。在平安防方面，入侵检测系统可以实现事前警告、 事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前， 与时检测到入侵攻击的发生， 并进展报警；入侵攻击发生时， 入侵检测系统可以通过与防火墙联动等方式进展报警与动态防护； 被入侵攻击后，入侵检测系统可以提供详细的攻击信息日志，便于取证分析。相对于防火墙提供的静态防护而言， 入侵检测系统侧重于提供

5、动态实时检测防护， 因此防火墙和入侵检测系统的结合，能够给网络带来更全面的防护。2). 入侵检测系统的实现原理：入侵检测系统的实现技术可以简单地分为两大类：基于特征的检测和基于异常的检测。基于特征的检测技术主要包括模式匹配和协议分析两种主要检测方法。 模式匹配就是将入侵事件悼念到网络入侵和系统误用知识库中， 对入侵检测系统悼念的信息和知识库中的规那么进展比拟，以发现入侵行为。协议分析技术那么对数据包进展协议解析后进展分析。 这种技术需要首先捕捉数据包， 然后对数据包进展解析， 包括网络协议分析和命令解析， 即使在高负载的调整网络上，也能逐个分析所有的数据包。基于牲的检测技术只需收集相关的数据，

6、和所维护的知识库规那么比拟就能进展判断，检测准确率和效率较高。 但是， 该技术需要不断进展知识库规那么的升级以对付不断出现的新攻击手法，而且，它不能检测未知攻击手段。3). 入侵检测系统的部署原那么：NIDS 总的来说包括探测器和控制台两大局部。探测器是专用的硬件设备，负责网络数据流的捕获、分析检测和报警等功能。 控制台是管理探测器的工具， 它负责接收探测器的检测日志数据，并提供数据查询和报告生成等功能，一个控制台可以管理多个探测器。HIDS 安装在被保护的机器上，在主机系统的审计日志或操作中查找信息源进展智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS 安

7、装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS 对主机系统固有的日志与监视能力有很高的依赖性，它一般针对其所在的系统进展检测。4/Snort4/Snort 简介与使用原理：简介与使用原理：1). Snort 是一款免费的 NIDS，具有小巧灵便、易于配置、检测效率高等特性，常被称为轻量级的 IDS。 Snort 具有实时数据流量分析和IP 数据包日志分析能力， 具有跨平台特征，能够进展协议分析和对容的搜索或匹配。Snort 能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝效劳攻击等，并进展实时报警。Snort 可以根据用户事先定义的一些规那么分析网络数据流， 并根据检测结果

8、采取一定的行动。Snort 有 3 种工作模式，即嗅探器、数据包记录器和NIDS。嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上； 数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS 模式功能强大，可以通过配置实现。2). Snort 的结构由四大软件模块组成：(1)数据包嗅探模块。负责监听网络数据包，对网络进展分析。(2)预处理模块。 该模块用相应的插件来检查原始数据包， 从中发现原始数据的行为。(3)检测模块。该模块是 Snort 的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规那么检查数据包， 一旦发现数据包中的容和某条规那么相匹配， 就通知报

9、警模块。(4)报警/日志模块。 经检测引擎检查后的 Snort 数据需要以某种方式输出。 如果检测引2 / 9.擎中的某条规那么被匹配，那么会触发一条报警。3). Snort 规那么。Snort 的每条规那么逻辑上都可以分成规那么头部和规那么选项。规那么头部包括规那么行为、协议、源或目的IP 地址、子网掩码、源端口和目的端口；规那么选项包含报警信息和异常包的信息特征码 ，基于特征码决定是否采取规那么规定的行动。对于每条规那么来说， 规那么选项不是必需的， 只是为了更加详细地定义应该收集或者报警的数据包。 只有匹配所有选项的数据包，Snort 都会执行其规那么行为。如果许多项选择项组合在一起，它

