《四章入侵检测技术》由会员分享,可在线阅读,更多相关《四章入侵检测技术(52页珍藏版)》请在金锄头文库上搜索。
1、第四章第四章第四章第四章 入侵检测技术入侵检测技术入侵检测技术入侵检测技术栈特抓壬疥篷鬃私住枷颂查瞳戴傻嘉吗藕膛映枣袖皇您路干洲酝跟因浙檄四章入侵检测技术四章入侵检测技术第四章 入侵检测技术本章要点本章要点vv入侵检测的原理入侵检测的原理入侵检测的原理入侵检测的原理vv入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术vv入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用弘雌魁泊殃掇炊邱咬橙染恤卡孔存撇左秩坞鸣敷矾贰斯箍腐伏塌椎谆峭椽四章入侵检测技术四章入侵检测技术第四章 入侵检测技术4.1入侵检测系统概述入侵检测系统概述4.
2、2入侵检测的监视技术入侵检测的监视技术4.3入侵检测的分析技术入侵检测的分析技术4.4IDS的体系结构的体系结构4.5使用使用Snort搭建搭建NIDS4.6IPS简介简介本章内容本章内容本章内容本章内容4.7IDS的发展趋势的发展趋势4.8实验实验娄凯橙琴船汽闪禄券虑棒捻咋茶牛旱轴悍蹦窑寿拣阐疡米宏鼓抵咆罚卷勃四章入侵检测技术四章入侵检测技术4.1 入侵检测系统概述IDS的产生被动安全防御技术的不足: 防火墙:防火墙:80%以上的攻以上的攻击来源于组织内部;串联的击来源于组织内部;串联的工作方式使其无法进行复杂工作方式使其无法进行复杂的检测的检测 安全访问控制:黑客可安全访问控制:黑客可以通
3、过身份窃取、利用系统以通过身份窃取、利用系统漏洞等手段绕开安全访问控漏洞等手段绕开安全访问控制机制制机制 入侵检测技术的产生: 作为一种积极主动的安作为一种积极主动的安全防护技术,对各种被动防全防护技术,对各种被动防护技术起到了极其有益的补护技术起到了极其有益的补充充 它从计算机网络或计算它从计算机网络或计算机系统中的若干关键点处收机系统中的若干关键点处收集信息,并对其分析,从中集信息,并对其分析,从中发现网络或系统中是否有违发现网络或系统中是否有违反安全策略的行为或被攻击反安全策略的行为或被攻击的迹象的迹象 衣谤扯苟磺纹沁忘勾机挝肿柒颂佛损诺揍拄胃剑蔑儒罪业袭努侥咳颗砰笔四章入侵检测技术四章
4、入侵检测技术事件产生器事件分析器响应单元事件数据库 CIDF体系结构图体系结构图 事件产生器事件产生器:负责从入侵检测系统负责从入侵检测系统外的计算环境中获得事件。外的计算环境中获得事件。事件分析器事件分析器:对事件进行分析,判对事件进行分析,判断其是否属于攻击。断其是否属于攻击。响应单元响应单元:在发现攻击时作出响应:在发现攻击时作出响应,包括终止进程、重置连接、修改防包括终止进程、重置连接、修改防火墙规则等。火墙规则等。事件数据库事件数据库:用于存放中间数据或:用于存放中间数据或最终数据。它既可以是数据库,也最终数据。它既可以是数据库,也可以是简单的文本文件。可以是简单的文本文件。4.1
5、入侵检测系统概述IDS的系统结构迹硒惫专顷钨徐曰俯雏厅吏树雌淡朵冗肺阉赋瀑的疥眷瞥邑荔嚼闰韩蹲仗四章入侵检测技术四章入侵检测技术4.1 入侵检测系统概述IDS的分类根据监视数据的来源 基于主机的基于主机的IDS:以主机上发生的各种事情为监控对象:以主机上发生的各种事情为监控对象 基于网络的基于网络的IDS:以网络上的数据包为监控对象:以网络上的数据包为监控对象 根据检测时采用的分析技术 基于误用检测的基于误用检测的IDS:依据病毒的行为特征来检测病毒:依据病毒的行为特征来检测病毒 基于异常检测的基于异常检测的IDS:依据正常用户或程序的行为特征来检:依据正常用户或程序的行为特征来检 测病毒测病
6、毒 根据检测到入侵时采取的行动 被动被动IDS:检测到入侵时,发出警报并记录下包的信息:检测到入侵时,发出警报并记录下包的信息 主动主动IDS:不但给出警报,还会对恶意行为作出响应:不但给出警报,还会对恶意行为作出响应 亡颐刷袄粒孺篆诛天塞灿既淤接呐套抓淬役革杆绦馁扛略随订坎人莽宋靴四章入侵检测技术四章入侵检测技术4.2 入侵检测的监控技术信息收集是入侵检测的第一步,而入侵检测监控技术解信息收集是入侵检测的第一步,而入侵检测监控技术解决了决了“从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据”这一问题。这一问题。 三类监控技术:三类监控技术:vv 基于主机的监控基于主机的监控基于主
7、机的监控基于主机的监控vv 基于网络的监控基于网络的监控基于网络的监控基于网络的监控vv 混合型监控混合型监控混合型监控混合型监控雏疯搽陡限肚支朴祟湘捷敦磐德菌滚芦费姜厚汐只巷但伺擒哲耸献肛熟羽四章入侵检测技术四章入侵检测技术4.2.1 基于主机的监控(1)基于主机的入侵检测系统(基于主机的入侵检测系统(host-based IDS,HIDS) 用来保用来保护单台主机,负责监视系统内发生的各种活动,并在可疑事护单台主机,负责监视系统内发生的各种活动,并在可疑事件发生时给出警报或做出响应件发生时给出警报或做出响应 。HIDS可对系统中的多种对象进行监控,包括:可对系统中的多种对象进行监控,包括:
8、v系统日志系统日志v网络连接网络连接v文件系统文件系统 应根据主机的特点来选择最合适的产品。例如,对于一个应根据主机的特点来选择最合适的产品。例如,对于一个应根据主机的特点来选择最合适的产品。例如,对于一个应根据主机的特点来选择最合适的产品。例如,对于一个WebWeb服务器来说,更多的攻击可能来自于网络,故应在其上服务器来说,更多的攻击可能来自于网络,故应在其上服务器来说,更多的攻击可能来自于网络,故应在其上服务器来说,更多的攻击可能来自于网络,故应在其上安装有网络监控功能的安装有网络监控功能的安装有网络监控功能的安装有网络监控功能的HIDSHIDS。 趣桩热凌芋开绚启平淫褐肩捡饮藩炳枢渭洗翻
9、酮桃梅弥济岂威乏谭谚盼崎四章入侵检测技术四章入侵检测技术4.2.1 基于主机的监控(2)HIDS的优点的优点vv对分析对分析对分析对分析“ “可能的攻击行为可能的攻击行为可能的攻击行为可能的攻击行为” ”非常有用非常有用非常有用非常有用 vv能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功 vv与与与与NIDSNIDS相比,具有较低的误报率相比,具有较低的误报率相比,具有较低的误报率相比,具有较低的误报率 HIDSHIDS的缺点的缺点的缺点的缺点vv需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源vv全面部
