入侵检测和Snort初探 .doc

《入侵检测和Snort初探 .doc》由会员分享，可在线阅读，更多相关《入侵检测和Snort初探 .doc（38页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测和Snort初探 摘要:随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。然而，传统的网络安全技术已经很难对付这些日益严重的安全威胁，所以我们就有必要去开发专门的工具去避免这些不安全因素的攻击，而入侵检测技术便可以作为一种很重要的技术为我们所用。 本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的Windows平台上的个人入侵检测系统的实现(PIDS，Personal In

2、trusion Detection System)。论文首先分析了当前网络的安全现状，介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术，通过Winpcap截取实时数据包，同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块，采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。关键词：网络安全；Snort；入侵检测； Abstract: with the rapid develop

3、ment of informatization and Internet, peoples work, study and life style is having the huge change, the efficiency is greatly improved, the greatest degree of information resources sharing. But we must see, the problem of network security following the development of informationization and the growi

4、ng bulge, if this problem is not solved, the information will hinder the development process. However, the traditional network security technology has been difficult to deal with the increasingly serious security threat, so we have the necessity to develop specialized tools to avoid the unsafe facto

5、rs of attack, and intrusion detection technology can be as one of the most important technologies for us to use. Starting from the basic theory of key technology in the detection of intrusion detection and intrusion of the thesis, the main research a personal network intrusion detection system Windo

6、ws platform based on simple (PIDS, Personal Intrusion Detection System). This paper first analyzes the current network security status, introduced the history of intrusion detection technology and key theory of current intrusion detection system. Analysis of Windows network architecture and developm

7、ent tools Winpcap packet capture and filtering. Finally, this system is designedin Winpcap environment. The system uses anomaly detection technology, through the Winpcap real time data packet interception, and extract the event information and transmit to the intrusion detection module from the inte

8、rcepted IP packet, using quantitative analysis method to analyze the information. The system shows that in the practical test for quantitative characteristics of network intrusion has better detection capabilities. keyword: snort; network security; intrusion detection; 目录第一章 研究的目的与意义11.1研究目的和意义11.2入

9、侵检测系统目前存在的问题21.2.1阻断入侵的能力低31.2.2高误报率和高漏报率31.2.3入侵检测系统的研究方向31.3入侵检测技术有几个主要发展方向:41.3.1分布式入侵检测与通用入侵检测架构41.3.2应用层入侵检测41.3.3智能的入侵检测41.3.4入侵检测的评测方法4第二章 入侵检测系统概述52.1当前网络环境52.2入侵检测系统的概述62.2.1发展历史72.2.2系统模型72.2.3网络信息安全模型与技术82.3入侵检测系统的基本结构92.3.1数据收集102.3.2系统和网络日志文件102.3.3.非正常的目录和文件改变102.3.4非正常的程序执行112.3.5网络数据

10、包112.3.6数据分析112.4入侵检测系统的分类11第三章 初探网络入侵检测系统(Snort)133.1Snort规则133.2一个简单的规则范例16第四章 网络入侵检测系统（Snort）实验174.1实验平台的搭建174.1.1实验软件：174.1.2安装步骤：174.2运行snort:26第五章 总结33第六章 致谢34第七章 参考文献35 第一章 研究的目的与意义 随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸

11、如水灾、火灾、地震、电磁辐射等方面的考验。1.1研究目的和意义 任何试图破坏网络活动的正常化都可以称为网络安全问题，过去保护网络安全的最常用、最传统的方法就是防火墙，但是防火墙只是一种被动防御性的网络安全工具，随着科学技术的不断发展，网络日趋复杂化，传统防火墙是不足以满足如今复杂多变的网络安全问题，在这种情况下，逐渐产生了入侵检测系统。入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作入侵检测系统（IDS,IntrusionDetectionS

