第四章入侵检测技术课件.ppt

《第四章入侵检测技术课件.ppt》由会员分享，可在线阅读，更多相关《第四章入侵检测技术课件.ppt（52页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、章入侵检测技术章入侵检测技术章入侵检测技术章入侵检测技术第四章第四章 入侵检测技术入侵检测技术本章要点本章要点本章要点本章要点入侵检测的原理入侵检测的原理入侵检测的原理入侵检测的原理入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用第四章第四章 入侵检测技术入侵检测技术入侵检测系统概述入侵检测系统概述入侵检测的监视技术入侵检测的监视技术入侵检测的分析技术入侵检测的分析技术的体系结构的体系结构使用搭建使用搭建简介简介本章内容本章内容本章内容本章内容的发展趋势的发展趋势实验实验 入

2、侵检测系统概述入侵检测系统概述的产生的产生被动安全防御技术的不足：防火墙：以上的攻击来源于组织内部；串联的工作方式使其无法进行复杂的检测 安全访问控制：黑客可以通过身份窃取、利用系统漏洞等手段绕开安全访问控制机制 入侵检测技术的产生：作为一种积极主动的安全防护技术，对各种被动防护技术起到了极其有益的补充 它从计算机网络或计算机系统中的若干关键点处收集信息，并对其分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象 事件产生器事件分析器响应单元事件数据库 体系结构图体系结构图 事件产生器：负责从入侵检测系统外的计算环境中获得事件。事件产生器：负责从入侵检测系统外的计算环境中获得事件。

3、事件分析器：对事件进行分析，判断其是否属于攻击。事件分析器：对事件进行分析，判断其是否属于攻击。响应单元：在发现攻击时作出响应响应单元：在发现攻击时作出响应,包括终止进程、重置连接、修改包括终止进程、重置连接、修改防火墙规则等。防火墙规则等。事件数据库：用于存放中间数据或最终数据。它既可以是数据库，也事件数据库：用于存放中间数据或最终数据。它既可以是数据库，也可以是简单的文本文件。可以是简单的文本文件。入侵检测系统概述入侵检测系统概述的系统结构的系统结构 入侵检测系统概述入侵检测系统概述的分类的分类根据监视数据的来源根据监视数据的来源 基于主机的：以主机上发生的各种事情为监控对象基于主机的：以

4、主机上发生的各种事情为监控对象基于主机的：以主机上发生的各种事情为监控对象基于主机的：以主机上发生的各种事情为监控对象 基于网络的：以网络上的数据包为监控对象基于网络的：以网络上的数据包为监控对象基于网络的：以网络上的数据包为监控对象基于网络的：以网络上的数据包为监控对象 根据检测时采用的分析技术根据检测时采用的分析技术 基于误用检测的：依据病毒的行为特征来检测病毒基于误用检测的：依据病毒的行为特征来检测病毒基于误用检测的：依据病毒的行为特征来检测病毒基于误用检测的：依据病毒的行为特征来检测病毒 基于异常检测的：依据正常用户或程序的行为特征来检基于异常检测的：依据正常用户或程序的行为特征来检基

5、于异常检测的：依据正常用户或程序的行为特征来检基于异常检测的：依据正常用户或程序的行为特征来检 测病毒测病毒测病毒测病毒 根据检测到入侵时采取的行动根据检测到入侵时采取的行动 被动：检测到入侵时，发出警报并记录下包的信息被动：检测到入侵时，发出警报并记录下包的信息被动：检测到入侵时，发出警报并记录下包的信息被动：检测到入侵时，发出警报并记录下包的信息 主动：不但给出警报，还会对恶意行为作出响应主动：不但给出警报，还会对恶意行为作出响应主动：不但给出警报，还会对恶意行为作出响应主动：不但给出警报，还会对恶意行为作出响应 入侵检测的监控技术入侵检测的监控技术信息收集是入侵检测的第一步，而入侵检测监

6、控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解决了决了决了决了“从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据”这一问题。这一问题。这一问题。这一问题。三类监控技术：三类监控技术：三类监控技术：三类监控技术：基于主机的监控基于主机的监控基于主机的监控基于主机的监控 基于网络的监控基于网络的监控基于网络的监控基于网络的监控 混合型监控混合型监控混合型监控混合型监控 基于主机的监控（）基于主机的监控（）基于主机的入侵检测