10、署全面部署全面部署全面部署HIDSHIDS的代价较大的代价较大的代价较大的代价较大vv无法检测来自网络的攻击,存在检测盲点无法检测来自网络的攻击,存在检测盲点无法检测来自网络的攻击,存在检测盲点无法检测来自网络的攻击,存在检测盲点哑涟缓沉翠钒异酣窘暑撇哼免普可呛霹栓峡互淮汀校各足扛焰篙惦俗艘轴四章入侵检测技术四章入侵检测技术4.2.2 基于网络的监控(1)基于网络的入侵检测系统(基于网络的入侵检测系统(Network-based IDS,NIDS) 用来保护网络中的多台主机,它以网络中的数用来保护网络中的多台主机,它以网络中的数据包作为分析对象据包作为分析对象 由于需处理大量数据,由于需处理大
11、量数据,NIDS一般位于专用硬件平台上一般位于专用硬件平台上 所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式跌撒幢唬摆帕鹿宜棉芹崩领庭铡摄剧功芋兰徐旅沟蛤敷斩长樟孰妙阀够拷四章入侵检测技术四章入侵检测技术4.2.2 基于网络的监控(2)部署部署部署部署NIDSNIDS时需考虑的问题时需考虑的问题时需考虑的问题时需考虑的问题 vNIDS的部署位的部署位置?置?与网络本身的拓扑结构、管理员希望达到的与网络本身的拓扑结构、管理员希望达到的监控目的有关。监控目的有关。v如何处理交换式网络?如何处理交换式网络?使用带调试端口的交换机;使用带调试端口的交换机;使用使用Hub或或Trap。弦注掏搀
12、都颇养唤东撞惑巧女灌氢架拥捍猪颧扭碱铣芝拒窜颧谗赵弥概凰四章入侵检测技术四章入侵检测技术4.2.2 基于网络的监控(3)NIDS的优点的优点vv能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击vv采用旁路技术,不会成为系统中的瓶颈采用旁路技术,不会成为系统中的瓶颈采用旁路技术,不会成为系统中的瓶颈采用旁路技术,不会成为系统中的瓶颈vv系统容易部署系统容易部署系统容易部署系统容易部署vv操作系统无关性操作系统无关性操作系统无关性操作系统无关性 NIDSNIDS的缺点的缺点的缺点的缺点vv在交换式网络环境下需添加额外的硬件设施在交换式网络环境下需添加额外的硬
13、件设施在交换式网络环境下需添加额外的硬件设施在交换式网络环境下需添加额外的硬件设施vv网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限 vv不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境 vv对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应 左泌狮搅啮使歧衫烦贱青帮德呵渐旬婉疡搪考昏点理静辕竣忱揖暂戮续八四章入侵检测技术四章入侵检测技术4.2.3 混合型监控混合型混合型IDS的基本特点的基本特点v结合了结合了HIDS和和NIDS的特点,既可以发现网的
14、特点,既可以发现网络中的攻击行为,又可以从系统日志中发现络中的攻击行为,又可以从系统日志中发现异常情况异常情况v一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构残你噪阮孝曙沤览拽谋暑睬耙乍缨侣袜述晦韩胖抚剩钨巩肩琉卸联膛延真四章入侵检测技术四章入侵检测技术4.3 入侵检测的分析技术在完成信息收集后,接下来要进行的工作就是对这些信在完成信息收集后,接下来要进行的工作就是对这些信息进行分析,看其中是否包含了可疑的攻击行为。息进行分析,看其中是否包含了可疑的攻击行为。 入侵检测分析技术主要分成两类:入侵检测分析技术主要分成两类:vv误用检测误用检测误用检测误用检测:收集已有的
15、入侵技术并建立知识库,通过匹配:收集已有的入侵技术并建立知识库,通过匹配:收集已有的入侵技术并建立知识库,通过匹配:收集已有的入侵技术并建立知识库,通过匹配查找来判断当前行为是否为入侵。查找来判断当前行为是否为入侵。查找来判断当前行为是否为入侵。查找来判断当前行为是否为入侵。 vv异常检测异常检测异常检测异常检测:系统管理员首先为网络通信流量、分组典型大:系统管理员首先为网络通信流量、分组典型大:系统管理员首先为网络通信流量、分组典型大:系统管理员首先为网络通信流量、分组典型大小等指标定义一个基线,或者说定义一个正常状态值。小等指标定义一个基线,或者说定义一个正常状态值。小等指标定义一个基线,
16、或者说定义一个正常状态值。小等指标定义一个基线,或者说定义一个正常状态值。然后将待检测对象的状态与正常状态值进行比较,如果然后将待检测对象的状态与正常状态值进行比较,如果然后将待检测对象的状态与正常状态值进行比较,如果然后将待检测对象的状态与正常状态值进行比较,如果超出正常值,则认为出现了攻击事件。超出正常值,则认为出现了攻击事件。超出正常值,则认为出现了攻击事件。超出正常值,则认为出现了攻击事件。 沤瞅恃绷吓扫叁忘瘟焰武怎胰鲁阵湖商拿挣珍贷芝稿人惧尚顺纂砍椎拆丽四章入侵检测技术四章入侵检测技术4.3.1 误用检测(1)模式匹配模式匹配vv检测原理:将数据包的内容与代表某种恶意事件或流量检测原
17、理:将数据包的内容与代表某种恶意事件或流量检测原理:将数据包的内容与代表某种恶意事件或流量检测原理:将数据包的内容与代表某种恶意事件或流量的特征串进行逐字节地比较的特征串进行逐字节地比较的特征串进行逐字节地比较的特征串进行逐字节地比较 vv优点:分析速度快,误报率低优点:分析速度快,误报率低优点:分析速度快,误报率低优点:分析速度快,误报率低 vv缺点:计算量大,尤其是模式库规模较大的情况下;只缺点:计算量大,尤其是模式库规模较大的情况下;只缺点:计算量大,尤其是模式库规模较大的情况下;只缺点:计算量大,尤其是模式库规模较大的情况下;只能检测给定类型的攻击,对稍微变形的攻击特征就束手能检测给定
18、类型的攻击,对稍微变形的攻击特征就束手能检测给定类型的攻击,对稍微变形的攻击特征就束手能检测给定类型的攻击,对稍微变形的攻击特征就束手无策无策无策无策 铁滓惫啸肖夏您儿猪帜乐伊胜混靴间即兼么乙舜雪畅痪招秆镁庐齿轧帧歌四章入侵检测技术四章入侵检测技术4.3.1 误用检测(2)专家系统专家系统vv检测原理:根据安全专家对可疑行为的分析经验来形成一检测原理:根据安全专家对可疑行为的分析经验来形成一检测原理:根据安全专家对可疑行为的分析经验来形成一检测原理:根据安全专家对可疑行为的分析经验来形成一套推理规则,然后再在此基础之上构建相应的专家系统。套推理规则,然后再在此基础之上构建相应的专家系统。套推理
19、规则,然后再在此基础之上构建相应的专家系统。套推理规则,然后再在此基础之上构建相应的专家系统。安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成“if-then”“if-then”格式。其中,每条规则格式。其中,每条规则格式。其中,每条规则格式。其中,每条规则的的的的if if部分代表某个入侵特征,部分代表某个入侵特征,部分代表某个入侵特征,部分代表某个入侵特征,thenthen部分为系统的响应措施。部分为系统的响应措施。部分为系统的响应措施。部分为系统的响应措施。当当当当if if条件满足时即判断为入侵行为,并做出响应。条件满足时即判断为入侵行为,并做出
