Snort-tool-for-Intrusion-Detection.rar_入侵检测_Word for Word

<html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta charset="utf-8"> <meta name="generator" content="pdf2htmlEX"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <link rel="stylesheet" href="https://static.pudn.com/base/css/base.min.css"> <link rel="stylesheet" href="https://static.pudn.com/base/css/fancy.min.css"> <link rel="stylesheet" href="https://static.pudn.com/prod/directory_preview_static/627a718e5981aa38ef357110/raw.css"> <script src="https://static.pudn.com/base/js/compatibility.min.js"></script> <script src="https://static.pudn.com/base/js/pdf2htmlEX.min.js"></script> <script> try{ pdf2htmlEX.defaultViewer = new pdf2htmlEX.Viewer({}); }catch(e){} </script> <title></title> </head> <body> <div id="sidebar" style="display: none"> <div id="outline"> </div> </div> <div id="pf1" class="pf w0 h0" data-page-no="1"><div class="pc pc1 w0 h0"><img class="bi x0 y0 w1 h1" alt="" src="https://static.pudn.com/prod/directory_preview_static/627a718e5981aa38ef357110/bg1.jpg"><div class="c x0 y1 w2 h2"><div class="t m0 x1 h3 y2 ff1 fs0 fc0 sc0 ls0 ws0">浅谈入侵检测工具 Snort</div><div class="t m0 x2 h4 y3 ff1 fs1 fc0 sc1 ls0 ws0">王能会（20091308005）</div><div class="t m0 x3 h4 y4 ff1 fs1 fc0 sc1 ls0 ws0">刘 习（20091308010）</div><div class="t m0 x4 h4 y5 ff3 fs1 fc0 sc1 ls0 ws0">(2009 级计算机科学与技术（1）班)</div><div class="t m0 x5 h4 y6 ff3 fs1 fc0 sc1 ls0 ws0">(计算机与软件学院 南京信息工程大学)</div><div class="t m0 x6 h4 y7 ff1 fs1 fc0 sc0 ls0 ws0">摘要:入侵检测系统(IntrusionDetectionSystem, IDS),是信息安全体系结构的重要组成部分。</div><div class="t m0 x6 h4 y8 ff1 fs1 fc0 sc1 ls0 ws0">简要介绍了入侵检测系统的概况、功能、分类和原理。Snort 是一个开源的入侵检测系统。</div><div class="t m0 x6 h4 y9 ff1 fs1 fc0 sc1 ls0 ws0">从系统特点、结构、流程等方面对 Snort 做了较为全面的探讨。基于以上原理介绍，通过</div><div class="t m0 x6 h4 ya ff1 fs1 fc0 sc1 ls0 ws0">在 windows 环境下配置 snort 进行简单的实验，然后编写简易的 snort 规则来测试其基本性</div><div class="t m0 x6 h4 yb ff1 fs1 fc0 sc1 ls0 ws0">能，来直观感性地展现 snort 的工作过程和初步应用。</div><div class="t m0 x6 h4 yc ff1 fs1 fc0 sc0 ls0 ws0">关键词：Snort；入侵检测；信息安全</div><div class="t m0 x7 h5 yd ff3 fs2 fc0 sc1 ls0 ws0">A probe into Snort, tool for Intrusion Detection</div><div class="t m0 x8 h6 ye ff3 fs1 fc0 sc1 ls0 ws0">Nenghui Wang(20091308005)</div><div class="t m0 x9 h6 yf ff3 fs1 fc0 sc1 ls0 ws0">Xi Liu(20091308010)</div><div class="t m0 