7、系统（基于主机的入侵检测系统（基于主机的入侵检测系统（基于主机的入侵检测系统（，），），），）用来保护单台主机，负责监用来保护单台主机，负责监用来保护单台主机，负责监用来保护单台主机，负责监视系统内发生的各种活动，并在可疑事件发生时给出警报或视系统内发生的各种活动，并在可疑事件发生时给出警报或视系统内发生的各种活动，并在可疑事件发生时给出警报或视系统内发生的各种活动，并在可疑事件发生时给出警报或做出响应做出响应做出响应做出响应 。可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：系统日志系统日志系统日

8、志系统日志网络连接网络连接网络连接网络连接文件系统文件系统文件系统文件系统 应根据主机的特点来选择最合适的产品。例如，对于一个服应根据主机的特点来选择最合适的产品。例如，对于一个服应根据主机的特点来选择最合适的产品。例如，对于一个服应根据主机的特点来选择最合适的产品。例如，对于一个服务器来说，更多的攻击可能来自于网络，故应在其上安装有务器来说，更多的攻击可能来自于网络，故应在其上安装有务器来说，更多的攻击可能来自于网络，故应在其上安装有务器来说，更多的攻击可能来自于网络，故应在其上安装有网络监控功能的。网络监控功能的。网络监控功能的。网络监控功能的。基于主机的监控（）基于主机的监控（）的优点的

9、优点的优点的优点对分析对分析对分析对分析“可能的攻击行为可能的攻击行为可能的攻击行为可能的攻击行为”非常有用非常有用非常有用非常有用 能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功 与相比，具有较低的误报率与相比，具有较低的误报率与相比，具有较低的误报率与相比，具有较低的误报率 的缺点的缺点的缺点的缺点需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源全面部署的代价较大全面部署的代价较大全面部署的代价较大全面部署的代价较大无法检测来自网络的攻击，存在检测盲点无法检测来自网络的攻击，存在检测盲点无法检测来自网

10、络的攻击，存在检测盲点无法检测来自网络的攻击，存在检测盲点 基于网络的监控（）基于网络的监控（）基于网络的入侵检测系统（基于网络的入侵检测系统（基于网络的入侵检测系统（基于网络的入侵检测系统（，），），），）用来保护网络中的多用来保护网络中的多用来保护网络中的多用来保护网络中的多台主机，它以网络中的数据包作为分析对象台主机，它以网络中的数据包作为分析对象台主机，它以网络中的数据包作为分析对象台主机，它以网络中的数据包作为分析对象 由于需处理大量数据，一般位于专用硬件平台上由于需处理大量数据，一般位于专用硬件平台上由于需处理大量数据，一般位于专用硬件平台上由于需处理大量数据，一般位于专用硬件平台

11、上 所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式 基于网络的监控（）基于网络的监控（）部署时需考虑的问题部署时需考虑的问题部署时需考虑的问题部署时需考虑的问题 的部署位置？的部署位置？的部署位置？的部署位置？与网络本身的拓扑结构、管理员希望达到的监控目与网络本身的拓扑结构、管理员希望达到的监控目与网络本身的拓扑结构、管理员希望达到的监控目与网络本身的拓扑结构、管理员希望达到的监控目的有关。的有关。的有关。的有关。如何处理交换式网络？如何处理交换式网络？如何处理交换式网络？如何处理交换式网络？使用带调试端口的交换机；使用带调试端

12、口的交换机；使用带调试端口的交换机；使用带调试端口的交换机；使用或。使用或。使用或。使用或。基于网络的监控（）基于网络的监控（）的优点的优点的优点的优点能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈系统容易部署系统容易部署系统容易部署系统容易部署操作系统无关性操作系统无关性操作系统无关性操作系统无关性 的缺点的缺点的缺点的缺点在交换式网络环境下需添加额外的硬件设施在交换式网络环境下需添加额外的硬件设施在交换式网络环境下

