1、入侵检测系统Intrusion Detection System(IDS)20071.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.snort分析分析7.展望展望 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作 其它其它 展望展望IDS存在与发展的必然性存在与发展的必然性一、网络攻击造成的破坏性和损失日益严重一、网络攻击造成的破坏性和损失日益严重二、网络安全威胁日益增长二、
2、网络安全威胁日益增长三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击IDS的作用为什么需要为什么需要IDSn单一防护产品的弱点单一防护产品的弱点n防御方法和防御策略的有限性防御方法和防御策略的有限性n动态多变的网络环境动态多变的网络环境n来自外部和内部的威胁来自外部和内部的威胁为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备,只能抵挡外部來的入侵行网络边界的设备,只能抵挡外部來的入侵行为为n自身存在弱点,也可能被攻破自身存在弱点,也可能被攻破n对某些攻击保护很弱对某些攻击保护很弱n即使透过防火墙的保护,合法的使用者仍会即使透过防火墙的保护,合法的使用
3、者仍会非法地使用系统,甚至提升自己的权限非法地使用系统,甚至提升自己的权限n仅能拒绝非法的连接請求,但是对于入侵者仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知的攻击行为仍一无所知为什么需要为什么需要IDSn入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误警率高,缓慢攻击,新误警率高,缓慢攻击,新的攻击模式的攻击模式Scanner完全主动
4、式安全工具,能够了完全主动式安全工具,能够了解网络现有的安全水平,简单解网络现有的安全水平,简单可操作,帮助系统管理员和安可操作,帮助系统管理员和安全服务人员解决实际问题,全服务人员解决实际问题,并不能真正了解网络上即并不能真正了解网络上即时发生的攻击时发生的攻击VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏可视为防火墙上的一个漏洞洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是
5、不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(Intrusion Detection)是对入侵行是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点的关键点收集收集信息并进行信息并进行分析分析,从中发现网络,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象入侵检测的定义n对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证击企图、攻击行为或
6、者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n入侵检测系统:进行入侵检测的软件与硬入侵检测系统:进行入侵检测的软件与硬件的组合件的组合 (IDS:Intrusion Detection System)IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件(1 1)信息收集信息收集(2 2)分析引擎分析引擎(3 3)响应部件)响应部件信息搜集信息搜集信息收集信息收集n入侵检测的第一步是信息收集,收集内容包括系统、入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为网络、数据及用户活动的状态和行为n需要在计算机
7、网络系统中的若干不同关键点(不同需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息网段和不同主机)收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点信息收集信息收集n入侵检测的效果很大程度上依赖于收集信息的入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性可靠性和正确性n要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性n特别是入侵检测系统软件本身应具有相当强的特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息坚固性,防止被篡改而收集到错误的信息 信息收集的来源信