xa h6 y10 ff3 fs1 fc0 sc1 ls0 ws0">(Computer Science and Technology Grade 2009 Class 1 )</div><div class="t m0 xb h6 y11 ff3 fs1 fc0 sc1 ls0 ws0">(Computer and Software College, Nanjing University of Information and Technology)</div><div class="t m0 x6 h6 y12 ff2 fs1 fc0 sc1 ls0 ws0">Abstract:Intrusion detection system (IDS) is the key component of the architecture of </div><div class="t m0 x6 h6 y13 ff3 fs1 fc0 sc1 ls0 ws0">information security. The summary, functions, classification and principle of intrusion detection </div><div class="t m0 x6 h6 y14 ff3 fs1 fc0 sc1 ls0 ws0">system are discussed. Snort is an instrusion detection system in the field of open source software. </div><div class="t m0 x6 h6 y15 ff3 fs1 fc0 sc1 ls0 ws0">A detailed dissection to snort in the aspect of characteristics, structure, procedure is provided. </div><div class="t m0 x6 h6 y16 ff3 fs1 fc0 sc1 ls0 ws0">Based on the principle provided above, configuration of snort under the windows OS </div><div class="t m0 x6 h6 y17 ff3 fs1 fc0 sc1 ls0 ws0">environment, a simple experiment and making up some rules for snort will help check out </div><div class="t m0 x6 h6 y18 ff3 fs1 fc0 sc1 ls0 ws0">fundamental functions of snort, meanwhile showing the working process and primary application </div><div class="t m0 x6 h6 y19 ff3 fs1 fc0 sc1 ls0 ws0">intuitively. </div><div class="t m0 x6 h6 y1a ff2 fs1 fc0 sc1 ls0 ws0">Keywords: Snort ; Intrusiondetection; Informationsecurity</div><div class="t m0 x6 h7 y1b ff2 fs3 fc0 sc1 ls0 ws0">1 引言</div><div class="t m0 xc h4 y1c ff1 fs1 fc0 sc1 ls0 ws0">互联网络的蓬勃发展给人们的工作生活带来极大的便利。然而，随着现代化网络应用</div><div class="t m0 x6 h4 y1d ff1 fs1 fc0 sc1 ls0 ws0">的普及，伴随而来的网络不安全因素也给网络信息安全带来了严峻挑战，传统的网络安全</div><div class="t m0 x6 h4 y1e ff1 fs1 fc0 sc1 ls0 ws0">技术已经很难对付这些日益严重的安全威胁，所以我们就有必要去开发专门的工具去避免</div><div class="t m0 x6 h4 y1f ff1 fs1 fc0 sc1 ls0 ws0">这些不安全因素的攻击，而入侵检测技术便可以作为一种很重要的技术为我们所用。</div><div class="t m0 xc h4 y20 ff1 fs1 fc0 sc1 ls0 ws0">入侵检测系统，作为信息安全体系结构的重要组成部分,是网络安全领域中一个较新的</div><div class="t m0 x6 h4 y21 ff1 fs1 fc0 sc1 ls0 ws0">课题，本小组通过实践深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统工具</div><div class="t m0 x6 h4 y22 ff3 fs1 fc0 sc1 ls0 ws0">snort 的配置和使用。