12、ystem）可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点与防火墙不同的是，入侵检测不仅能检测外部非法入侵者的攻击和试探，同时还能发现内部合法用户的超越权限的非法行为作为一种积极主动的安全防护方式，入侵检测系统不仅是防火墙有效的补充，还可以使系统管理员实时的了解网络系统中的各种变化，并根据记录的各种监控数据（如日志文件等）做出分析，为网络安全策略的制定提供指南计算机网

13、络安全是一项系统工程，应该在整体的安全策略的控制和指导下，综合运用各种防护工具的同时，利用检测工具了解和评估系统状态，通过适当的反应将系统调整到相对最安全和风险最低的状态 入侵检测具有以下几个特点： 1）从系统的不同环节收集各种信息；2）分析收集到的信息并试图寻找入侵信息活动的特征；3）自动对检测到的行为做出响应；4）记录并报告检测结果； 入侵检测系统的主要功能有1：1）监测并分析用户和系统的活动；2）核查系统配置及其漏洞；3）评估系统重要资源和数据文件是否完整；4）识别己知的入侵行为；5）统计分析不正常行为；6）根据操作系统的管理日志，识别违反安全策略的用户活动；入侵检测技术是一种积极主动地

14、安全防护技术，其核心在于它的检测引擎，如何实现高效快速的检测，是入侵检测技术的一个重要研究重点。目前入侵检测技术主要分为两大类，分别是基于异常的入侵检测和基于规则的入侵检测。由于目前的攻击主要是针对网络的攻击，因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包，使用相应的软件来提取入侵者所发出的攻击包的特征，然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入侵报警。在与特征库进行匹配的过程中，用到的最主要的技术就是模式匹配，所以说在入侵检测系统中模式匹配是一个研究重点。 在国内，随着网络应用的日益增长，特别是那些关键部门对网络的应用使得网络

15、安全问题至关重要，迫切需要高效的入侵检测产品来确保网络安全，但是，由于我国的入侵检测技术在网络安全领域的研究起步较晚，还不够成熟和完善，需要投入较多的精力来对这方面进行探索研究，特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域，这对抑制黑客攻击和网络病毒的传播，提高网络安全具有重要意义。1.2入侵检测系统目前存在的问题 近年来,入侵检测系统得到了快速发展。国外有很多实验室和公司在从事入侵检测系统的研究和开发工作，已经完成了原形系统和产品。如思科公司的NetRanger，ISS公司的RealSecure等。国内的研究机构和从事网络安全产品的公司也进行了相关的研究开发，国内的入侵检测

16、产品比较少典型的产品有东软公司的NetEyeIDS，清华紫光的UNISIDS入侵检测系统等。但入侵检测系统在技术上还有许多问题有待解决。1.2.1阻断入侵的能力低 虽然入侵检测系统有发现入侵、阻断连接的作用。提供对内部攻击、外部攻击和误操作的实时保护。但它的工作重点是放在对入侵行为的识别。为提高网络安全，有效识别黑客入侵，必须提高阻断入侵的能力。可考虑将入侵检测系统与防火墙联合起来，配置好IDS的安全策略，指定响应对象防火墙的地址及密钥，由IDS发起与防火墙的连接，建立正常连接后，IDS产生新的安全事件通知防火墙，防火墙随之做出安全策略的相应调整，使防护体系由静态到动态，从源头上彻底切断入侵行

17、为。提升了防火墙的实时反应能力，增强了IDS的阻断能力。1.2.2高误报率和高漏报率 在高速交换网络中，入侵检测系统不能很好地检测所有的数据包。分析的准确率不高，经常产生漏报。检测规则的更新落后于攻击手段的更新。新的攻击没有相应的检测规则，经常产生误报。为降低误报率和漏报率，可考虑将网络数据报文直接传递到系统内核预先分配的地址空间中，避免CPU的参与。同时将系统内核中存储数据报文的内存映射到检测程序的应用程序空间。检测程序直接对这块内存进行访问，减少系统内核向用户空间的内存拷贝减少了系统调用的开销。为提高检测的准确度，可考虑自动获取网络的当前状态信息，根据系统状态的变化实时更新IDS的配置，使