8、息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为系统或网络的日志文件系统或网络的日志文件n攻击者常在系统日志文件中留下他们的踪迹,因此,攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件条件n日志文件中记录了各种行为类型,每种类型又包含不日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录同的信息,例如记录“用户活动用户活动”类型的日志,就包类型的日志,就包含登录、用户含登录、
9、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认证信息等内容证信息等内容n显然,对用户活动来讲,不正常的或不期望的行为就显然,对用户活动来讲,不正常的或不期望的行为就是是:重复登录失败、登录到不期望的位置以及非授权的重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等企图访问重要文件等等 系统目录和文件的异常变化系统目录和文件的异常变化n网络环境中的文件系统包含很多软件和数据文件,包网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标破坏的目标n目录和文件中的不期
10、望的改变(包括修改、创建和删目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号是一种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件迹,都会尽力去替换系统程序或修改系统日志文件 分析引擎分析引擎分析引擎分析引擎 模式匹配模式匹配 统计分析统计分析 完整性分析,往往用于事后分析完整性分
11、析,往往用于事后分析模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵和系模式匹配就是将收集到的信息与已知的网络入侵和系统误用统误用模式数据库模式数据库进行比较,从而发现违背安全策略进行比较,从而发现违背安全策略的行为的行为n一般来讲,一种攻击模式可以用一个过程(如执行一一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达目或指令),也可以很复杂(如利用正规的数学
12、表达式来表示安全状态的变化)式来表示安全状态的变化)统计分析统计分析n统计分析方法首先给系统对象(如用户、文件、目录统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)些测量属性(如访问次数、操作失败次数和延时等)n测量属性的平均值和偏差被用来与网络、系统的行为测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生有入侵发生完整性分析完整性分析n完整性分析主要完整性分析主
13、要关注某个文件或对象是否被更改关注某个文件或对象是否被更改n包括文件和目录的内容及属性包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特别有效在发现被更改的、被安装木马的应用程序方面特别有效响应部件响应部件响应动作n简单报警n切断连接n封锁用户n改变文件属性n最强烈反应:回击攻击者入侵检测系统性能关键参数入侵检测系统性能关键参数n误报误报(false positive):如果系统错误地将异如果系统错误地将异常活动定义为入侵常活动定义为入侵n漏报漏报(false negative):如果系统未能检测出如果系统未能检测出真正的入侵行为真正的入侵行为入侵检测系统的分类(入侵检测系
14、统的分类(1)n按照分析方法(检测方法)按照分析方法(检测方法)n异常检测模型异常检测模型(Anomaly Detection):首先总首先总结正常操作应该具有的特征(用户轮廓),结正常操作应该具有的特征(用户轮廓),当用当用户活动与正常行为有重大偏离时即被认为是入侵户活动与正常行为有重大偏离时即被认为是入侵 n误用检测模型误用检测模型(Misuse Detection):收集非正收集非正常操作的行为特征常操作的行为特征,建立相关的特征库,建立相关的特征库,当监测当监测的用户或系统行为与库中的记录相匹配时,系统的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵就认为这种行为是入侵
15、入侵检测系统的分类入侵检测系统的分类l网络网络IDS:n网络网络IDS(NIDS)通常以非破坏方式使用。这种通常以非破坏方式使用。这种设备能够捕获设备能够捕获LAN区域中的信息流并试着将实时信区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。息流与已知的攻击签名进行对照。两类两类IDS监测软件监测软件n网络网络IDSn侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 n主机主机IDSn视野集中视野集中 n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对网络流量不敏感对网络流量不敏感 1.概述概述2.入侵检测方法入侵检