具体内容要求如下：</div><div class="t m0 xc h4 y23 ff1 fs1 fc0 sc1 ls0 ws0">理解入侵检测的作用和原理</div><div class="t m0 xc h4 y24 ff1 fs1 fc0 sc1 ls0 ws0">理解误用检测和异常检测的区别</div><div class="t m0 xc h4 y25 ff1 fs1 fc0 sc1 ls0 ws0">掌握 Snort 的安装、配置和使用等实用技术</div><div class="t m0 x6 h7 y26 ff2 fs3 fc0 sc1 ls0 ws0">2 入侵检测概述</div><div class="t m0 xc h4 y27 ff2 fs1 fc0 sc1 ls0 ws0">2.1 入侵检测概念及其功能</div><div class="t m0 xc h4 y28 ff1 fs1 fc0 sc1 ls0 ws0">入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中</div><div class="t m0 xd h8 y29 ff3 fs4 fc0 sc1 ls0 ws0">1</div></div></div><div class="pi" data-data='{"ctm":[1.611850,0.000000,0.000000,1.611850,0.000000,0.000000]}'></div></div> </body> </html>

<div id="pf2" class="pf w0 h0" data-page-no="2"><div class="pc pc2 w0 h0"><img class="bi x0 y0 w1 h1" alt="" src="https://static.pudn.com/prod/directory_preview_static/627a718e5981aa38ef357110/bg2.jpg"><div class="c x0 y1 w2 h2"><div class="t m0 x6 h4 y2a ff1 fs1 fc0 sc1 ls0 ws0">的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行</div><div class="t m0 x6 h4 y2b ff1 fs1 fc0 sc1 ls0 ws0">为和被攻击的迹象。入侵检测系统(Intrusion Detection System, IDS)是完成入侵检测功能的</div><div class="t m0 x6 h4 y2c ff1 fs1 fc0 sc1 ls0 ws0">软件和硬件的集合。</div><div class="t m0 xc h4 y3 ff1 fs1 fc0 sc1 ls0 ws0">入侵检测的功能主要体现在以下几个方面：</div><div class="t m0 xc h4 y4 ff1 fs1 fc0 sc1 ls0 ws0">监视并分析用户和系统的活动；</div><div class="t m0 xc h4 y5 ff1 fs1 fc0 sc1 ls0 ws0">核查系统配置和漏洞；</div><div class="t m0 xc h4 y6 ff1 fs1 fc0 sc1 ls0 ws0">识别已知的攻击行为并报警；</div><div class="t m0 xc h4 y7 ff1 fs1 fc0 sc1 ls0 ws0">统计分析异常行为；</div><div class="t m0 xc h4 y8 ff1 fs1 fc0 sc1 ls0 ws0">评估系统关键资源和数据文件的完整性；</div><div class="t m0 xc h4 y9 ff4 fs1 fc0 sc1 ls0 ws0">操作系统的审计跟踪管理，并识别违反安全策略的用户行为。</div><div class="t m0 xc h4 y2d ff2 fs1 fc0 sc1 ls0 ws0">2.2 入侵检测的分类</div><div class="t m0 xc h4 yc ff4 fs1 fc0 sc1 ls0 ws0">根据 IDS 检测对象和工作方式的不同，可以将 IDS 分为基于网络的 IDS(简称 NIDS)和</div><div class="t m0 x6 h4 y2e ff1 fs1 fc0 sc1 ls0 ws0">基于主机的 IDS(简称 HIDS)。NIDS 和 HIDS 互为补充，两者的结合使用使得 IDS 有了更强</div><div class="t m0 x6 h4 y2f ff1 fs1 fc0 sc1 ls0 ws0">的检测能力。</div><div class="t m0 xc h4 y30 ff3 fs1 fc0 sc1 ls0 ws0">1）基于主机的入侵检测系统。</div><div class="t m0 xc h4 y31 ff3 fs1 fc0 sc1 ls0 ws0">HIDS 历史最久，最早用于审计用户的活动，比如用户登录、命令操作、应用程序使用</div><div class="t m0 x6 h4 y32 ff1 fs1 fc0 sc1 ls0 ws0">资源情况等。HIDS 主要使用主机的审计记录和日志文件作为输入，某些 HIDS 也会主动与</div><div class="t m0 x6 h4 y33 ff1 fs1 fc0 sc1 ls0 ws0">主机系统进行交互以获得不存在于系统日志的信息。 