20、响应。条件满足时即判断为入侵行为,并做出响应。条件满足时即判断为入侵行为,并做出响应。窜涟媚瘪凯伸误水孝训硅际绵足糟使匹宰皇贮岁粗撇承鸟坤安事健穗炕轴四章入侵检测技术四章入侵检测技术4.3.1 误用检测(3)状态转移分析状态转移分析vv检测原理:将状态转换图应用于入侵行为的分析。检测原理:将状态转换图应用于入侵行为的分析。检测原理:将状态转换图应用于入侵行为的分析。检测原理:将状态转换图应用于入侵行为的分析。分析时首先针对每一种入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定
21、系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被侵状态,以及导致状态转换的转换条件,即导致系统进入被侵状态,以及导致状态转换的转换条件,即导致系统进入被侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每一个状态和特征事件。这样,一个入侵行为就被描绘成一系列导状态和特征事件。这样,一个入侵行为就被描绘成一系列导状态和特征事件。这样,一个入侵行为就被描绘成一系列导状态和特
22、征事件。这样,一个入侵行为就被描绘成一系列导致目标系统从初始状态转换到被入侵状态的特征操作,及一致目标系统从初始状态转换到被入侵状态的特征操作,及一致目标系统从初始状态转换到被入侵状态的特征操作,及一致目标系统从初始状态转换到被入侵状态的特征操作,及一系列系统状态转换过程。系列系统状态转换过程。系列系统状态转换过程。系列系统状态转换过程。 誉膏蓝盆季浩贡狙瘟咙烧农妒耳莱仙跋盾颁园形孙裳酸胎饲锻量颅柠沧姜四章入侵检测技术四章入侵检测技术4.3.2 异常检测(1)统计方法统计方法统计方法统计方法vv检测原理:首先,检测器为系统对象创建一个统计描述,检测原理:首先,检测器为系统对象创建一个统计描述,
23、检测原理:首先,检测器为系统对象创建一个统计描述,检测原理:首先,检测器为系统对象创建一个统计描述,统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围之外时,则认为出现了攻击事件。之外时,则认为出现了攻击事件。之外时,则认为出现了攻击事件。之外时,则认为出现了攻击事件。 vv细分为细分为细分为细分为基于阀值基于阀值基于阀值基于阀值和和和和基于轮廓基于轮廓基于轮廓基于轮廓的检测技术的检测技术的检测技术的检测技术 基于阀值:统计事件在一定时间内发生频
24、率,当其发生基于阀值:统计事件在一定时间内发生频率,当其发生频率超出正常值时,则认为出现了攻击事件。频率超出正常值时,则认为出现了攻击事件。基于轮廓:对用户过去的行为特征进行刻画,然后检查基于轮廓:对用户过去的行为特征进行刻画,然后检查当前活动与这些特征(若干参数)间的差异,该方法以当前活动与这些特征(若干参数)间的差异,该方法以分析审计日志为基础分析审计日志为基础 。通簿汕络帐舜烷拐忘铱鸯羹伪曙俭漆爪劲饼视菜匹煞烤苛哈鄂曾舀仆乌璃四章入侵检测技术四章入侵检测技术4.3.2 异常检测(2)人工免疫人工免疫人工免疫人工免疫vv检测原理:模仿生物有机体的免疫系统工作机制,使得受保护检测原理:模仿生
25、物有机体的免疫系统工作机制,使得受保护检测原理:模仿生物有机体的免疫系统工作机制,使得受保护检测原理:模仿生物有机体的免疫系统工作机制,使得受保护的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中相关对象的对应关系:相关对象的对应关系:相关对象的对应关系:相关对象的对应关系:计算机免疫系统生物有机
26、体自 体合法的应用程序、正常的网络行合法的应用程序、正常的网络行为等为等自体细胞自体细胞非 自 体计算机病毒、网络入侵等计算机病毒、网络入侵等抗原抗原通过自体耐受得到的检测器入侵检测器入侵检测器抗体抗体棚挎颁忙梁懂俞螺屯鼓拿河诧遏幅扯底茧代漱栖遵冀麻梭肛禁前岂瞬炮椅四章入侵检测技术四章入侵检测技术4.4 IDS的体系结构集中式体系结构(1)集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组成。监控代理分布在各关键节点上,负责收集本地审成。监控代理分布在各关键节点
27、上,负责收集本地审成。监控代理分布在各关键节点上,负责收集本地审成。监控代理分布在各关键节点上,负责收集本地审计数据,并将其转换成与操作系统无关的格式,然后计数据,并将其转换成与操作系统无关的格式,然后计数据,并将其转换成与操作系统无关的格式,然后计数据,并将其转换成与操作系统无关的格式,然后送往中心站统一进行分析。送往中心站统一进行分析。送往中心站统一进行分析。送往中心站统一进行分析。 旅广蜘颐瘪乃舒蛹峭攻慧耗空夯伪乔焉床漳迫爪桩实特磁各蝉匡瘩脚炎闰四章入侵检测技术四章入侵检测技术4.4 IDS的体系结构集中式体系结构(2)优点:优点:优点:优点:vv不会给被监控系统的性能带来影响不会给被监
28、控系统的性能带来影响不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响vv更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策 vv由于中心站比被监视主机具有更高和更加严格的安全措施,由于中心站比被监视主机具有更高和更加严格的安全措施,由于中心站比被监视主机具有更高和更加严格的安全措施,由于中心站比被监视主机具有更高和更加严格的安全措施,从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现vv集中式的策略管理还可大大简化安全管理工作,提高安全对集中式的策略管理还可大
29、大简化安全管理工作,提高安全对集中式的策略管理还可大大简化安全管理工作,提高安全对集中式的策略管理还可大大简化安全管理工作,提高安全对策应用的有效性和一致性策应用的有效性和一致性策应用的有效性和一致性策应用的有效性和一致性 婪镇鹰缸砌斩唆秀剑她抠纂厘嚏余羹宫以踊杠贰常送熙闲很吊马邯掳教梭四章入侵检测技术四章入侵检测技术4.4 IDS的体系结构集中式体系结构(3)缺点:缺点:缺点:缺点:vv中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重vv存在单点失效。一旦中心站失败,则将导致检测功
30、能的丧失存在单点失效。一旦中心站失败,则将导致检测功能的丧失存在单点失效。一旦中心站失败,则将导致检测功能的丧失存在单点失效。一旦中心站失败,则将导致检测功能的丧失 vv单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求猾鹊摄镜皂捕色摊疫赌洲绝惫博帛侨颅以俏智饼胺野浮蛋疟赖盂吾纺珊惰四章入侵检测技术四章入侵检测技术4.4 IDS的体系结构分布式体系结构在分布式体系结构中,数据采集及数据分析都是分布在分布式体系结构中,数据采集及数据分析都是分布在分布式体系