13、需添加额外的硬件设施在交换式网络环境下需添加额外的硬件设施网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限 不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境 对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应 混合型监控混合型监控混合型的基本特点混合型的基本特点混合型的基本特点混合型的基本特点结合了和的特点，既可以发现网络中的攻击行结合了和的特点，既可以发现网络中的攻击行结合了和的特点，既可以发现网络中的攻击行结合了和的特点，既可以发现网络中的攻击行为，

14、又可以从系统日志中发现异常情况为，又可以从系统日志中发现异常情况为，又可以从系统日志中发现异常情况为，又可以从系统日志中发现异常情况一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构 入侵检测的分析技术入侵检测的分析技术在完成信息收集后，接下来要进行的工作就是对这些信息进在完成信息收集后，接下来要进行的工作就是对这些信息进在完成信息收集后，接下来要进行的工作就是对这些信息进在完成信息收集后，接下来要进行的工作就是对这些信息进行分析，看其中是否包含了可疑的攻击行为。行分析，看其中是否包含了可疑的攻击行为

15、。行分析，看其中是否包含了可疑的攻击行为。行分析，看其中是否包含了可疑的攻击行为。入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：误用检测：收集已有的入侵技术并建立知识库，通过匹配查找误用检测：收集已有的入侵技术并建立知识库，通过匹配查找误用检测：收集已有的入侵技术并建立知识库，通过匹配查找误用检测：收集已有的入侵技术并建立知识库，通过匹配查找来判断当前行为是否为入侵。来判断当前行为是否为入侵。来判断当前行为是否为入侵。来判断当前行为是否为入侵。异常检测：系统管理员首先为网络通信流量、分组典型大小等异常检测：系统管理员首先

16、为网络通信流量、分组典型大小等异常检测：系统管理员首先为网络通信流量、分组典型大小等异常检测：系统管理员首先为网络通信流量、分组典型大小等指标定义一个基线，或者说定义一个正常状态值。然后将待指标定义一个基线，或者说定义一个正常状态值。然后将待指标定义一个基线，或者说定义一个正常状态值。然后将待指标定义一个基线，或者说定义一个正常状态值。然后将待检测对象的状态与正常状态值进行比较，如果超出正常值，检测对象的状态与正常状态值进行比较，如果超出正常值，检测对象的状态与正常状态值进行比较，如果超出正常值，检测对象的状态与正常状态值进行比较，如果超出正常值，则认为出现了攻击事件。则认为出现了攻击事件。则

17、认为出现了攻击事件。则认为出现了攻击事件。误用检测（）误用检测（）模式匹配模式匹配模式匹配模式匹配检测原理：将数据包的内容与代表某种恶意事件或流量的检测原理：将数据包的内容与代表某种恶意事件或流量的检测原理：将数据包的内容与代表某种恶意事件或流量的检测原理：将数据包的内容与代表某种恶意事件或流量的特征串进行逐字节地比较特征串进行逐字节地比较特征串进行逐字节地比较特征串进行逐字节地比较 优点：分析速度快，误报率低优点：分析速度快，误报率低优点：分析速度快，误报率低优点：分析速度快，误报率低 缺点：计算量大，尤其是模式库规模较大的情况下；只能缺点：计算量大，尤其是模式库规模较大的情况下；只能缺点：

18、计算量大，尤其是模式库规模较大的情况下；只能缺点：计算量大，尤其是模式库规模较大的情况下；只能检测给定类型的攻击，对稍微变形的攻击特征就束手检测给定类型的攻击，对稍微变形的攻击特征就束手检测给定类型的攻击，对稍微变形的攻击特征就束手检测给定类型的攻击，对稍微变形的攻击特征就束手无策无策无策无策 误用检测（）误用检测（）专家系统专家系统专家系统专家系统检测原理：根据安全专家对可疑行为的分析经验来形成一套检测原理：根据安全专家对可疑行为的分析经验来形成一套检测原理：根据安全专家对可疑行为的分析经验来形成一套检测原理：根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构建相应的专