16、测方法 入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望制订响应策略应考虑的要素制订响应策略应考虑的要素n系统用户:入侵检测系统用户可以分为网络系统用户:入侵检测系统用户可以分为网络安全专家安全专家或或管理员管理员、系统管理员、安全调查员系统管理员、安全调查员。这三类人员对系统。这三类人员对系统的使用目的、方式和熟
17、悉程度不同,必须区别对待的使用目的、方式和熟悉程度不同,必须区别对待n操作运行环境:入侵检测系统提供的信息形式依赖其运操作运行环境:入侵检测系统提供的信息形式依赖其运行环境行环境n系统目标:为用户提供关键数据和业务的系统,需要部系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制分地提供主动响应机制n规则或法令的需求:在某些军事环境里,允许采取主动规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为防御甚至攻击技术来对付入侵行为响应策略响应策略n弹出窗口报警nE-mail通知n切断TCP连接n执行自定义程序n与其他安全产品交互nFirewallnSNM
18、P Trapv压制调速压制调速 1 1、撤消连接撤消连接 2 2、回避回避 3 3、隔离隔离 vSYN/ACKSYN/ACKvRESETsRESETs自动响应自动响应一个高级的网络节点在使用一个高级的网络节点在使用“压制调速压制调速”技术的情况技术的情况下,可以下,可以采用路由器把攻击者引导到一个经过特殊装备采用路由器把攻击者引导到一个经过特殊装备的系统上,这种系统被成为蜜罐的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力者,也可以用于收集攻击信息,以改进防御能力 蜜罐能采集的信息量
19、由自身能提供的手段以及攻击蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定行为数量决定 蜜罐蜜罐1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.其它其它7.展望展望IDS标准化要求标准化要求n随着网络规模的扩大,网络入侵的方式、类随着网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而型、特征各不相同,入侵的活动变得复杂而又难以捉摸又难以捉摸n网络的安全要求网络的安全要求IDS之间之间能够相互协作,能能够相互协作,能够与访问控制、应急、入侵追踪等系
20、统交换够与访问控制、应急、入侵追踪等系统交换信息,形成一个整体有效的安全保障系统信息,形成一个整体有效的安全保障系统n需要一个标准来加以指导,系统之间要有一需要一个标准来加以指导,系统之间要有一个约定个约定CIDF(The Common Intrusion Detection Framework)http:/www.gidos.org/draftsCIDFnCIDFCIDF早期由美国国防部高级研究计划局赞助研究,现在由早期由美国国防部高级研究计划局赞助研究,现在由CIDFCIDF工作组负责,这是一个开放组织。实际上工作组负责,这是一个开放组织。实际上CIDFCIDF已经成已经成为一个开放的共享
21、的资源为一个开放的共享的资源nCIDFCIDF是一套规范,它定义了是一套规范,它定义了IDSIDS表达检测信息的标准语言以表达检测信息的标准语言以及及IDSIDS组件之间的通信协议组件之间的通信协议n符合符合CIDFCIDF规范的规范的IDSIDS可以共享检测信息,相互通信,协同工可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策作,还可以与其它系统配合实施统一的配置响应和恢复策略略nCIDFCIDF的主要作用在于集成各种的主要作用在于集成各种IDSIDS,使之协同工作,实现各使之协同工作,实现各IDSIDS之间的组件重用,所以之间的组件重用,所以CIDFCI
22、DF也是构建分布式也是构建分布式IDSIDS的基础的基础CIDF规格文档 CIDFCIDF的规格文档由四部分组成,分别为:的规格文档由四部分组成,分别为:n体系结构:阐述了一个标准的体系结构:阐述了一个标准的IDSIDS的通用模型的通用模型n规范语言:定义了一个用来描述各种检测信息的标准语言规范语言:定义了一个用来描述各种检测信息的标准语言n内部通讯:定义了内部通讯:定义了IDSIDS组件之间进行通信的标准协议组件之间进行通信的标准协议n程序接口:提供了一整套标准的应用程序接口程序接口:提供了一整套标准的应用程序接口通信层次nCIDFCIDF将各组件之间的通信划分为三个层次结构:将各组件之间的