31、结构中,数据采集及数据分析都是分布在分布式体系结构中,数据采集及数据分析都是分布完成的完成的完成的完成的 细分为细分为细分为细分为层次式层次式层次式层次式和和和和协同式协同式协同式协同式两种两种两种两种vv层次式:树型的分层体系。叶结点负责信息收集,中间结点层次式:树型的分层体系。叶结点负责信息收集,中间结点层次式:树型的分层体系。叶结点负责信息收集,中间结点层次式:树型的分层体系。叶结点负责信息收集,中间结点承上启下,根节点进行全局的关联分析及判断。承上启下,根节点进行全局的关联分析及判断。承上启下,根节点进行全局的关联分析及判断。承上启下,根节点进行全局的关联分析及判断。vv协同式:没有中
32、心节点,多个互相平等的检测节点在网络中协同式:没有中心节点,多个互相平等的检测节点在网络中协同式:没有中心节点,多个互相平等的检测节点在网络中协同式:没有中心节点,多个互相平等的检测节点在网络中分别进行数据收集及数据分析,并且协同处理大规模的入侵分别进行数据收集及数据分析,并且协同处理大规模的入侵分别进行数据收集及数据分析,并且协同处理大规模的入侵分别进行数据收集及数据分析,并且协同处理大规模的入侵行为。行为。行为。行为。 管舷贡坡惕君诗丑抱阵惹岸垢霄甲翔蟹暗夸嘻炔罗姻州染秸蓟淀仍湖枯伯四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDSSnort简介(1)SnortSnort简
33、介简介简介简介vv开源软件,除了用作入侵检测系统,还可以用开源软件,除了用作入侵检测系统,还可以用开源软件,除了用作入侵检测系统,还可以用开源软件,除了用作入侵检测系统,还可以用作嗅探器和包记录器。作嗅探器和包记录器。作嗅探器和包记录器。作嗅探器和包记录器。vv基于基于基于基于libpcaplibpcap的轻量级网络入侵检测系统的轻量级网络入侵检测系统的轻量级网络入侵检测系统的轻量级网络入侵检测系统vv可支持多种操作系统平台:可支持多种操作系统平台:可支持多种操作系统平台:可支持多种操作系统平台:WindowsWindows、 Linux Linux、 SolarisSolaris、FreeB
34、SDFreeBSD等等等等渍肚绸每箭荷致究寒件沟劣炒秋妈躯淳驶驼歧小豪颁液辐谭涧予递剪恨以四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDSSnort简介(2)解码器:解码器:负责从网络接口上获取数据包。负责从网络接口上获取数据包。 检测引擎:检测引擎:该子系统是该子系统是Snort工作在入侵检测模式下的核心部分,工作在入侵检测模式下的核心部分,它使用基于规则匹配的方式来检测每个数据包。一旦发现数据它使用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特征符合某个规则定义,则触发相应的处理操作。包的特征符合某个规则定义,则触发相应的处理操作。日志警报子系统:日志警报子系统:
35、规则中定义了数据包的处理方式,包括规则中定义了数据包的处理方式,包括alter(报警)、(报警)、log(记录)和(记录)和pass(忽略)等,但具体的(忽略)等,但具体的alter和和log操作则是由日志操作则是由日志/警报子系统完成的。日志子系统将解码得警报子系统完成的。日志子系统将解码得到的信息以到的信息以ASCII码的格式或以码的格式或以tcpdump的格式记录下来,报警的格式记录下来,报警子系统将报警信息发送到子系统将报警信息发送到syslog、socket或数据库中。或数据库中。 预处理器:预处理器:可选部件,用于提供除规则匹配外的检测机制。可选部件,用于提供除规则匹配外的检测机制
36、。 输出插件:输出插件:可选部件。用来格式化警报信息。使得管理员可以可选部件。用来格式化警报信息。使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。按照公司环境来配置容易理解、使用和查看的报警和日志方法。 解码器预处理器检测引擎输出插件日志/警报子系统SnortSnort的组成结构的组成结构的组成结构的组成结构谰驾栓倾钦犯肢哪嚼视绷搔瘤氮罐茂点浙赖仟舰砷虞希殆砒翱摩烁搁障蛮四章入侵检测技术四章入侵检测技术 4.5 使用Snort搭建NIDSSnort简介(3)SnortSnort入侵检测流程入侵检测流程入侵检测流程入侵检测流程vvSnortSnort利用利用利用利用libp
37、caplibpcap进行抓包;进行抓包;进行抓包;进行抓包;vv由解码器将捕获的数据包信息填入包结构体,并将其送到各式由解码器将捕获的数据包信息填入包结构体,并将其送到各式由解码器将捕获的数据包信息填入包结构体,并将其送到各式由解码器将捕获的数据包信息填入包结构体,并将其送到各式各样的预处理器中;各样的预处理器中;各样的预处理器中;各样的预处理器中;vv对于那些用于检测入侵的预处理器来说,一旦发现入侵行为,对于那些用于检测入侵的预处理器来说,一旦发现入侵行为,对于那些用于检测入侵的预处理器来说,一旦发现入侵行为,对于那些用于检测入侵的预处理器来说,一旦发现入侵行为,将直接调用输出插件或者日志将
38、直接调用输出插件或者日志将直接调用输出插件或者日志将直接调用输出插件或者日志/ /警报子系统进行输出;警报子系统进行输出;警报子系统进行输出;警报子系统进行输出;vv对于那些用于包重组和协议解码的预处理器来说,它们会将处对于那些用于包重组和协议解码的预处理器来说,它们会将处对于那些用于包重组和协议解码的预处理器来说,它们会将处对于那些用于包重组和协议解码的预处理器来说,它们会将处理后的信息送往检测引擎;理后的信息送往检测引擎;理后的信息送往检测引擎;理后的信息送往检测引擎;vv检测引擎对数据包的特征及内容进行检查,一旦检测到与已知检测引擎对数据包的特征及内容进行检查,一旦检测到与已知检测引擎对
39、数据包的特征及内容进行检查,一旦检测到与已知检测引擎对数据包的特征及内容进行检查,一旦检测到与已知规则匹配的数据包,或者利用输出插件进行输出,或者利用日规则匹配的数据包,或者利用输出插件进行输出,或者利用日规则匹配的数据包,或者利用输出插件进行输出,或者利用日规则匹配的数据包,或者利用输出插件进行输出,或者利用日志志志志/ /警报子系统进行报警和记录。警报子系统进行报警和记录。警报子系统进行报警和记录。警报子系统进行报警和记录。 尝锤讽赚驼罚恬蛾传准凑俄蛤隘绊娥陪梭旁呀秩肥低绢成曙陌醒壹本项跌四章入侵检测技术四章入侵检测技术 4.5 Snort的使用嗅探模式嗅探模式嗅探模式嗅探模式: # /u