19、家系统。推理规则，然后再在此基础之上构建相应的专家系统。推理规则，然后再在此基础之上构建相应的专家系统。推理规则，然后再在此基础之上构建相应的专家系统。安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成“”“”格式。其中，每条规则的格式。其中，每条规则的格式。其中，每条规则的格式。其中，每条规则的部分代表某个入侵特征，部分为系统的响应措施。当条部分代表某个入侵特征，部分为系统的响应措施。当条部分代表某个入侵特征，部分为系统的响应措施。当条部分代表某个入侵特征，部分为系统的响应措施。当条件满足时即判断为入侵行为，并做出响应。件满足时即判断为入侵行为，并做出响

20、应。件满足时即判断为入侵行为，并做出响应。件满足时即判断为入侵行为，并做出响应。误用检测（）误用检测（）状态转移分析状态转移分析状态转移分析状态转移分析检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。分析时首先针对每一种入侵方法确定系统的初始状态分析时首先针对每一种入侵方法确定系统的初始状态分析时首先针对每一种入侵方法确定系统的初始状态分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导和被入侵状态，以及导致状态转换的转换条件，

21、即导和被入侵状态，以及导致状态转换的转换条件，即导和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作。然后用状态致系统进入被入侵状态必须执行的操作。然后用状态致系统进入被入侵状态必须执行的操作。然后用状态致系统进入被入侵状态必须执行的操作。然后用状态转换图来表示每一个状态和特征事件。这样，一个入转换图来表示每一个状态和特征事件。这样，一个入转换图来表示每一个状态和特征事件。这样，一个入转换图来表示每一个状态和特征事件。这样，一个入侵行为就被描绘成一系列导致目标系统从初始状态转侵行为就被描绘成一系列导致目标系统从初始状态转侵行为就被描绘成一系列导致目标系统从初始状态

22、转侵行为就被描绘成一系列导致目标系统从初始状态转换到被入侵状态的特征操作，及一系列系统状态转换换到被入侵状态的特征操作，及一系列系统状态转换换到被入侵状态的特征操作，及一系列系统状态转换换到被入侵状态的特征操作，及一系列系统状态转换过程。过程。过程。过程。异常检测（）异常检测（）统计方法统计方法统计方法统计方法检测原理：首先，检测器为系统对象创建一个统计描检测原理：首先，检测器为系统对象创建一个统计描检测原理：首先，检测器为系统对象创建一个统计描检测原理：首先，检测器为系统对象创建一个统计描述，统计正常情况下的一些属性的值。当观察值在述，统计正常情况下的一些属性的值。当观察值在述，统计正常情况

23、下的一些属性的值。当观察值在述，统计正常情况下的一些属性的值。当观察值在正常值范围之外时，则认为出现了攻击事件。正常值范围之外时，则认为出现了攻击事件。正常值范围之外时，则认为出现了攻击事件。正常值范围之外时，则认为出现了攻击事件。细分为基于阀值和基于轮廓的检测技术细分为基于阀值和基于轮廓的检测技术细分为基于阀值和基于轮廓的检测技术细分为基于阀值和基于轮廓的检测技术 基于阀值：统计事件在一定时间内发生频率，当其发基于阀值：统计事件在一定时间内发生频率，当其发基于阀值：统计事件在一定时间内发生频率，当其发基于阀值：统计事件在一定时间内发生频率，当其发生频率超出正常值时，则认为出现了攻击事件。生频

24、率超出正常值时，则认为出现了攻击事件。生频率超出正常值时，则认为出现了攻击事件。生频率超出正常值时，则认为出现了攻击事件。基于轮廓：对用户过去的行为特征进行刻画，然后检基于轮廓：对用户过去的行为特征进行刻画，然后检基于轮廓：对用户过去的行为特征进行刻画，然后检基于轮廓：对用户过去的行为特征进行刻画，然后检查当前活动与这些特征（若干参数）间的差异，该查当前活动与这些特征（若干参数）间的差异，该查当前活动与这些特征（若干参数）间的差异，该查当前活动与这些特征（若干参数）间的差异，该方法以分析审计日志为基础方法以分析审计日志为基础方法以分析审计日志为基础方法以分析审计日志为基础 。异常检测（）异常检