HIDS 所收集的信息集中在系统调用</div><div class="t m0 x6 h4 y34 ff1 fs1 fc0 sc1 ls0 ws0">和应用层审计上，试图从日志寻找滥用和入侵事件的线索。HIDS 用于保护单台主机不受网</div><div class="t m0 x6 h4 y35 ff1 fs1 fc0 sc1 ls0 ws0">络攻击行为的侵害，需要安装在保护的主机上。</div><div class="t m0 xc h4 y36 ff3 fs1 fc0 sc1 ls0 ws0">2）基于网络的入侵检测系统。</div><div class="t m0 xc h4 y37 ff3 fs1 fc0 sc1 ls0 ws0">NIDS 是在网络中的某一点被动地监听网络上传输的原始流量，并通过协议分析、特征、</div><div class="t m0 x6 h4 y38 ff1 fs1 fc0 sc1 ls0 ws0">统计分析等分析手段发现当前发生的攻击行为。NIDS 通过对流量分析提取牲模式，再与已</div><div class="t m0 x6 h4 y39 ff1 fs1 fc0 sc1 ls0 ws0">知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。</div><div class="t m0 xc h4 y3a ff2 fs1 fc0 sc1 ls0 ws0">2.3 入侵检测系统</div><div class="t m0 xc h4 y3b ff3 fs1 fc0 sc1 ls0 ws0">1）入侵检测系统的特点</div><div class="t m0 xc h4 y3c ff1 fs1 fc0 sc1 ls0 ws0">入侵检测系统(Intrusion Detection System)是对防火墙有益的补充，它对网络和主机行</div><div class="t m0 x6 h4 y3d ff1 fs1 fc0 sc1 ls0 ws0">为进行检测，提供对内部攻击、外部攻击和误操作的实时监控，增强了网络的安全性。</div><div class="t m0 xc h4 y1c ff1 fs1 fc0 sc1 ls0 ws0">在安全防范方面，入侵检测系统可以实现事前警告、事中防护和事后取证。入侵检测</div><div class="t m0 x6 h4 y1d ff1 fs1 fc0 sc1 ls0 ws0">系统能够在入侵攻击行为对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报</div><div class="t m0 x6 h4 y1e ff1 fs1 fc0 sc1 ls0 ws0">警；入侵攻击发生时，入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护；</div><div class="t m0 x6 h4 y1f ff1 fs1 fc0 sc1 ls0 ws0">被入侵攻击后，入侵检测系统可以提供详细的攻击信息日志，便于取证分析。</div><div class="t m0 xc h4 y20 ff4 fs1 fc0 sc1 ls0 ws0">相对于防火墙提供的静态防护而言，入侵检测系统侧重于提供动态实时检测防护，因</div><div class="t m0 x6 h4 y21 ff4 fs1 fc0 sc1 ls0 ws0">此防火墙和入侵检测系统的结合，能够给网络带来更全面的防护。</div><div class="t m0 xc h4 y22 ff3 fs1 fc0 sc1 ls0 ws0">2）入侵检测系统的实现原理</div><div class="t m0 xc h4 y23 ff1 fs1 fc0 sc1 ls0 ws0">入侵检测系统的实现技术可以简单地分为两大类：基于特征的检测和基于异常的检测。</div><div class="t m0 xc h4 y24 ff1 fs1 fc0 sc1 ls0 ws0">基于特征的检测技术主要包括模式匹配和协议分析两种主要检测方法。模式匹配就是</div><div class="t m0 x6 h4 y25 ff4 fs1 fc0 sc1 ls0 ws0">将已知入侵事件悼念到网络入侵和系统误用知识库中，对入侵检测系统悼念的信息和知识</div><div class="t m0 x6 h4 y3e ff4 fs1 fc0 sc1 ls0 ws0">库中的规则进行比较，以发现入侵行为。协议分析技术则对数据包进行协议解析后进行分</div><div class="t m0 x6 h4 y3f ff1 fs1 fc0 sc1 ls0 ws0">析。这种技术需要首先捕捉数据包，然后对数据包进行解析，包括网络协议分析和命令解</div><div class="t m0 x6 h4 y40 ff1 fs1 fc0 sc1 ls0 ws0">析，即使在高负载的调整网络上，也能逐个分析所有的数据包。</div><div class="t m0 xc h4 y28 ff1 fs1 fc0 sc1 ls0 ws0">基于异常的检测技术只需收集相关的数据，和所维护的知识库规则比较就能进行判断，</div><div class="t m0 xd h8 y29 ff3 fs4 fc0 sc1 ls0 ws0">2</div></div></div><div class="pi" data-data='{"ctm":[1.611850,0.000000,0.000000,1.611850,0.000000,0.000000]}'></div></div>