40、sr/local/snort/bin/snort vde# /usr/local/snort/bin/snort vde# /usr/local/snort/bin/snort vde# /usr/local/snort/bin/snort vde包记录模式:包记录模式:包记录模式:包记录模式:#./snort -dev -l /var/log/snort #./snort -dev -l /var/log/snort #./snort -dev -l /var/log/snort #./snort -dev -l /var/log/snort #./snort -dev -r /var/lo
41、g/snort/snort.log.1168819360 icmp #./snort -dev -r /var/log/snort/snort.log.1168819360 icmp #./snort -dev -r /var/log/snort/snort.log.1168819360 icmp #./snort -dev -r /var/log/snort/snort.log.1168819360 icmp 入侵检测模式入侵检测模式入侵检测模式入侵检测模式 #./snort -dev -l /var/log/snort -c /path/to/snort.conf#./snort -dev
42、 -l /var/log/snort -c /path/to/snort.conf#./snort -dev -l /var/log/snort -c /path/to/snort.conf#./snort -dev -l /var/log/snort -c /path/to/snort.conf #./snort -d -h 192.168.0.0/24 -l /var/log/snort -c #./snort -d -h 192.168.0.0/24 -l /var/log/snort -c #./snort -d -h 192.168.0.0/24 -l /var/log/snort
43、-c #./snort -d -h 192.168.0.0/24 -l /var/log/snort -c /path/to/snort.conf/path/to/snort.conf/path/to/snort.conf/path/to/snort.conf 琴圆弃劝菌威化翌舶煌掣久铲验教精馋堡橇袄泵法矫洱量划绕拙乖篡达婿四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDSSnort的安装与配置仅安装仅安装仅安装仅安装SnortSnortvv捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进
44、制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件中,用户在审计阶段不得不面对大量的日志和警报信息中,用户在审计阶段不得不面对大量的日志和警报信息中,用户在审计阶段不得不面对大量的日志和警报信息中,用户在审计阶段不得不面对大量的日志和警报信息 与其它软件配合使用与其它软件配合使用与其它软件配合使用与其它软件配合使用vv允许用户把捕获到的入侵检测数据保存到数据库中,以及使允许用户把捕获到的入侵检测数据保存到数据库中,以及使允许用户把捕获到的入侵检测数据保存到数据库中,以及使允许用户把捕获到的入侵检测数据保存到数据库中,以及使用工具软件来对入侵检测数据进行分析用工具软件来对入侵
45、检测数据进行分析用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进行分析 vv可配合使用的软件包括:可配合使用的软件包括:可配合使用的软件包括:可配合使用的软件包括:MySQLMySQL、ApacheApache、PHPPHP、ACIDACID、GDGD函数库、函数库、函数库、函数库、PHPLOTPHPLOT和和和和ADODBADODB缆谩都怪亨解裤隋某仓毒脚颖胺靡沫桓遍桌孰珐骑鞋弹染匈握唯豹袋箕叉四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(1)Snort的规则在逻辑上可分为的规则在逻辑上可分为规则头规则头和和规则体规则体vv规规规规则头定义了
46、基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数据包的协议类型、源据包的协议类型、源据包的协议类型、源据包的协议类型、源/ /目的端口和源目的端口和源目的端口和源目的端口和源/ /目的目的目的目的IPIP,同时,同时,同时,同时还定义了出现匹配情况时将要采取的动作。还定义了出现匹配情况时将要采取的动作。还定义了出现匹配情况时将要采取的动作。还定义了出现匹配情况时将要采取的动作。vv规则体作为一个可选部分,通常定义了额外的检测规则体作为一个可选部分,通常定义了额外的检测规则体作为一个可选
47、部分,通常定义了额外的检测规则体作为一个可选部分,通常定义了额外的检测条件和警报信息。条件和警报信息。条件和警报信息。条件和警报信息。alter tcp any any - 192.168.1.0/24 22 (msg: “ssh access”;)alter tcp any any - 192.168.1.0/24 22 (msg: “ssh access”;) 规则头规则头规则头规则头规则体规则体规则体规则体洞拉述桶暮咖臀歧彬刹条惧蔓汪贯牟帮寿獭勉戚诚枫接琶杖爵昂燕抒恶诊四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(2)规则头的组成规则头的组成规则头的组
48、成规则头的组成规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口规则示例规则示例规则示例规则示例alter tcp any any - 192.168.1.0/24 111(content:”|00 01 86 alter tcp any any - 192.168.1.0/24 111(content:”|00 01 86 a5|”; msg:”mounted access”;) a5|”; msg:”mounted access”;) 辣售惶讥峙薯囱产觅霜嘻机慕晚瞄乔赘慌泣拓蕴拎仟水怂锹穗撂鱼袋托拼四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建
49、NIDS编写自己的规则(3)规则头规则头规则头规则头 规则行为规则行为规则行为规则行为规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口v五种预定义规则五种预定义规则log 记录当前数据包的信息记录当前数据包的信息alter 产生一个警报,同时记录该数据包的信息产生一个警报,同时记录该数据包的信息pass 忽略当前数据包忽略当前数据包activate 产生一个警报,并启动相关的产生一个警报,并启动相关的dynamic规则规则dynamic 这类规则在通常情况下保持空闲状态,直到相关的这类规则在通常情况下保持空闲状态,直到相关的activate规则将它激活为止。