25、测（）人工免疫人工免疫人工免疫人工免疫检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。下表给出了生物系统和人工免疫系统中相关对象的对应关系：下表给出了生物系统和人工免疫系统中相关对象的对应关系：下表给出了生物系统和人

26、工免疫系统中相关对象的对应关系：下表给出了生物系统和人工免疫系统中相关对象的对应关系：计算机免疫系统计算机免疫系统生物有机体生物有机体自自 体体合法的应用程序、正常的网络行合法的应用程序、正常的网络行合法的应用程序、正常的网络行合法的应用程序、正常的网络行为等为等为等为等自体细胞自体细胞自体细胞自体细胞非非 自自 体体计算机病毒、网络入侵等计算机病毒、网络入侵等计算机病毒、网络入侵等计算机病毒、网络入侵等抗原抗原抗原抗原通过自体耐受得到通过自体耐受得到的检测器的检测器入侵检测器入侵检测器入侵检测器入侵检测器抗体抗体抗体抗体 的体系结构的体系结构集中式体系结构（）集中式体系结构（）集中式入侵检测

27、系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组成。监控代理分布在各关键节点上，负责收集本地审成。监控代理分布在各关键节点上，负责收集本地审成。监控代理分布在各关键节点上，负责收集本地审成。监控代理分布在各关键节点上，负责收集本地审计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后送往中心站统一进行分析。送往中心站统一进行分析。送往中心站统一

28、进行分析。送往中心站统一进行分析。的体系结构的体系结构集中式体系结构（）集中式体系结构（）优点：优点：优点：优点：不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策 由于中心站比被监视主机具有更高和更加严格的安全措施，从而保由于中心站比被监视主机具有更高和更加严格的安全措施，从而保由于中心站比被监视主机具有更高和更加严格的安全措施，从而保由于中心站比被监视主机具有更高和更加严格的安全措施，从而保证入侵检测功能更加可靠地实现证入侵检测功能更

29、加可靠地实现证入侵检测功能更加可靠地实现证入侵检测功能更加可靠地实现集中式的策略管理还可大大简化安全管理工作，提高安全对策应用集中式的策略管理还可大大简化安全管理工作，提高安全对策应用集中式的策略管理还可大大简化安全管理工作，提高安全对策应用集中式的策略管理还可大大简化安全管理工作，提高安全对策应用的有效性和一致性的有效性和一致性的有效性和一致性的有效性和一致性 的体系结构的体系结构集中式体系结构（）集中式体系结构（）缺点：缺点：缺点：缺点：中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过

30、于繁重存在单点失效。一旦中心站失败，则将导致检测功能的丧失存在单点失效。一旦中心站失败，则将导致检测功能的丧失存在单点失效。一旦中心站失败，则将导致检测功能的丧失存在单点失效。一旦中心站失败，则将导致检测功能的丧失 单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求 的体系结构的体系结构分布式体系结构分布式体系结构在分布式体系结构中，数据采集及数据分析都是分布在分布式体系结构中，数据采集及数据分析都是分布在分布式体系结构中，数据采集及数据分析都是分布在分

31、布式体系结构中，数据采集及数据分析都是分布完成的完成的完成的完成的 细分为层次式和协同式两种细分为层次式和协同式两种细分为层次式和协同式两种细分为层次式和协同式两种层次式：树型的分层体系。叶结点负责信息收集，中间层次式：树型的分层体系。叶结点负责信息收集，中间层次式：树型的分层体系。叶结点负责信息收集，中间层次式：树型的分层体系。叶结点负责信息收集，中间结点承上启下，根节点进行全局的关联分析及判断。结点承上启下，根节点进行全局的关联分析及判断。结点承上启下，根节点进行全局的关联分析及判断。结点承上启下，根节点进行全局的关联分析及判断。协同式：没有中心节点，多个互相平等的检测节点在网协同式：没有