23、通信划分为三个层次结构:GIDOGIDO层(层(GIDO GIDO layerlayer)、)、消息层(消息层(Message layerMessage layer)和传输层(和传输层(Negotiated Negotiated Transport layerTransport layer)n其中传输层不属于其中传输层不属于CIDFCIDF规范,它可以采用很多种现有的传输机制来规范,它可以采用很多种现有的传输机制来实现实现n消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输到目的地,消息层不关心传输的内容,它只负责建立一个可靠的
24、传到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传输通道输通道nGIDOGIDO层负责对传输信息的格式化,正是因为有了层负责对传输信息的格式化,正是因为有了GIDOGIDO这种统一的信这种统一的信息表达格式,才使得各个息表达格式,才使得各个IDSIDS之间的互操作成为可能之间的互操作成为可能CISL(A Common Intrusion Specification Language)(A Common Intrusion Specification Language)nCIDFCIDF的规范语言文档定义了一个公共入侵标准语言的规范语言文档定义了一个公共入侵标准语言CISLCISL,各
25、各IDSIDS使用统一的使用统一的CISLCISL来表示原始事件信息、来表示原始事件信息、分析结果和响应指令,从而建立了分析结果和响应指令,从而建立了IDSIDS之间信息共享之间信息共享的基础的基础nCISLCISL是是CIDFCIDF的最核心也是最重要的内容的最核心也是最重要的内容nCIDFCIDF的匹配服务为的匹配服务为CIDFCIDF各组件之间的相互识别、定位和各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制信息共享提供了一个标准的统一的机制n匹配器匹配器的实现是基于轻量目录访问协议(的实现是基于轻量目录访问协议(LDAPLDAP)的,每的,每个组件通过目录服务注册,并公告
26、它能够产生或能够处理个组件通过目录服务注册,并公告它能够产生或能够处理的的GIDOGIDO,这样组件就被分类存放,其它组件就可以方便这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件地查找到那些它们需要通信的组件n目录中还可以存放组件的公共密钥,从而实现对组件接收目录中还可以存放组件的公共密钥,从而实现对组件接收和发送和发送GIDOGIDO时的身份认证时的身份认证n通信模块:实现客户端(可为任何一个通信模块:实现客户端(可为任何一个CIDFCIDF组件)与匹配组件)与匹配代理之间的通信协议代理之间的通信协议n匹配代理:一个任务是处理从远端组件到它的客户端的输入匹配代理:一个
27、任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请请求,另一个任务是处理从它的客户端到远端组件的输出请求求n认证和授权模块:使一个组件能够鉴别其它组件,使客户端认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别与匹配代理之间能够相互鉴别n 客户端缓冲区:使客户端能够对最近建立的一些关联信息客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储进行缓冲存储 CIDFCIDF的程序接口文档描述了用于的程序接口文档描述了用于GIDOGIDO编解码以及传输的标准编解码以及传输的标准应用程序接口(以下简称为应用程序接口(以下简称
28、为APIAPI),),它包括以下几部分内容它包括以下几部分内容nGIDOGIDO编码和解码编码和解码APIAPI(GIDO Encoding/Decoding API GIDO Encoding/Decoding API SpecificationSpecification)n 消息层消息层APIAPI(Message Layer API SpecificationMessage Layer API Specification)n GIDO GIDO动态追加动态追加APIAPI(GIDO Addendum APIGIDO Addendum API)n签名签名APIAPI(Signature A
29、PISignature API)n顶层顶层CIDFCIDF的的APIAPI(Top-Level CIDF APITop-Level CIDF API)每类每类APIAPI均包含数据结构定义、函数定义和错误代码定义等均包含数据结构定义、函数定义和错误代码定义等n目前目前CIDFCIDF还没有成为正式的标准,也没有一个商业还没有成为正式的标准,也没有一个商业IDSIDS产品完产品完全遵循该规范,但各种全遵循该规范,但各种IDSIDS的结构模型具有很大的相似性,各的结构模型具有很大的相似性,各厂商都在按照厂商都在按照CIDFCIDF进行信息交换的标准化工作,有些产品已进行信息交换的标准化工作,有些产