50、激活之后,其工作方式与规则将它激活为止。激活之后,其工作方式与log相同相同vv自定义规则类型自定义规则类型自定义规则类型自定义规则类型使用输出插件来输出检测结果:使用输出插件来输出检测结果:尾摈邀堡亏权畜崎瘸抉为协信违介配谈妄嗜讨锦彼圾蔓呆雏猫侈诀词羹速四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(4)规则头规则头规则头规则头 协议协议协议协议规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口v当前开源版的当前开源版的Snort支持支持4种协议种协议TCP、UDP、ICMP、IPv每条规则只能指定一种协议每条规则只能指定一
51、种协议瞎叙灌垦药方刨咳蓉耽范痛蓄灭溢移佣泳活浴钵觅钱栈结井吭爸刨鼻吩涩四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(5)规则头规则头规则头规则头 IP IP地址地址地址地址规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口v不支持域名解析不支持域名解析v使用使用“普通普通IP地址地址”来表达某单一的地址。如:来表达某单一的地址。如:192.168.0.176v使用使用“无类别域间路由地址无类别域间路由地址”来表达某个范围内的来表达某个范围内的IP地址。如:地址。如:192.168.0.0/24代表代表192.168.0.0网
52、段的所有网段的所有IP地址地址v使用使用“ ” 来表达多个、不连续的来表达多个、不连续的IP地址。如地址。如192.168.0.1, 192.168.0.2表示表示192.168.0.1和和192.168.0.2两个两个IP地址地址v使用使用“!”来表示除后述地址外的其它所有地址。如:来表示除后述地址外的其它所有地址。如:!192.168.0.0/24表示除表示除192.168.0.0/24外的所有外的所有IP v使用使用“any”通配符代表所有通配符代表所有IP地址地址闺澜苔惦爽脂铜揉拥谋裤傲妇厢邢研烂眷蛙坪普鹿囚衅卓柠蓖桃惜城核撞四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建N
53、IDS编写自己的规则(6)规则头规则头规则头规则头 端口端口端口端口规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口v单个端口。如:单个端口。如:80v以冒号分隔的一个端口范围。三种格式:以冒号分隔的一个端口范围。三种格式:1:1024 1到到1024之间的所有端口之间的所有端口 :6000 1到到6000之间的端口之间的端口 500: 500到到65535之间的端口之间的端口 v“惊叹号惊叹号”来表示除后述端口外的其它端口。如:来表示除后述端口外的其它端口。如:!8080v“any”通配符表示所有端口通配符表示所有端口凰棠戊止识娠硅慰呐怂烛满娠边暖蔼坪之飞
54、刹抗柬洋虎艰贼斡溉卒网霞绦四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(7)规则头规则头规则头规则头 方向操作符方向操作符方向操作符方向操作符规则行为规则行为协议协议IP地址地址端口端口方向操作符方向操作符IP地址地址端口端口v规则中的方向操作符用来告诉规则中的方向操作符用来告诉Snort应如何理解规则应如何理解规则 vSnort支持两种方向操作符,支持两种方向操作符,“- ”和和“”“-”左边的源,右边是目的左边的源,右边是目的“”表示不需要区分哪边是源,哪边是目的表示不需要区分哪边是源,哪边是目的挂狐馅掸拖蹭妻撮脾娟公剑庇渡蹄廓澎蔷冉糕娠倒滦依墅捐争韩贩
55、展裸兢四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(8)规则体规则体规则体规则体vv什么是规则体什么是规则体什么是规则体什么是规则体用来检测复杂的攻击用来检测复杂的攻击包含了一个或多个规则选项;多个规则选项之间的关系为逻辑包含了一个或多个规则选项;多个规则选项之间的关系为逻辑与,即只有在所有选项定义的条件都为真的条件下,才执行规与,即只有在所有选项定义的条件都为真的条件下,才执行规则头中定义的行为则头中定义的行为vv规则体的语法规则体的语法规则体的语法规则体的语法 关键字关键字关键字关键字: :参数值参数值参数值参数值 例如:例如:content:” |E8
56、C0FFFFFF|/bin”其中,括号内的部分为可选的,即不是所有的选项都有对应的其中,括号内的部分为可选的,即不是所有的选项都有对应的参数值。例如:参数值。例如:nocase爵局抵创秒鸟裁殷针账素观定孺己玖飞撑启言象裸频恰驳那哺躁淑捆置哟四章入侵检测技术四章入侵检测技术4.5 使用Snort搭建NIDS编写自己的规则(9)规则示例:规则示例:规则示例:规则示例: activateactivateactivateactivate tcp tcp !$LOCAL_NET !$LOCAL_NET any any - - $LOCAL_NET $LOCAL_NET 143 143 (flags: (
57、flags: PA; PA; content: content: “|E8C0FFFFFF|/bin”; “|E8C0FFFFFF|/bin”; activates: 1; msg: “IMAP buffer overflow”;)activates: 1; msg: “IMAP buffer overflow”;)dynamic dynamic tcp !$LOCAL_NET any - $LOCAL_NET 143 tcp !$LOCAL_NET any - $LOCAL_NET 143 (activated_by: 1; count: 50;) (activated_by: 1; cou
58、nt: 50;) 融彰错广碟龄不便务舰洞眠凿希蛊勾呕娩领亿池总趾蝴那腋渺推垂缕暗面四章入侵检测技术四章入侵检测技术4.6 IPS系统(1)IPSIPS的提出的提出的提出的提出将将IDS与防火墙的功能集中在一起,形成一种新的产品:入侵防与防火墙的功能集中在一起,形成一种新的产品:入侵防御系统(御系统(Intrusion Prevention System,IPS),有时又称入侵检),有时又称入侵检测和防御系统(测和防御系统(Intrusion Detection and Prevention,IDP) IDSIDSIDSIDS在以下方面存在着不足:在以下方面存在着不足:在以下方面存在着不足:在以