32、中心节点，多个互相平等的检测节点在网协同式：没有中心节点，多个互相平等的检测节点在网协同式：没有中心节点，多个互相平等的检测节点在网络中分别进行数据收集及数据分析，并且协同处理大络中分别进行数据收集及数据分析，并且协同处理大络中分别进行数据收集及数据分析，并且协同处理大络中分别进行数据收集及数据分析，并且协同处理大规模的入侵行为。规模的入侵行为。规模的入侵行为。规模的入侵行为。使用搭建使用搭建简介（）简介（）简介简介简介简介开源软件，除了用作入侵检测系统，还可以用作开源软件，除了用作入侵检测系统，还可以用作开源软件，除了用作入侵检测系统，还可以用作开源软件，除了用作入侵检测系统，还可以用作嗅探

33、器和包记录器。嗅探器和包记录器。嗅探器和包记录器。嗅探器和包记录器。基于的轻量级网络入侵检测系统基于的轻量级网络入侵检测系统基于的轻量级网络入侵检测系统基于的轻量级网络入侵检测系统可支持多种操作系统平台：、可支持多种操作系统平台：、可支持多种操作系统平台：、可支持多种操作系统平台：、等、等、等、等 使用搭建使用搭建简介（）简介（）解码器：负责从网络接口上获取数据包。解码器：负责从网络接口上获取数据包。检测引擎：该子系统是工作在入侵检测模式下的核心部分，它使检测引擎：该子系统是工作在入侵检测模式下的核心部分，它使用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特用基于规则匹配的方式来检测每

34、个数据包。一旦发现数据包的特征符合某个规则定义，则触发相应的处理操作。征符合某个规则定义，则触发相应的处理操作。日志警报子系统：规则中定义了数据包的处理方式，包括（报日志警报子系统：规则中定义了数据包的处理方式，包括（报警）、（记录）和（忽略）等，但具体的和操作则是由日志警警）、（记录）和（忽略）等，但具体的和操作则是由日志警报子系统完成的。日志子系统将解码得到的信息以码的格式或报子系统完成的。日志子系统将解码得到的信息以码的格式或以的格式记录下来，报警子系统将报警信息发送到、或数据库以的格式记录下来，报警子系统将报警信息发送到、或数据库中。中。预处理器：可选部件，用于提供除规则匹配外的检测机

35、制。预处理器：可选部件，用于提供除规则匹配外的检测机制。输出插件：可选部件。用来格式化警报信息。使得管理员可以按输出插件：可选部件。用来格式化警报信息。使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。照公司环境来配置容易理解、使用和查看的报警和日志方法。解码器预处理器检测引擎输出插件日志警报子系统的组成结构的组成结构的组成结构的组成结构 使用搭建使用搭建简介（）简介（）入侵检测流程入侵检测流程入侵检测流程入侵检测流程利用进行抓包；利用进行抓包；利用进行抓包；利用进行抓包；由解码器将捕获的数据包信息填入包结构体，并将其由解码器将捕获的数据包信息填入包结构体，并将其由解码器将

36、捕获的数据包信息填入包结构体，并将其由解码器将捕获的数据包信息填入包结构体，并将其送到各式各样的预处理器中；送到各式各样的预处理器中；送到各式各样的预处理器中；送到各式各样的预处理器中；对于那些用于检测入侵的预处理器来说，一旦发现入对于那些用于检测入侵的预处理器来说，一旦发现入对于那些用于检测入侵的预处理器来说，一旦发现入对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，将直接调用输出插件或者日志警报子系侵行为，将直接调用输出插件或者日志警报子系侵行为，将直接调用输出插件或者日志警报子系侵行为，将直接调用输出插件或者日志警报子系统进行输出；统进行输出；统进行输出；统进行输出；对于那些用于包

37、重组和协议解码的预处理器来说，它对于那些用于包重组和协议解码的预处理器来说，它对于那些用于包重组和协议解码的预处理器来说，它对于那些用于包重组和协议解码的预处理器来说，它们会将处理后的信息送往检测引擎；们会将处理后的信息送往检测引擎；们会将处理后的信息送往检测引擎；们会将处理后的信息送往检测引擎；检测引擎对数据包的特征及内容进行检查，一旦检测检测引擎对数据包的特征及内容进行检查，一旦检测检测引擎对数据包的特征及内容进行检查，一旦检测检测引擎对数据包的特征及内容进行检查，一旦检测到与已知规则匹配的数据包，或者利用输出插件到与已知规则匹配的数据包，或者利用输出插件到与已知规则匹配的数据包，或者利用