18、IDS进行模式匹配时的规则仅与本网络当前状态相关。管理员掌握网络的情况后，将非开放端口的连接企图视为异常数据包记录到日志中同时跟踪该信息源的进一步行动。预防攻击，保护信息安全。1.2.3入侵检测系统的研究方向 入侵检测系统的体系结构应朝分布式、开放性的方向发展随着网络技术的发展新的网络攻击方式不断涌现，分布式协同攻击就是一种极具威胁性的攻击方式。攻击者通常协同成百上千的服务器攻击一台主机。其破坏性和隐蔽性越来越强。尽管网络不同的部分使用了不同的IDS，但现有的多数IDS是采用通用入侵检测体系结构的。主要针对各主机进行单独安全保护IDS之间无法交换信息，很难找到攻击的源头。容易给协作攻击者以可乘

19、之机。为此，在体系结构上必须尽快朝着分布式、协作式方向改进。加强IDS之间的互操作。1.3入侵检测技术有几个主要发展方向:1.3.1分布式入侵检测与通用入侵检测架构 传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。CIDF以构建通用的IDS体系结构与通信系统为目标,GrIDS跟踪与分析分布系统入侵,EMER-ALD实现在大规模的网络与复杂环境中的入侵检测。1.3.2应用层入侵检测 许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议

20、,而不能处理如LotusNotes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。Stillerman等人已经开始对CORBA的IDS研究。1.3.3智能的入侵检测 入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。1.3.4入侵检测的评测方法 用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS系统自身的可靠性与鲁棒性。从而设计通用的入侵检测测试与评估方法与平台,

21、实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。 第二章 入侵检测系统概述2.1当前网络环境 现今互联网环境正在发生着一系列的变化,安全问题也出现了相应的变化。主要反映在以下几个方面: ( 1)网络犯罪成为集团化、产业化的趋势。从灰鸽子病毒案例可以看出,木马从制作到最终盗取用户信息甚至财物,渐渐成为了一条产业链。 (2)无线网络、移动手机成为新的攻击区域,新的攻击重点。随着无线网络的大力推广,3G网络使用人群的增多,使用的用户群体也在不断的增加。 (3)垃圾邮件依然比较严重。虽然经过这么多年的垃圾邮件整治,垃圾邮件现象得到明显的改善,例如在美国有相应的立法来处理垃圾邮件。但

22、是在利益的驱动下,垃圾邮件仍然影响着每个人邮箱的使用。 (4)漏洞攻击的爆发时间变短。从这几年的攻击来年,不难发现漏洞攻击的时间越来越短,系统漏洞、网络漏洞、软件漏洞被攻击者发现并利用的时间间隔在不断的缩短。很多攻击者都通过这些漏洞来攻击网络。 (5)攻击方的技术水平要求越来越低。 (6)DoS攻击更加频繁。对于DoS攻击更加隐蔽,难以追踪到攻击者。大多数攻击者采用分布式的攻击方式,以及跳板攻击方法。这种攻击更具有威胁性,攻击更加难以防治。 (7)针对浏览器插件的攻击。插件的性能不是由浏览器来决定的,浏览器的漏洞升级并不能解决插件可能存在的漏洞。 (8)网站攻击,特别是网页被挂马。大多数用户在

23、打开一个熟习的网站,比如自己信任的网站,但是这个网站被告挂马,这在不经意之间木马将会安装在自己的电脑内。这是现在网站攻击的主要模式。 (9)内部用户的攻击。现今企事业单位的内部网与外部网联系的越来越紧密,来自内部用户的威胁也不断地表现出来。来自内部攻击的比例在不断上升,变成内部网络的一个防灾重点。 国外 2012年02月04日，黑客集团Anonymous公布了一份来自1月17日美国FBI和英国伦敦警察厅的工作通话录音，时长17分钟，主要内容是双方讨论如何寻找证据和逮捕Anonymous,LulzSec,Antisec,CSL Security等黑帽子黑客的方式，而其中涉及未成年黑客得敏感内容被