59、下方面存在着不足: 较高的误警率;较高的误警率;较高的误警率;较高的误警率;系统的管理和维护比较难;系统的管理和维护比较难;系统的管理和维护比较难;系统的管理和维护比较难;当当当当IDSIDSIDSIDS遭遭遭遭受拒绝服务攻击时,它的失效开放机制使得黑客可以实施攻受拒绝服务攻击时,它的失效开放机制使得黑客可以实施攻受拒绝服务攻击时,它的失效开放机制使得黑客可以实施攻受拒绝服务攻击时,它的失效开放机制使得黑客可以实施攻击而不被发现;击而不被发现;击而不被发现;击而不被发现;无攻击防护。无攻击防护。无攻击防护。无攻击防护。竹支羊较唯黑洛忠冰节存躲细坯净棍佬翔谰胖纲酞搜碑贵毗案敬朔蛔既次四章入侵检测
60、技术四章入侵检测技术4.6 IPS系统(2)IPSIPS概述概述概述概述vvIPSIPS提供了主动防护,它会预先对入侵活动和攻击性网络流提供了主动防护,它会预先对入侵活动和攻击性网络流提供了主动防护,它会预先对入侵活动和攻击性网络流提供了主动防护,它会预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而对于量进行拦截,避免其造成损失,而对于量进行拦截,避免其造成损失,而对于量进行拦截,避免其造成损失,而对于IDSIDS来说,它是在恶来说,它是在恶来说,它是在恶来说,它是在恶意流量传送时或传送后才发出警报。意流量传送时或传送后才发出警报。意流量传送时或传送后才发出警报。意流量传送时或传送后
61、才发出警报。 vv它的部署情况如下图所示:它的部署情况如下图所示:它的部署情况如下图所示:它的部署情况如下图所示:IPS采用串接的工作方式,通常部署在防火墙之后,对通过防火墙的数据包进行进一步检查过滤。 蚜幅粘村黎恳哀盎钙宋头员地嘲丙红路沽吉弗晤欠茵汾羹决蛙挖愧欣贷耸四章入侵检测技术四章入侵检测技术4.6 IPS系统(3)IPSIPS的使用的使用的使用的使用vvIPSIPS作为一种新技术仍然存在着很多不足:作为一种新技术仍然存在着很多不足:作为一种新技术仍然存在着很多不足:作为一种新技术仍然存在着很多不足:1.1.1.1.它的串联工作方式会影响网络性能和可靠性。它的串联工作方式会影响网络性能和
62、可靠性。它的串联工作方式会影响网络性能和可靠性。它的串联工作方式会影响网络性能和可靠性。2.2.2.2.对于对于对于对于IPSIPSIPSIPS采用失效开放还是失效关闭存在争议:如果采用失效开放还是失效关闭存在争议:如果采用失效开放还是失效关闭存在争议:如果采用失效开放还是失效关闭存在争议:如果IPSIPSIPSIPS停止运停止运停止运停止运转后线路仍畅通,则相当于没有任何防御效果。如果停止运转转后线路仍畅通,则相当于没有任何防御效果。如果停止运转转后线路仍畅通,则相当于没有任何防御效果。如果停止运转转后线路仍畅通,则相当于没有任何防御效果。如果停止运转后网络断开,企业网络就与外部网路完全切断
63、,相当于后网络断开,企业网络就与外部网路完全切断,相当于后网络断开,企业网络就与外部网路完全切断,相当于后网络断开,企业网络就与外部网路完全切断,相当于IPSIPSIPSIPS自自自自己产生了拒绝服务攻击。己产生了拒绝服务攻击。己产生了拒绝服务攻击。己产生了拒绝服务攻击。3.3.3.3.同同同同IDSIDSIDSIDS一样,一样,一样,一样,IPSIPSIPSIPS在检测效果、报警处理机制、特征库优化等方在检测效果、报警处理机制、特征库优化等方在检测效果、报警处理机制、特征库优化等方在检测效果、报警处理机制、特征库优化等方面还有待提高。面还有待提高。面还有待提高。面还有待提高。 vv因此,在实
64、际应用中,通常是将因此,在实际应用中,通常是将因此,在实际应用中,通常是将因此,在实际应用中,通常是将IPSIPS、IDSIDS和防火墙配合起来和防火墙配合起来和防火墙配合起来和防火墙配合起来使用使用使用使用 。呢碴朽肢奋枉舌蓟刻榨橇诧密站惑造蛋秃锨显备瞳燥足艘辙拜询诺徊洼薪四章入侵检测技术四章入侵检测技术4.7 IDS的发展趋势(1)分布式入侵检测 传统的入侵检测局限于单一的主机或网络,对传统的入侵检测局限于单一的主机或网络,对传统的入侵检测局限于单一的主机或网络,对传统的入侵检测局限于单一的主机或网络,对异构系统和大型网络显得力不从心。由于在异构和大型网络的异构系统和大型网络显得力不从心。
65、由于在异构和大型网络的异构系统和大型网络显得力不从心。由于在异构和大型网络的异构系统和大型网络显得力不从心。由于在异构和大型网络的情况下,系统的复杂度大大增加,模型建立十分困难,系统资情况下,系统的复杂度大大增加,模型建立十分困难,系统资情况下,系统的复杂度大大增加,模型建立十分困难,系统资情况下,系统的复杂度大大增加,模型建立十分困难,系统资源消耗大,因此可以用分布式系统来协同工作。源消耗大,因此可以用分布式系统来协同工作。源消耗大,因此可以用分布式系统来协同工作。源消耗大,因此可以用分布式系统来协同工作。通用入侵检测技术 传统的方法各有所长,但彼此不能协同工作,传统的方法各有所长,但彼此不
66、能协同工作,传统的方法各有所长,但彼此不能协同工作,传统的方法各有所长,但彼此不能协同工作,需要研究通用的入侵检测技术。需要研究通用的入侵检测技术。需要研究通用的入侵检测技术。需要研究通用的入侵检测技术。应用层入侵检测 许多入侵活动的含义只有在应用层才能理解。许多入侵活动的含义只有在应用层才能理解。许多入侵活动的含义只有在应用层才能理解。许多入侵活动的含义只有在应用层才能理解。但传统方法很少涉及到应用层,使得一些应用系统内的入侵活但传统方法很少涉及到应用层,使得一些应用系统内的入侵活但传统方法很少涉及到应用层,使得一些应用系统内的入侵活但传统方法很少涉及到应用层,使得一些应用系统内的入侵活动难
67、以检测,所以需要开发应用层的入侵检测技术。动难以检测,所以需要开发应用层的入侵检测技术。动难以检测,所以需要开发应用层的入侵检测技术。动难以检测,所以需要开发应用层的入侵检测技术。嫉蚊提戳釜萎娥呢辜泣硒亥铰裴页度狂泄贸悄檄这昔初谅笺枕帜珍懊瞪垄四章入侵检测技术四章入侵检测技术4.7 IDS的发展趋势(2)智能入侵检测 入侵方法逐渐趋于综合化和多样化,传统方入侵方法逐渐趋于综合化和多样化,传统方入侵方法逐渐趋于综合化和多样化,传统方入侵方法逐渐趋于综合化和多样化,传统方法对此效果甚微。需要研究智能化的入侵检测技术,使系统法对此效果甚微。需要研究智能化的入侵检测技术,使系统法对此效果甚微。需要研究
68、智能化的入侵检测技术,使系统法对此效果甚微。需要研究智能化的入侵检测技术,使系统能够自动适应新的入侵活动,完善系统模型,提高检测的效能够自动适应新的入侵活动,完善系统模型,提高检测的效能够自动适应新的入侵活动,完善系统模型,提高检测的效能够自动适应新的入侵活动,完善系统模型,提高检测的效率和准确性。率和准确性。率和准确性。率和准确性。入侵检测的评测方法 已有许多入侵检测系统在使用中,但已有许多入侵检测系统在使用中,但已有许多入侵检测系统在使用中,但已有许多入侵检测系统在使用中,但究竟效果如何,还缺乏全面的评价方法。需要建立评价系统究竟效果如何,还缺乏全面的评价方法。需要建立评价系统究竟效果如何