38、输出插件到与已知规则匹配的数据包，或者利用输出插件进行输出，或者利用日志警报子系统进行报警和进行输出，或者利用日志警报子系统进行报警和进行输出，或者利用日志警报子系统进行报警和进行输出，或者利用日志警报子系统进行报警和记录。记录。记录。记录。的使用的使用嗅探模式：嗅探模式：嗅探模式：嗅探模式：包记录模式：包记录模式：包记录模式：包记录模式：入侵检测模式入侵检测模式入侵检测模式入侵检测模式 使用搭建使用搭建的安装与配置的安装与配置仅安装仅安装仅安装仅安装捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形

39、式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息 与其它软件配合使用与其它软件配合使用与其它软件配合使用与其它软件配合使用允许用户把捕获到的入侵检测数据保存到数据库中，以及使允许用户把捕获到的入侵检测数据保存到数据库中，以及使允许用户把捕获到的入侵检测数据保存到数据库中，以及使允许用户把捕获到的入侵检测数据保存到数据库中，以及使用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进

40、行分析用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进行分析 可配合使用的软件包括：、函数库、和可配合使用的软件包括：、函数库、和可配合使用的软件包括：、函数库、和可配合使用的软件包括：、函数库、和 使用搭建使用搭建编写自己的规则（）编写自己的规则（）的规则在逻辑上可分为规则头和规则体的规则在逻辑上可分为规则头和规则体的规则在逻辑上可分为规则头和规则体的规则在逻辑上可分为规则头和规则体规则头定义了基本的检测条件。其检测对象包括数规则头定义了基本的检测条件。其检测对象包括数规则头定义了基本的检测条件。其检测对象包括数规则头定义了基本的检测条件。其检测对象包括数据包的协议类型、源目的

41、端口和源目的，同时还据包的协议类型、源目的端口和源目的，同时还据包的协议类型、源目的端口和源目的，同时还据包的协议类型、源目的端口和源目的，同时还定义了出现匹配情况时将要采取的动作。定义了出现匹配情况时将要采取的动作。定义了出现匹配情况时将要采取的动作。定义了出现匹配情况时将要采取的动作。规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测条件和警报信息。条件和警报信息。条件和警报信息。条件和警报信息。(:“”;)(:“”;)规则头规则头规则头规则头规则体规则体规则体规则

42、体 使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头的组成规则头的组成规则头的组成规则头的组成规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符地址地址地址地址端口端口端口端口规则示例规则示例规则示例规则示例 (:”;:”;)(:”;:”;)使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头规则头规则头规则头 规则行为规则行为规则行为规则行为规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符地址地址地址地址端口端口端口端口vv五种预定义规

43、则五种预定义规则五种预定义规则五种预定义规则vv 记录当前数据包的信息记录当前数据包的信息记录当前数据包的信息记录当前数据包的信息vv 产生一个警报，同时记录该数据包的信息产生一个警报，同时记录该数据包的信息产生一个警报，同时记录该数据包的信息产生一个警报，同时记录该数据包的信息vv 忽略当前数据包忽略当前数据包忽略当前数据包忽略当前数据包vv 产生一个警报，并启动相关的规则产生一个警报，并启动相关的规则产生一个警报，并启动相关的规则产生一个警报，并启动相关的规则vv 这类规则在通常情况下保持空闲状态，直到相关的规则将它激这类规则在通常情况下保持空闲状态，直到相关的规则将它激这类规则在通常情况

44、下保持空闲状态，直到相关的规则将它激这类规则在通常情况下保持空闲状态，直到相关的规则将它激活为止。激活之后，其工作方式与相同活为止。激活之后，其工作方式与相同活为止。激活之后，其工作方式与相同活为止。激活之后，其工作方式与相同vv自定义规则类型自定义规则类型自定义规则类型自定义规则类型vv使用输出插件来输出检测结果：使用输出插件来输出检测结果：使用输出插件来输出检测结果：使用输出插件来输出检测结果：使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头规则头规则头规则头 协议协议协议协议规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向