30、品已经可以部分地支持经可以部分地支持CIDFCIDFn可以预测,随着分布式可以预测,随着分布式IDSIDS的发展,各种的发展,各种IDSIDS互操作和协同工互操作和协同工作的迫切需要,各种作的迫切需要,各种IDSIDS产品必须遵循统一的框架结构,产品必须遵循统一的框架结构,CIDFCIDF将成为事实上的将成为事实上的IDSIDS的工业标准的工业标准产品n免费nSnort nhttp:/www.snort.orgnSHADOWnhttp:/www.nswc.navy.mil/ISSEC/CID/产品n商业nCyberCop Monitor,NAInDragon Sensor,Enterasysn
31、eTrust ID,CAnNetProwler,SymantecnNetRanger,CisconNID-100/200,NFR SecuritynRealSecure,ISSnSecureNet Pro,I资源nIDS FAQnhttp:/ Mailinglistnhttp:/ 分析n内容概要:nSnort安装与配置nSnort的使用nSnort的规则nSnort总体结构分析Snort 安装与配置nSnort是一个用C语言编写的开放源代码软件,符合GPL(GNU General Public License)的要求,较新版本是1.8,其作者为Martin Roesch。nSnort称自己是一
32、个跨平台、轻量级的网络入侵检测软件,实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具,可以用于入侵检测。从入侵检测分类上来看,Snort应该算是一个基于网络和误用的入侵检测软件。Snort简介n Snort由三个重要的子系统构成:n数据包解码器n检测引擎 n日志与报警系统 底层库的安装与配置 n 安装Snort所必须的底层库有三个:n Libpcap提供的接口函数,主要实现和封装了与数据包截获有关的过程nLibnet提供的接口函数,主要实现和封装了数据包的构造和发送过程 nNDIS packet capture Driver是为了方便用户在Windows环境下抓取和处理网络数据
33、包而提供的驱动程序 底层库的安装与配置n以Libpcap为例,讲解库的安装:n检查Libpcap n解开压缩包n#tar zxvf libpcap.tar.zn正式安装n#cd libpcapn#./configuren#maken#make checkn#make installSnort的安装n Linux环境下的安装(确认Libpcap已经安装成功),安装过程如下:n#tar zxvf snort-1.8.tar.gzn#cd snort-1.8n#./configuren#maken#make installSnort的安装nSolaris环境下的安装(确认Libpcap已经安装成功)
34、n在Solaris下,同样可以按照Linux下的步骤和方法使用源代码包进行安装,另外还提供了Solaris特有的Packet Format包,安装方法则比较冷门一点,所以在此另行说明。安装过程如下:n#pkgtrans snort-1.8-sol-2.7-sparc-local/var/spool/pkgn#pkgaddn在此选择“Mrsnort”选项进行安装即可。Snort的安装nWin 32环境下的安装n解开snort-1.8-win32-source.zipn用VC+打开位于snort-1.8-win32-sourcesnort-1.7 win32-Prj目录下的snort.dsw文件n
35、选择“Win 32 Release”编译选项进行编译n在Release目录下会生成所需的Snort.exe可执行文件。8.1.3 Snort的安装Snort的配置n 配置Snort:不需要自已编写配置文件,只需对Snort.conf文件进行修改即可 n设置网络变量 n配置预处理器 n配置输出插件n配置所使用的规则集 Snort的使用Libpcap的命令行的命令行 Snort和大多数基于和大多数基于Libpcap的应用程序一样,的应用程序一样,可以使用标准可以使用标准BPF类型的过滤器。设置过滤器类型的过滤器。设置过滤器关键字分为以下几类:关键字分为以下几类:n属性类关键字:说明后面所跟值的意义
36、,这样的关键字有host、net、port n方向类关键字:说明报文的流向,这样的关键字有:src、dst、src or dst、src and dst n协议类关键字:用来限制协议,这样的关键字有:ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等 Snort的命令行 nSnort的命令行参数很多,可使用Snort-?命令列出这些参数及其简单的解释 n常见的参数有:n-A 设置警告模式n-a 显示ARP报文n-b 以tcpdump格式记录报文到日志文件 n-c 使用配置文件n-d:显示应用层数据n-v:更详细地输出 n详细的解
37、释可以使用man snort命令查看帮助页,或者直接阅读README文件和USAGE文件 高性能的配置方式n如果在一个高数据流量(比如大于100Mbps)的网络环境下运行Snort,就需要考虑如何配置Snort才能使它高效率地运行n./snort b A fast c snort-libn./snort d c snort-lib l./log h 192.168.9.0/24 r snort.log 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例 8.2.4 Snort配置实例使用Snort 8.2.5 使用Sn