69、,还缺乏全面的评价方法。需要建立评价系统究竟效果如何,还缺乏全面的评价方法。需要建立评价系统来对此进行评价,同时可以对进一步的开发工作提供方向。来对此进行评价,同时可以对进一步的开发工作提供方向。来对此进行评价,同时可以对进一步的开发工作提供方向。来对此进行评价,同时可以对进一步的开发工作提供方向。综合性检测系统 与其它的网络安全技术(包括硬件技术)与其它的网络安全技术(包括硬件技术)与其它的网络安全技术(包括硬件技术)与其它的网络安全技术(包括硬件技术)相结合,形成综合的检测系统,解决传统方法检测对象单一、相结合,形成综合的检测系统,解决传统方法检测对象单一、相结合,形成综合的检测系统,解决
70、传统方法检测对象单一、相结合,形成综合的检测系统,解决传统方法检测对象单一、检测攻击形式简单等问题。检测攻击形式简单等问题。检测攻击形式简单等问题。检测攻击形式简单等问题。樟渭备矗坛汾自惶惠貉铀弥由奸兜沽树腿搓颖夯扮嚷棵林诚氟迪页镭绽蚁四章入侵检测技术四章入侵检测技术4.8实验:编写编写snortsnort规则规则实验目的实验目的实验目的实验目的实验内容实验内容实验内容实验内容实验步骤实验步骤实验步骤实验步骤实验过程演示实验过程演示实验过程演示实验过程演示思考题思考题思考题思考题辐谆窟烹蟹羊柯哥科妇托硬篆腹合六涡膛集竣救汐靛系声携涝梧膘几梁啪四章入侵检测技术四章入侵检测技术4.8.1 实验目的
71、掌握掌握Snort的安装和配置的安装和配置 掌握规则的编写方式掌握规则的编写方式掌握掌握Snort的使用方法的使用方法萧丑娠炼俺纸涕哺尽瓤私哦亭叫循譬油椒肾旗闹荡撬只艇邮实晌掘蒂螟荔四章入侵检测技术四章入侵检测技术4.8.2 实验内容搭建搭建Snort环境环境编写检查编写检查telnet登陆失败的规则登陆失败的规则 模拟模拟telnet登陆失败,确认登陆失败,确认Snort是否检测是否检测到该操作到该操作沈婪另人领鞋犊山播舞弓吝佯予吸甲逗清板养滤梆佬剑癸氖遁上凌抠择颂四章入侵检测技术四章入侵检测技术4.8.3 实验步骤(0)实验环境说明实验环境说明本本实实验验需需用用到到两两台台主主机机:一一
72、台台IP为为192.168.0.179的的Linux主主机机,其其上上安安装装了了telent服服务务器器;一一台台Windows XP主主机机,用用作作telnet客户端,其客户端,其IP为为192.168.0.176。 眺贤榨摸伺傲鳃辙什辱展舷钾妥促衅辽魁蚕修柄棕上抛惠恼宝舅祷读槛缨四章入侵检测技术四章入侵检测技术4.8.3 实验步骤(1)1.在在telnet服务器端安装并配置服务器端安装并配置Snort2.明确自定义规则的存放位置明确自定义规则的存放位置 3.在在snort.conf文件中定义以下变量文件中定义以下变量 4. 4.在在在在local.ruleslocal.rules文件中
73、加入如下文件中加入如下文件中加入如下文件中加入如下规则规则规则规则 alter tcp $TELNET_SERVER 23 - $TELNET_CLIENT any ( msg:haha, I got a bad one; content:Login incorrect; nocase; flow:from_server,established; classtype:bad-unknown; sid:777; rev:1;)var TELNET_SERVER 192.168.0.179var TELNET_CLIENT !192.168.0.253姆拄亡毫革缄地毫尿镍榴酪嫂还礁百嫌蒋剖焕票箍今
74、撅氓肠芥拜焉恨取做四章入侵检测技术四章入侵检测技术4.8.3 实验步骤(2)5.启动启动Snort 6. 6.模拟登陆失败场景模拟登陆失败场景模拟登陆失败场景模拟登陆失败场景 /usr/local/snort/bin/snort -c /usr/local/snort/etc/snort.conf -l /var/log/snort/usr/local/snort/bin/snort -c /usr/local/snort/etc/snort.conf -l /var/log/snort 点击点击“开始开始”-“运行运行”,输入,输入“telnet 192.168.0.179”连接连接teln
75、et服务器;服务器; 连接成功后,服务器会提示输入用户名和密码。此时,输入正确的用户名连接成功后,服务器会提示输入用户名和密码。此时,输入正确的用户名和错误的密码。之后,会看到屏幕上会和错误的密码。之后,会看到屏幕上会“Login incorrect”的提示。的提示。 雁柏躬惜遣竞醛逢趟谓儿氦陪江奋淘泛蜜殃桥孩卯炬版雇寨光恤咙苍无御四章入侵检测技术四章入侵检测技术4.8.3 实验步骤(2)7.转转入入日日志志文文件件目目录录/var/log/snort,检检查查报报警警文文件件和和日日志志文文件,确认件,确认Snort已检测到此操作。已检测到此操作。图1:alter文件中的报警信息图2:日志文
76、件中的包信息帚侦节颠峙宦徒宙耳恒煎筑译溶臃厂悄羌阮桶瞻乾霉凭蝉茂杏倍往沼把襄四章入侵检测技术四章入侵检测技术检测检测检测检测telnettelnettelnettelnet登陆失败事件登陆失败事件登陆失败事件登陆失败事件telnet服务器IP:192.168.0.179编写自定义编写自定义的的Snort规则规则telnet客户端IP:192.168.0.1764.8.4 实验过程演示模拟模拟telnet登陆失败登陆失败查看日志文件,查看日志文件,确认确认SnortSnort已检已检测到该事件测到该事件骂沉戎争夷碑卢赎速鱼酥嘉沦夫胎荣涤擞蔬颠毗或蔬量己冶伟乎馁誉咖疙四章入侵检测技术四章入侵检测技
77、术4.8.5 思考题在在规规则则很很多多的的情情况况下下,Snort会会生生成成大大量量的的日日志志信信息息和和报报警警信信息息,思思考考一一下下如如何何有有效效地地保保存存和和查查看这些信息。看这些信息。提示提示:通过使用通过使用mysql和和ACID等工具,搭建一套等工具,搭建一套完整的完整的Snort,从而对,从而对Snort产生的各种信息进行产生的各种信息进行有效地管理。有效地管理。问镑连担露垛皇鸯娥剖匪腰魂哎檄和瓮吹市颖碉逃籽颧熄延年染趣赊揣估四章入侵检测技术四章入侵检测技术本章小结入侵检测技术产生背景和工作方式入侵检测技术产生背景和工作方式入侵检测系统涉及到的三个关键技术入侵检测系统涉及到的三个关键技术监控技术监控技术分析技术分析技术系统的体系结构系统的体系结构Snort的使用方式的使用方式耕时槐处骗圭崔似凯介湃注埂裂铣姐为斩窖抓腐铅往芽刨蕴蠢齐综蘸拓好四章入侵检测技术四章入侵检测技术