24、遮盖。 FBI已经确认了该通话录音得真实性，安全研究人员已经开始着手解决电话会议系统得漏洞问题。 2012年02月13日，据称一系列政府网站均遭到了Anonymous组织的攻击，而其中CIA官网周五被黑长达9小时。这一组织之前曾拦截了伦敦警察与FBI之间的一次机密电话会谈，并随后上传于网络。 国内 2010年，Google发布公告称将考虑退出中国市场，而公告中称：造成此决定的重要原因是因为Google被黑客攻击。 2011年12月21日，国内知名程序员网站CSDN遭到黑客攻击，大量用户数据库被公布在互联网上，600多万个明文的注册邮箱被迫裸奔。 2011年12月29日下午消息，继CSDN、天涯

25、社区用户数据泄露后，互联网行业一片人心惶惶，而在用户数据最为重要的电商领域，也不断传出存在漏洞、用户泄露的消息，漏洞报告平台乌云昨日发布漏洞报告称，支付宝用户大量泄露，被用于网络营销，泄露总量达1500万2500万之多，泄露时间不明，里面只有支付用户的账号，没有密码。已经被卷入的企业有京东(微博)商城、支付宝(微博)和当当(微博)网，其中京东及支付宝否认信息泄露，而当当则表示已经向当地公安报案。2.2入侵检测系统的概述入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能

26、够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。2.2.1发展历史1980年son在给一个保密客户写的一份题为计算机安全威胁监控与监视的技术报告中指出，审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann

27、研究出了一个实时入侵检测系统模型-IDES（IntrusionDetectionExpertSystems入侵检测专家系统），是第一个在一个应用中运用了统计和基于规则两种技术的系统，是入侵检测研究中最有影响的一个系统。1989年，加州大学戴维斯分校ToddHeberlein写了一篇论文ANetworkSecurityMonitor，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。2.2.2系统模型为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作

28、的有两个组织：IETF的IntrusionDetectionWorkingGroup（IDWG）和CommonIntrusionDetectionFramework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。 CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Eventgenerators），用E盒表示；事件分析器（Eventanalyzers），用A盒表示；响应单元（Responseunits），用R盒表示；事件数据库（Eventdatabases），用D盒表示2。CIDF模型的结构如

29、下：E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（generalizedIntrusiondetectionobjects，通用入侵检测对象）和CISL（commonintrusionspecificationlanguage，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。l 模型的发展 1984年-1986年，乔治敦大学的Dorothy Denning和SRI/CSL（S

30、RI公司计算机科学实验室）的Peter Neumann研究出了一种实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。 该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了一个通用的框架。 1988年，SRI/CSL的Teresa Lunt等改进了Denning的入侵检测模型，并研发出了实际的IDES。 1990年时入侵检测系统发展史上十分重要的一年。这一年，加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(Network Security Monitor)。该系统第一次直接将网络作为审计数据的来源，因而可以在不将审计数计转化成统一的格式情况下监

31、控异种主机。同时两大阵营正式形成：基于网络的IDS和基于主机的IDS。 1988年的莫里斯蠕虫事件发生后，网络安全才真正引起各方重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室，开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。 l 技术的进步 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前

32、的最高水平。我国也有多家企业通过最初的技术引进，逐渐发展成自主研发。2.2.3网络信息安全模型与技术传统的计算机安全模型主要作用于单机系统，由于网络的普遍应用和技术发展，传统的模型已不足以应对外界攻击而随着网络黑客恶意攻击技术的不断提高和更新，安全模型和技术也向更高层次发展P2DR模型就是能适应不断变化的网络环境、发现网络服务器和设备中的新漏洞、不断查明网络中存在的安全隐患等问题而提出的新的网络安全模型，如图所示该模型以安全策略为核心，通过一致的检查，流量统计，异常分析，模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，使系统从静态防护转化为动态防护。如图2-1： 图2-1 P