10、们之间是“逻辑与“的关系。三、实验步骤三、实验步骤实验容一：实验容一：WindowsWindows 平台下平台下 SnortSnort 的安装与配置的安装与配置由于需要对网络底层进展操作，安装Snort 前需要预先安装 WinpCapWIN32 平台上网络分析和捕获数据包的库 。1. 下载 Windows 平台下的 Snort 安装程序，选择安装目录为c:Snort。进展到选择日志文件存放方式时，为简单起见，选择不需要数据库支持或者Snort 默认的 MySQL 和 ODBC数据库支持的方式。 (即选择I do not plan to log to a database,or I am pla

11、nning tolog to one of the databases listed above.)2. 单击“开场菜单，选择“运行命令，输入cmd 并按 Enter 键，在命令行方式下输入如下命令 c:cd c:Snortbin，然后输入 c:Snortbinsnort -W。如果 Snort 安装成功，系统将显示如下列图所示信息。3. 从返回的结果可知主机上有哪个物理网卡正在工作与该网卡的详细信息。其中第五个是具有物理地址的网卡。输入snort -v -i5 命令启用 Snort。其中，-v 表示使用 Verbose模式，把信息包打印在屏幕上；-i5 表示监听第五个网卡。如下列图所示：3

12、/ 9.4. 为了进一步查看 Snort 的运行状况， 可以人为制造一些 ICMP 网络流量。 在局域网段中的另一台主机上使用 Ping 指令，探测运行 Snort 的主机。5. 回到运行 Snort 的主机，发现 Snort 已经记录了这次探测的数据包，Snort 在屏幕上输出了局域网中另一台主机到本主机的ICMP 数据。7. 配置网段提供网络效劳的IP 地址， 只需要把默认的$HOME_NET 改成对应主机地址即4 / 9.可：var DNS_SERVERS $ HOME_NET; var SMTP_SERVERS $ HOME_NET; var HTTP_SERVERS$ HOME_NE

13、T; var SQL_SERVERS $ HOME_NET; var TELNET_SERVERS $ HOME_NET; varSNMP_SERVERS $ HOME_NET 如果不需要监视某种类型的效劳，可用#号将上述语句其注释掉。8. 修改设置监测包含的规那么。在配置文件末尾，定义了与规那么相关的配置，格式如 下 ： include$RULE_PATH/local.rules; include$RULE_PATH/bad-traffic.rules;include $RULE_PATH/exploit.rules。其中变量$RULE_PATH 指明了规那么文件存放的路径，可以在语句 va

14、r RULE_PATH./rules 中将变量 RULE_PATH 改为存放规那么集的目录，如：c:snortrules。实验容二：实验容二：WindowsWindows 平台下平台下 SnortSnort 的使用的使用1. Snort 嗅探器模式。检测 Snort 安装是否成功时，用到的就是 Snort 嗅探器模式。输入命令如下：snort -v -i5 使 Snort 只将 IP 和 TCP/UDP/ICMP 的信息输出到屏幕上。如果要看到应用层的数据，可以输入如下命令：snort -v -d -i5。 如果需要输出更详细的信息，输入命令：snort -v -d -e -i5可以显示数据链

15、路层的信息。4. 下面将通过对运行了 Snort 的目标主机进展有意攻击，来观察Snort 检测入侵的能力。首先，向目标主机发送ICMP 长数据包来观测 Snort 的反映，ICMP 长数据包是有潜在危险的，一般会被视为入侵；然后，使用网络端口扫描工具Nmap 对目标主机进展扫描，观察Snort 的检测情况。具体操作步骤如下：(2)在目标主机中翻开 Log 文件夹，此时可以发现在 Log 的根目录下自动生成了一个名为 Alert 的文件。翻开文件并观察其容，Snort 警报中记录了刚刚发送的 ICMP 长数据包，每条记录包括警报的类型和数据包的。发送的ICMP 长数据包之所以出现在警报中，是因

16、为它的特征和 Snort 预先定义的规那么相符。警报如下列图所示：5 / 9.(3)在 Snort 的安装目录下翻开 Rules 文件夹， 翻开 Icmp.rules 文件， 可以发现和该攻击对应的规那么如下列图所示：6 / 9.(4)执行端口扫描的检测。把Snort.conf 文件中相应端口配置局部的容修改为：preprocessorsfportscan:protoallmemcap10000000sense_levelmediumlogfileportscan。 其中， proto 指定了需要检测的协议类型， 包括 TCP、UDP、 ICMP 和 IP，all 表示检测所有的协议； sen

