网络信息安全技术概论(第二版) 作者 吕林涛 第七章 网络入侵检测技术.pptVIP

* 入侵检测系统实例Snort Snort的结构 * 入侵检测系统实例Snort 下面分别介绍数据包嗅探器、预处理器、检测引擎、报警/日志输出各个组成模块的工作原理。 （1）数据包嗅探器模块 （2）预处理器模块 （3）检测引擎模块 （4）报警/日志输出模块 数据包嗅探器模块主要用来实现网络数据包捕获和解析的功能。将捕获的网络数据包按照TCP/IP协议族的不同层次进行解析。 预处理模块针对可疑行为检查包或者修改包以便检测引擎能对其正确解释，还可以对网络流进行标准化，以便检测引擎能够准确匹配特征。 检测引擎模块是入侵检测系统实现的核心，当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。 检测引擎检查后的Snort数据需要以某种方式输出。 * 入侵检测系统实例Snort 3．Snort的规则结构 Snort采用基于规则的网络入侵模式有哪些信誉好的足球投注网站机制，对网络数据包进行模式匹配，从中发现入侵或恶意攻击行为。 Snort将所有已知的入侵行为以规则的形式存放在规则库中，每一条规则由规则头和规则选项两个部分组成。规则头定义了规则的动作、所匹配网络报文的协议、源地址、目的地址、源端口及目标端口等信息；规则选项部分则包含了所要显示给用户查看的警告信息以及用来判定报文是否为攻击报文的其他信息。 * 入侵检测系统实例Snort Snort规则头部的主要结构如图所示。 Snort规则头部结构 动作部分表示，当规则与包比对并符合条件时，会采取什么类型的动作。出现通常动作时产生报警或记录日志或向其他规则发出请求。 * 入侵检测系统实例Snort 协议部分用来在一个特定协议的包上应用规则。 地址部分定义源或目的地址。 如果协议是TCP或UDP，端口部分用来确定规则所对应的包的源及目的端口。 方向部分用来确定哪一边的地址和端口是源，哪一边是目的。 * 入侵检测系统实例Snort 例如，这样一个规则，当它探测到TTL为100的ICMP ping包时，就会产生报警： alert icmp any any - any any (msg: Ping with TTL=100; ttl: 100;) 括号之前的部分叫做规则头部，括号中的部分叫做规则选项。头部依次包括下面部分 1）规则的动作：在这个规则中，动作是alert（报警），就是如果符合下面的条件，就会产生一个报警。如果产生报警，默认的情况下将会记录日志。 2）协议：在这个规则中，协议是ICMP，也就是说这条规则仅仅对ICMP包有效，如果一个包的协议不是ICMP， Snort探测引擎就不理会这个包以节省CPU时间。 * 入侵检测系统实例Snort 3）源地址和源端口：在这个例子中，它们都被设置成了any，也就是这条规则将被应用在来自任何地方的ICMP包上，当然，端口号与ICMP是没有什么关系的，仅仅和TCP和UDP有关系。 4）方向：用→表示从左向右的方向，表示在这个符号的左面部分是源，右面是目的，也表示规则应用在从源到目的的包上。如果是←，那么就相反。注意，也可以用来表示规则将应用在所有方向上。 * 入侵检测系统实例Snort 5）目的地址和端口：若都是any，则表示规则并不关心它们的目的地址。在这个规则中，由于any的作用，方向段并没有实际的作用，因为它将被应用在所有方向的ICMP包上。 6）在括号中的选项部分表示：如果包符合TTL=100的条件就产生一条包含文字“Ping with TTL=100”的报警。TTL是IP数据包头部字段。 * 入侵检测系统实例Snort 4．Snort典型规则示例 Snort规则的本质就是简单模式匹配，即通过对数据包的分析得到所需信息，用以匹配自身的规则库。 在初始化并解析规则时，分别生成四个不同的规则树：TCP、UDP、ICMP和IP，每一个规则树即一个独立的三维链表：规则头（Rule Tree Node，RTN）、规则选项（Optional Tree Node，OTN）和指向匹配函数的指针。 * 入侵检测系统实例Snort 根据网络入侵的分类，较典型的规则有以下几类。 （1）端口扫描 （2）系统后门 （3）拒绝服务 （4）缓冲区溢出 端口扫描通常指用同一个信息对目标主机的所有需要扫描的端口发送探测数据包，然后根据返回端口的状态来分析目标主机端口是否打开可用的行为。 后门（Backdoor）就是攻击者再