33、2DR模型图 传统的安全技术大致可分为静态安全技术和动态安全技术这两类，我们熟知的防火墙就是静态安全技术的代表产品，主要用于保护系统抵御外部的攻击而动态的安全技术应该是增强了主动的检测能力，在于其主动性目前采用的一些传统的安全机制主要有：数据加密技术访问控制技术认证技术数据完整性控制技术安全漏洞扫描技术防火墙技术 其中的防火墙技术是防范网络攻击最常用的方法，即在用户网络和因特网之间插入了一个中间系统，形成了一个安全屏障，将用户网络和因特网分割开虽然防火墙提供了较强的防护能力，但它仍有着局限性首先，防火墙不能阻止用户网络内部对用户网络的攻击，它只提供了网络边缘的防护；其次，防火墙不能阻止未知的恶

34、意代码的攻击，如病毒、特洛依木马等由此可看出，作为对防火墙技术的补充，入侵检测的动态防护特点足以成为实现网络安全的新的解决策略引入入侵检测技术，相当于在计算机系统中引入了一个闭环的安全策略计算机的多种安全策略，如：防火墙、身份认证、访问控制、数据加密等，通过入侵检测系统进行安全策略的反馈，从而进行及时的修正，大大提高了系统的安全性2.3入侵检测系统的基本结构 虽然目前存在诸多的入侵检测模型和入侵检测系统，但一个典型的入侵检测系统一般由数据采集、数据分析和事件响应三个部分组成。2.3.1数据收集 数据收集是入侵检测的第一步，包括收集系统、网络数据、用户活动状态和行为数据。而且需要在计算机网络系统

35、中的若干不同关键点(不同网段和不同主机)收集信息，这除了尽可能扩大了检测范围的因素外，还有一个重要的因素就是从一个数据源来的信息有可能看不出疑点，但从几个数据源来的信息的不一致性却是可疑行为或入侵的的最好标志。获得数据之后，需要对数据进行简单处理，如流数据的解码、字符编码的转换等等3。然后将处理后的数据提交给数据分析模块。 因为入侵检测很大程度上依赖于采集信息的可靠性和正确性，因此我们必须保证数据采集的正确性。因为黑客经常替换软件以搞混和移走这些信息，例如替换被程序调用的子程序、记录文件和其它工具。黑客对系统的修改可能使系统功能失常并看起来跟正常的一样。例如，Linux系统的PS指令可以被替换

36、为一个不显示侵入过程的指令，或者编辑器被替换成一个读取不同于指定文件的文件（黑客隐藏了初试文件并用另一版本代替）这需要保证用来检测网络系统的软件的完整性10，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而采集到错误的信息。2.3.2系统和网络日志文件黑客经常在系统日志文件中留下他们的踪迹，因此可以充分利用系统和网络日志文件信息。日志中包含发生在系统和网络上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活

37、动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。很显然地，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。2.3.3.非正常的目录和文件改变 网络环境中的文件系统包含很多软件和数据文件，他们经常是黑客修改或破坏的目标。目录和文件中非正常改变（包括修改、创建和删除）特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。2.3.4非正常的程序执行 网络系统上

38、的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用，例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程，以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而导致它失败，或者是以非用户或管理员意图的方式操作。2.3.5网络数据包 通过采样网络数据包，并进行相应处理，得到入侵检测信息。当获得数据之后，需要对数据进行简单的处理，如对数据流的解码、字符编码的转换等等，然后才将

39、经过处理的数据提交给数据分析模块。2.3.6数据分析 数据分析是入侵检测系统的核心部分。这个环节主要是对数据进行深入分析，根据攻击特征集发现攻击，并根据分析的结果产生响应事件，触发事件响应。数据分析的方法较多，如模式匹配、协议分析、行为分析和统计分析等。62.4入侵检测系统的分类 根据其采用的技术可以分为异常检测和特征检测。（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较