17、se_level 指定检测的灵敏度， 灵敏度高可以增加检测率， 但有可能会同时增加误报率，Snort 的默认选项是 Low；logfile 指定检测结果的输出文件名，该文件将创立在 Log 目录下。(6)在目标主机上查看记录端口扫描检测结果的文件Portscan。可以看出，Snort 准确识别并分析记录了端口扫描攻击相关的信息， 如攻击者的 IP 地址， 扫描的围从 21 号端口到38037 号端口，攻击者扫描到 2 个开放的端口：139 和 455。 Portscan 文件中记录的并不是单条的网络数据包记录， 而是 Snort 的端口模块对数据包和其他特性综合分析的结果， 如在单位时间来自同

18、一 IP 的警报信息或 TCP 数据包的统计特征等。(7)翻开 Alarm 文件。发现在 Alarm 文件里增加了与端口扫描相关的警告。Alarm 文件中记录的是单个数据包和规那么匹配的结果； 在 Rules 文件夹中翻开检测端口扫描的规那么集，可以找到与端口扫描警报相对应的规那么： alert tcp $EXTERNAL_NET any - $HOME_NETany(msg:SCANXMAS;flow:stateless;flags:SRAFPU,12;reference:arachnids,144;classtype:attempted-recon;sid:625;rev:7)实验容三：编

19、写实验容三：编写 SnortSnort 规那么规那么7 / 9.1. snort 使用一种简单的，轻量级的规那么描述语言，这种语言灵活而强大。在开发snort 规那么时要雇几个简单的原那么：(1)大多数 snort 规那么都写在一个单行上，或都在多行之间的行尾用/分隔。(2)snort 被分成两个逻辑局部：规那么头和规那么项。规那么头包含规那么的动作、协议、源和目标 IP 地址与网络掩码，以与源和目标端口信息；规那么选项局部包含报警消息容和要检查的包的局部。2. 编写一个规那么，通过捕捉关键字Search 记录翻开 Google 网页的动作，并将符合规那么的数据包输出到 Alert 文件中。(

20、1)在 Snort 的 Rules 文件夹下创立 Myrule 文件， 在 Myrule 文件中输入如下容： alerttcp$EXTERNAL_NETany-any80(content:search;nocase;msg:GoogleSearchQuery;)(2)在 Snort.conf 文件中添加新建的规那么文件。在Snort.conf 的规那么区域中也可在文件末添加下面的语句：include $RULE_PATH/myrule.rules3. 尝试定义几个更为实用的规那么，并在使用中检验它们的效果。(1)在 Myrule 中添加如下 3 条规那么： alert icmp $EXTERN

21、AL_NET any - $HOME_NET any(dsize:0;itype:8;msg:NMAP PING SCAN;)alert tcp $EXTERNAL_NET any - $HOME_NET any (flags:SF;msg:NMAPSYN FIN SCAN;)aler tcp $EXTERNAL_NET any - $HOME_NET any (flags:A;ack:0;msg:NMAP TCPPING;)(2)运行 Snort， 在局域网另一台主机上运行Nmap， 对主机进展端口扫描。 首先使用 Nmap的-sP 选项进展 ping 扫描， 然后使用-sS 选项的 SYN 扫描， 最后使用-sA 选项进展 ACK 扫描。8 / 9.(3)扫描完成后，回到主机查看Alert 文件。四、思考题四、思考题思考题一：入侵检测的作用是什么？入侵检测系统与防火墙有什么区别？试分析两者在防止端口扫描方法上的异同。思考题二：入侵检测的原理是什么？常用的入侵检测技术有哪两种？使用不同检测方法的入侵检测系统主要会在哪个模块上有差异？思考题三： Snort 最为突出的优势在于它的灵活、高效的软件结构，它使用了多维的规那么链表对规那么进展管理。参考相关资料，分析Snort 源码并总结其高层框架。9 / 9