网络安全技术及应用 教学课件 作者 刘京菊 ch5 入侵检测技术.pptVIP

第5章 入侵检测系统;5.1 入侵检测概述;;入侵检测功能;入侵检测系统的特点;5.2 入侵检测的分类;5.2.1 基于主机的入侵检测系统;; 基于主机的入侵检测系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。 单独依靠主机审计信息进行入侵检测的方法难以适应网络安全的需求。; 基于主机的入侵检测系统具有如下优势： （1）性价比高 （2）更加细腻 （3）视野集中 （4）易于用户裁剪 （5）较少的主机 （6）对网络流量不敏感;5.2.2 基于网络的入侵检测系统;5.2.2 基于网络的入侵检测系统;5.2.2 基于网络的入侵检测系统;5.2.3 分布式入侵检测系统;5.2.3 分布式入侵检测系统;5.3 入侵检测方法;5.3.1 异常入侵检测方法;5.3.1 异常入侵检测方法;5.3.2 误用入侵检测方法;5.3.2 误用入侵检测方法;5.4 入侵检测系统Snort的安装与部署;5.4.1 Snort简介;5.4.2 Snort的体系结构 ; 为了能够快速准确地进行检测和处理，Snort在检测规则方面做了较为成熟的设计。 Snort 将所有已知的攻击方法以规则的形式存放在规则库中，每一条规则由规则头和规则选项两部分组成。规则头对应于规则树结点RTN（Rule Tree Node），包含动作、协议、源（目的）地址和端口以及数据流向，这是所有规则共有的部分。规则选项对应于规则选项结点OTN（Optional Tree Node），包含报警信息（msg）、匹配内容（content）等选项，这些内容需要根据具体规则的性质确定。; 检测规则除了包括上述的关于“要检测什么”，还应该定义“检测到了该做什么”。Snort 定义了三种处理方式：alert （发送报警信息）、log（记录该数据包）和pass（忽略该数据包），并定义为规则的第一个匹配关键字。 这样设计的目的是为了在程序中可以组织整个规则库，即将所有的规则按照处理方式组织成三个链表，以用于更快速准确地进行匹配;; 当Snort 捕获一个数据包时，首先分析该数据包使用哪个IP协议以决定将与某个规则树进行匹配。然后与RTN 结点依次进行匹配，当与一个头结点相匹配时，向下与OTN 结点进行匹配。每个OTN 结点包含一条规则所对应的全部选项，同时包含一组函数指针，用来实现对这些选项的匹配操作。当数据包与某个OTN 结点相匹配时，即判断此数据包为攻击数据包。;; 3．日志及报警子系统 一个好的NIDS，更应该提供友好的输出界面或发声报警等。Snort作为一个轻量级的NIDS，它的另外一个重要功能就是数据包记录器，它主要采取用TCPDUMP的格式记录信息、向syslog 发送报警信息和以明文形式记录报警信息三种方式。 值得提出的是，Snort 在网络数据流量非常大时，可以将数据包信息压缩从而实现快速报警。 ;5.4.3 Snort的安装与使用; 2．Snort的简单安装 Snort的安装程序可以在Snort官方网站上获取。 （1）安装Snort Snort在linux平台上必须要有libpcap库的支持，在安装前需确认系统已经安装了libpcap库。 [root@mail snort-2.8.0]# ./configure --enable-dynamicplugin [root@mail snort-2.8.0]# make [root@mail snort-2.8.0]# make install ;（2）更新Snort规则 下载必威体育精装版的规则文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示必威体育精装版的版本号。 [root@mail snort]# mkdir /etc/snort [root@mail snort]# cd /etc/snort [root@mail snort]# tar zxvf /path/to/snortrules-snapshot-CURRENT.tar.gz ; （3）配置Snort 建立config文件目录： [root@mail snort-2.8.0]# mkdir /etc/snort 复制Snort配置文件snort.conf到Snort配置目录： [root@mail snort-2.8.0]# cp ./etc/snort.conf /etc/snort/ 编辑snort.conf： [root@mail snort-2.8.0]# vi /etc/snort/snort.conf 修改后，一些关键设置如下： var HOME