<div id="pf3" class="pf w0 h0" data-page-no="3"><div class="pc pc3 w0 h0"><img class="bi x0 y0 w1 h1" alt="" src="https://static.pudn.com/prod/directory_preview_static/627a718e5981aa38ef357110/bg3.jpg"><div class="c x0 y1 w2 h2"><div class="t m0 x6 h4 y2a ff1 fs1 fc0 sc1 ls0 ws0">检测准确率和效率较高。但是，该技术需要不断进行知识库规则的升级以对付不断出现的</div><div class="t m0 x6 h4 y2b ff1 fs1 fc0 sc1 ls0 ws0">新攻击手法，而且，它不能检测未知攻击手段。</div><div class="t m0 xc h4 y2c ff3 fs1 fc0 sc1 ls0 ws0">3）入侵检测系统的部署原则</div><div class="t m0 xc h4 y3 ff3 fs1 fc0 sc1 ls0 ws0">NIDS 总的来说包括探测器和控制台两大部分。探测器是专用的硬件设备，负责网络数</div><div class="t m0 x6 h4 y4 ff1 fs1 fc0 sc1 ls0 ws0">据流的捕获、分析检测和报警等功能。控制台是管理探测器的工具，它负责接收探测器的</div><div class="t m0 x6 h4 y5 ff1 fs1 fc0 sc1 ls0 ws0">检测日志数据，并提供数据查询和报告生成等功能，一个控制台可以管理多个探测器。</div><div class="t m0 xc h4 y6 ff3 fs1 fc0 sc1 ls0 ws0">HIDS 安装在被保护的机器上，在主机系统的审计日志或操作中查找信息源进行智能分</div><div class="t m0 x6 h4 y7 ff1 fs1 fc0 sc1 ls0 ws0">析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于 HIDS 安</div><div class="t m0 x6 h4 y8 ff1 fs1 fc0 sc1 ls0 ws0">装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS 对主机系统固有的日志</div><div class="t m0 x6 h4 y9 ff1 fs1 fc0 sc1 ls0 ws0">与监视能力有很高的依赖性，它一般针对其所在的系统进行检测。</div><div class="t m0 x6 h7 y41 ff2 fs3 fc0 sc1 ls0 ws0">3 Snort 简介及原理</div><div class="t m0 xc h4 yb ff3 fs1 fc0 sc1 ls0 ws0">Snort 是一个用 C 语言编写的符合 GPL(GNU General Public License)规范的开放源码软</div><div class="t m0 x6 h4 yc ff1 fs1 fc0 sc1 ls0 ws0">件，因其具有小巧灵便、易于配置、检测效率高等特性，常被称为轻量级的 IDS。Snort 是</div><div class="t m0 x6 h4 y2e ff1 fs1 fc0 sc1 ls0 ws0">一个跨平台、轻量级的网络入侵检测工具。</div><div class="t m0 xe h4 y2f ff1 fs1 fc0 sc1 ls0 ws0">从入侵检测的分类上看, Snort 应当属于基于网络的误用检测。Snort 采用基于规则的网</div><div class="t m0 x6 h4 y30 ff1 fs1 fc0 sc1 ls0 ws0">络信息搜索机制，对数据包进行内容的模式匹配， 从中发现入侵和探测行为， 例如:buffer </div><div class="t m0 x6 h4 y31 ff3 fs1 fc0 sc1 ls0 ws0">overflows、stealth port scans、Cgi attacks、SMB probes 等。Snort 的实时报警信息可以发往</div><div class="t m0 x6 h4 y32 ff3 fs1 fc0 sc1 ls0 ws0">syslog、SMB、WinPopupMessage 或单独的 alert 文件。Snort 可以通过命令行进行交互， 并</div><div class="t m0 x6 h4 y33 ff1 fs1 fc0 sc1 ls0 ws0">对可选的 BPF 命令进行配置。