40、，判别是否符合这些模式。（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。 根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。（3）分布式入侵检测系统：目前这种技术在ISS的Re

41、alSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响7。根据工作方式分为离线检测系统与在线检测系统。 第三章 初探网络入侵检测系统(Snort) 预处理器得到原始数据包，使用不同的插件检

42、测数据包，这些插件检测数据包的某些特定行为一旦数据包被确认具有某些特定行为，就会被送到检测模块插件可以根据需要在与处理层被启用或停用，从而更具网络优化级被分配计算资源并生成报警，插件是入侵检测系统的一个非常有用的功能 检测引擎接收预处理器及其插件穿送来的数据，然后根据一系列的规则对数据进行检测如果这些规则和数据包中的数据相匹配，就将数据包传送给报警处理器 当数据通过检测引擎后，Snort会对其数据进行不同的处理如果数据和检测引擎的规则相匹配，Snort就会触发报警报警可以通过网络连接、UNIX的套接字或WindowsPopup(SMB)，甚至SNMP陷阱机制发送到日志文件也可以使用Snort的

43、一些附加工具来通过Web接口显示日志内容，包括一些perl、PHP和Web服务器的插件等日志可以存储在文本文件中报警和日志都可以记录到数据库中，如MySQL或Postgree等另外，Snort报警可以通过系统日志工具如SWATCH发送电子邮件及时通知系统管理员，是系统不需要由专人24小时监控.3.1Snort规则 Snort是一个基于特征的入侵检测系统，而Snort正是通过大量的规则集实现基于特征的入侵检测系统的功能这些规则集按照不同的类别进行分类，如木马、缓冲区溢出、访问不同的应用程序等，并进行定期的更新规则本身由两部分组成：规则头：规则头包含了规则的基本动作（记录日志或是报警）、网络数据包

44、的类型（TCP、UDP、ICMP等）、源和目的IP地址源和目的端口规则可选项：可选项中指定了数据包中规则匹配的具体内容Snort使用特定的语法来定义这些规则规则的语法涵盖了Protocol的类型、内容、长度、Protocol头及很多其他元素，类如定义缓冲区溢出规则的填充字节等 规则头定义了规则的行为（Action）、所匹配网络包的Protocol、源地址、目标地址、源端口和目标端口等信息，其作用主要是定义网络数据包分组中的报头路由特征规则头格式如下：规则行为Protocol源地址源端口方向操作符目的地址目的端口规则行为（RuleAction）规则行为指示了数据包与规则匹配时该做什么，此字段有五

45、个选项：alert、log、pass、activate、dynamic其语义如下：alert：使用设定的警告方法生成警告信息，并记录这个文log：使用设定的记录方法记录这个报文pass：忽略该报文activate：进行alert，然后激活对应的一个dynamic规则dynamic：等待被一个对应的activate规则激活，然后进行log其中activate和dynamic规则必须成对出现，已完成特定任务当某种攻击发生后需要记录两个或多个包时，activate规则激活对应的dynamic规则记录后继的若干个包Protocol字段（Protocol）：目前Snort主要支持TCP、UDP、ICMP三种Protocol，对应的值为tcp、udp和icmp方向操作符（Direction）：指示规则所适用的流量方向-表示从左端到右端的数据包，-反之，表示匹配双向流量地址和端口信息地址可以是一个主机地址或者网络地址可以用关键字any来指定所有的地址目的地址必须用CIDR表示法表示CIDR表示法如下：IP地址后面用斜线来附加一个数字，表示掩码的位数比如19216820/24代表一个C类网络19216820，其子网掩码是2552552550一些子网掩码：如果子网掩码是24位，它是一个C类网络如果子网掩码是16位，它是一个B类网络如果子网掩码是24位，它是一个A类网络表示一个主机用32位掩码8