38、ortSnort的规则n内容包括:n 规则的语法n 规则头n 规则选项n 预处理器n 输出模块n 对规则的更新规则的语法nSnort使用了一种简单但是灵活、高效的规则描述语言来对检测规则进行表述n每一个Snort规则的描述都必须在单独一行内完成nSnort规则可以划分为两个逻辑部分:规则头(Rule Header)和规则选项(Rule Options)规则头规则头n规则动作(Alert、Log、Pass)n协议nIP地址n端口号n方向操作符规则选项n是Snort系统入侵检测引擎的核心部分n所有的Snort规则选项之间都使用分号来分离n规则选项中的关键字与选项参数之间使用冒号隔离n当前有三十几种
39、关键字(msg、log、ttl、id、content、flags、seq等)预处理器n预处理器的引用大大扩展Snort功能,使得用户和程序员可以容易地加入模块化的插件n预处理器程序在系统检测引擎执行前被调用,但在数据包解码工作之后n预处理程序通过preprocessor关键字来引入和配置 preprocessor:输出模块n输出模块的引入使得Snort能够以更加灵活的方式来格式化和显示对用户的输出n输出模块被系统的警告或者日志系统所调用,在预处理器模块和检测引擎之后执行。n通过在规则文件中指定output关键字,可以在运行时加载对应的输出模块。Output:对规则的更新n要经常访问snort的
40、官方网站,更新它所发布的新规则。这些规则通常有一定的通用性和稳定性,但时效上可能要弱一点。n可以加入一些网络安全的邮件列表,它会更及时地根据当前流行的安全漏洞,发布相应的攻击标识以及相应的检测规则 n可以根据自己的环境定制自己的规则,或者根据自己发现的新攻击来编写相应的规则。Snort总体结构分析 nSnort的模块结构 n主控模块n解码模块n规则处理模块n日志输出模块n插件机制 nSnort的总体流程 Snort的模块结构 n主控模块n解码模块 n规则处理模块 n预处理插件模块 n处理插件模块 n输出插件模块 n日志模块 插件机制n插件机制具有以下一些明显的优点:n能够非常容易地增加功能,使
41、程序具有很强的可扩展性 n简化了编码工作 n插件机制使代码功能内聚,模块性强,程序相对易读 n预处理插件n处理插件n输出插件 Snort的总体流程(1)(1)随着能力的提高,入侵者会研制更多的随着能力的提高,入侵者会研制更多的攻击工具,以及使用更为复杂精致的攻击手攻击工具,以及使用更为复杂精致的攻击手段,对更大范围的目标类型实施攻击;段,对更大范围的目标类型实施攻击;(2)(2)入侵者采用加密手段传输攻击信息;入侵者采用加密手段传输攻击信息;(3)(3)日益增长的网络流量导致检测分析难度日益增长的网络流量导致检测分析难度加大;加大;(4)(4)缺乏统一的入侵检测术语和概念框架;缺乏统一的入侵检
42、测术语和概念框架;(5)(5)不适当的自动响应机制存在着巨大的安全风不适当的自动响应机制存在着巨大的安全风险;险;(6)(6)存在对入侵检测系统自身的攻击;存在对入侵检测系统自身的攻击;(7)(7)过高的错报率和误报率,导致很难确定真正过高的错报率和误报率,导致很难确定真正的入侵行为;的入侵行为;(8)(8)采用交换方法限制了网络数据的可见性;采用交换方法限制了网络数据的可见性;(9)(9)高速网络环境导致很难对所有数据进行高效高速网络环境导致很难对所有数据进行高效实时分析实时分析1.1.更有效的集成各种入侵检测数据源,包括从不同的系统和不同的传感更有效的集成各种入侵检测数据源,包括从不同的系
43、统和不同的传感器上采集的数据,提高报警准确率;器上采集的数据,提高报警准确率;2.2.在事件诊断中结合人工分析,提高判断准确性;在事件诊断中结合人工分析,提高判断准确性;3.3.提高对恶意代码的检测能力,包括提高对恶意代码的检测能力,包括emailemail攻击,攻击,JavaJava,ActiveXActiveX等;等;4.4.采用一定的方法和策略来增强异种系统的互操作性和数据一采用一定的方法和策略来增强异种系统的互操作性和数据一 致性;致性;5.5.研制可靠的测试和评估标准;研制可靠的测试和评估标准;6.6.提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻击主体的观提供科学的漏洞分类方法,尤其注重从攻击客体而不是攻击主体的观点出发;点出发;7.7.提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段;提供对更高级的攻击行为如分布式攻击、拒绝服务攻击等的检测手段;1.概述概述2.入侵检测方法入侵检测方法3.入侵检测系统的设计原理入侵检测系统的设计原理4.入侵检测响应机制入侵检测响应机制5.入侵检测标准化工作入侵检测标准化工作6.Snort分析分析7.展望展望小结