45、操作符方向操作符地址地址地址地址端口端口端口端口vv当前开源版的支持种协议当前开源版的支持种协议当前开源版的支持种协议当前开源版的支持种协议vv、vv每条规则只能指定一种协议每条规则只能指定一种协议每条规则只能指定一种协议每条规则只能指定一种协议 使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头规则头规则头规则头 地址地址地址地址规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符地址地址地址地址端口端口端口端口vv不支持域名解析不支持域名解析不支持域名解析不支持域名解析vv使用使用使用使用“普通地址普通地址普通地址

46、普通地址”来表达某单一的地址。如：来表达某单一的地址。如：来表达某单一的地址。如：来表达某单一的地址。如：vv使用使用使用使用“无类别域间路由地址无类别域间路由地址无类别域间路由地址无类别域间路由地址”来表达某个范围内的地址。如：代表网段来表达某个范围内的地址。如：代表网段来表达某个范围内的地址。如：代表网段来表达某个范围内的地址。如：代表网段的所有地址的所有地址的所有地址的所有地址vv使用使用使用使用“”“”来表达多个、不连续的地址。如来表达多个、不连续的地址。如来表达多个、不连续的地址。如来表达多个、不连续的地址。如,表示和两个地址表示和两个地址表示和两个地址表示和两个地址vv使用使用使用

47、使用“!”“!”来表示除后述地址外的其它所有地址。如：表示除外的所有来表示除后述地址外的其它所有地址。如：表示除外的所有来表示除后述地址外的其它所有地址。如：表示除外的所有来表示除后述地址外的其它所有地址。如：表示除外的所有 vv使用使用使用使用“”“”通配符代表所有地址通配符代表所有地址通配符代表所有地址通配符代表所有地址 使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头规则头规则头规则头 端口端口端口端口规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符地址地址地址地址端口端口端口端口vv单个端口。如：单个端口

48、。如：单个端口。如：单个端口。如：vv以冒号分隔的一个端口范围。三种格式：以冒号分隔的一个端口范围。三种格式：以冒号分隔的一个端口范围。三种格式：以冒号分隔的一个端口范围。三种格式：vv 到之间的所有端口到之间的所有端口到之间的所有端口到之间的所有端口 vv 到之间的端口到之间的端口到之间的端口到之间的端口 vv:到之间的端口到之间的端口到之间的端口到之间的端口 vv“惊叹号惊叹号惊叹号惊叹号”来表示除后述端口外的其它端口。如：来表示除后述端口外的其它端口。如：来表示除后述端口外的其它端口。如：来表示除后述端口外的其它端口。如：vv“”“”通配符表示所有端口通配符表示所有端口通配符表示所有端口

49、通配符表示所有端口 使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则头规则头规则头规则头 方向操作符方向操作符方向操作符方向操作符规则行为规则行为规则行为规则行为协议协议协议协议地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符地址地址地址地址端口端口端口端口vv规则中的方向操作符用来告诉应如何理解规则规则中的方向操作符用来告诉应如何理解规则规则中的方向操作符用来告诉应如何理解规则规则中的方向操作符用来告诉应如何理解规则 vv支持两种方向操作符，支持两种方向操作符，支持两种方向操作符，支持两种方向操作符，“”“”和和和和“”“”vv“”“”左边的源，右边是目的左边

50、的源，右边是目的左边的源，右边是目的左边的源，右边是目的vv“”“”表示不需要区分哪边是源，哪边是目的表示不需要区分哪边是源，哪边是目的表示不需要区分哪边是源，哪边是目的表示不需要区分哪边是源，哪边是目的 使用搭建使用搭建编写自己的规则（）编写自己的规则（）规则体规则体规则体规则体什么是规则体什么是规则体什么是规则体什么是规则体用来检测复杂的攻击用来检测复杂的攻击用来检测复杂的攻击用来检测复杂的攻击包含了一个或多个规则选项；多个规则选项之间的关系为逻包含了一个或多个规则选项；多个规则选项之间的关系为逻包含了一个或多个规则选项；多个规则选项之间的关系为逻包含了一个或多个规则选项；多个规则选项之间