</div><div class="t m0 xe h4 y34 ff3 fs1 fc0 sc1 ls0 ws0">1）Snort 的特点</div><div class="t m0 xe h4 y35 ff1 fs1 fc0 sc1 ls0 ws0">检测机制上， 它不具有基于规则的误用检测方法，还有基于异常的检测方法由第三方</div><div class="t m0 xe h4 y36 ff4 fs1 fc0 sc1 ls0 ws0">提供；</div><div class="t m0 xe h4 y37 ff5 fs1 fc0 sc1 ls0 ws0">② 从体系结构上，充分考虑了可扩展性要求，大量使用了插件机制；</div><div class="t m0 xe h4 y38 ff5 fs1 fc0 sc1 ls0 ws0">③ 从功能模块上，各个模块功能清晰，相对独立；</div><div class="t m0 xe h4 y39 ff5 fs1 fc0 sc1 ls0 ws0">④ 具有良好的编码风格。</div><div class="t m0 xc h4 y42 ff3 fs1 fc0 sc1 ls0 ws0">Snort 具有实时数据流量分析和 IP 数据包日志分析能力，具有跨平台特征，能够进行</div><div class="t m0 x6 h4 y43 ff4 fs1 fc0 sc1 ls0 ws0">协议分析和对内容的搜索或匹配。Snort 能够检测不同的攻击行为，如缓冲区溢出、端口扫</div><div class="t m0 x6 h4 y3b ff4 fs1 fc0 sc1 ls0 ws0">描和拒绝服务攻击等，并进行实时报警。</div><div class="t m0 xc h4 y3c ff3 fs1 fc0 sc1 ls0 ws0">Snort 可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的</div><div class="t m0 x6 h4 y3d ff1 fs1 fc0 sc1 ls0 ws0">行动。Snort 有 3 种工作模式，即嗅探器、数据包记录器和 NIDS。嗅探器模式仅从网络上</div><div class="t m0 x6 h4 y1c ff4 fs1 fc0 sc1 ls0 ws0">读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬</div><div class="t m0 x6 h4 y1d ff4 fs1 fc0 sc1 ls0 ws0">盘上，以备分析之用；NIDS 模式功能强大，可以通过配置实现。</div><div class="t m0 xc h4 y1e ff3 fs1 fc0 sc1 ls0 ws0">2）Snort 的结构由四大软件模块组成：</div><div class="t m0 xc h4 y1f ff1 fs1 fc0 sc1 ls0 ws0">数据包嗅探模块。负责监听网络数据包，对网络进行分析。</div><div class="t m0 xc h4 y20 ff4 fs1 fc0 sc1 ls0 ws0">预处理模块。该模块用相应的插件来检查原始数据包，从中发现原始数据的"行为"。</div><div class="t m0 xc h4 y21 ff1 fs1 fc0 sc1 ls0 ws0">检测模块。该模块是 Snort 的核心模块。当数据包从预处理器送过来后，检测引擎依</div><div class="t m0 x6 h4 y22 ff1 fs1 fc0 sc1 ls0 ws0">据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警</div><div class="t m0 x6 h4 y23 ff4 fs1 fc0 sc1 ls0 ws0">模块。</div><div class="t m0 xc h4 y24 ff1 fs1 fc0 sc1 ls0 ws0">报警/日志模块。经检测引擎检查后的 Snort 数据需要以某种方式输出。如果检测引擎</div><div class="t m0 x6 h4 y25 ff1 fs1 fc0 sc1 ls0 ws0">中的某条规则被匹配，则会触发一条报警。</div><div class="t m0 xc h4 y3e ff3 fs1 fc0 sc1 ls0 ws0">3）Snort 规则</div><div class="t m0 xc h4 y3f ff3 fs1 fc0 sc1 ls0 ws0">Snort 的每条规则逻辑上都可以分成规则头部和规则选项。规则头部包括规则行为、协</div><div class="t m0 x6 h4 y40 ff4 fs1 fc0 sc1 ls0 ws0">议、源或目的 IP 地址、子网掩码、源端口和目的端口；规则选项包含报警信息和异常包的</div><div class="t m0 x6 h4 y28 ff1 fs1 fc0 sc1 ls0 ws0">信息（特征码），基于特征码决定是否采取规则规定的行动。对于每条规则来说，规则选</div><div class="t m0 xd h8 y29 ff3 fs4 fc0 sc1 ls0 ws0">3</div></div></div><div class="pi" data-data='{"ctm":[1.611850,0.000000,0.000000,1.611850,0.000000,0.000000]}'></div></div>