【教学课件】第四章入侵检测技术.ppt

《【教学课件】第四章入侵检测技术.ppt》由会员分享，可在线阅读，更多相关《【教学课件】第四章入侵检测技术.ppt（52页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第四章第四章第四章第四章 入侵检测技术入侵检测技术入侵检测技术入侵检测技术第四章第四章 入侵检测技术入侵检测技术本章要点本章要点本章要点本章要点vv入侵检测的原理入侵检测的原理入侵检测的原理入侵检测的原理vv入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术入侵检测涉及到的关键技术vv入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用入侵检测软件的使用第四章第四章 入侵检测技术入侵检测技术4.1入侵检测系统概述入侵检测系统概述4.2入侵检测的监视技术入侵检测的监视技术4.3入侵检测的分析技术入侵检测的分析技术4.4IDS的体系结构的体系结构4.5使用使用Snort搭建

2、搭建NIDS4.6IPS简介简介本章内容本章内容本章内容本章内容4.7IDS的发展趋势的发展趋势4.8实验实验4.1 4.1 入侵检测系统概述入侵检测系统概述IDSIDS的产生的产生被动安全防御技术的不足：防火墙：防火墙：80%以上的攻以上的攻击来源于组织内部；串联的击来源于组织内部；串联的工作方式使其无法进行复杂工作方式使其无法进行复杂的检测的检测 安全访问控制：黑客可安全访问控制：黑客可以通过身份窃取、利用系统以通过身份窃取、利用系统漏洞等手段绕开安全访问控漏洞等手段绕开安全访问控制机制制机制 入侵检测技术的产生：作为一种积极主动的安作为一种积极主动的安全防护技术，对各种被动防全防护技术，

3、对各种被动防护技术起到了极其有益的补护技术起到了极其有益的补充充 它从计算机网络或计算它从计算机网络或计算机系统中的若干关键点处收机系统中的若干关键点处收集信息，并对其分析，从中集信息，并对其分析，从中发现网络或系统中是否有违发现网络或系统中是否有违反安全策略的行为或被攻击反安全策略的行为或被攻击的迹象的迹象 事件产生器事件分析器响应单元事件数据库 CIDF体系结构图体系结构图 事件产生器事件产生器：负责从入侵检测系统负责从入侵检测系统外的计算环境中获得事件。外的计算环境中获得事件。事件分析器事件分析器：对事件进行分析，判对事件进行分析，判断其是否属于攻击。断其是否属于攻击。响应单元响应单元：

4、在发现攻击时作出响应：在发现攻击时作出响应,包括终止进程、重置连接、修改防包括终止进程、重置连接、修改防火墙规则等。火墙规则等。事件数据库事件数据库：用于存放中间数据或：用于存放中间数据或最终数据。它既可以是数据库，也最终数据。它既可以是数据库，也可以是简单的文本文件。可以是简单的文本文件。4.1 4.1 入侵检测系统概述入侵检测系统概述IDSIDS的系统结构的系统结构4.1 4.1 入侵检测系统概述入侵检测系统概述IDSIDS的分类的分类根据监视数据的来源根据监视数据的来源 基于主机的基于主机的基于主机的基于主机的IDSIDS：以主机上发生的各种事情为监控对象：以主机上发生的各种事情为监控对

5、象：以主机上发生的各种事情为监控对象：以主机上发生的各种事情为监控对象 基于网络的基于网络的基于网络的基于网络的IDSIDS：以网络上的数据包为监控对象：以网络上的数据包为监控对象：以网络上的数据包为监控对象：以网络上的数据包为监控对象 根据检根据检测时采用的分析技术测时采用的分析技术 基于误用检测的基于误用检测的基于误用检测的基于误用检测的IDSIDS：依据病毒的行为特征来检测病毒：依据病毒的行为特征来检测病毒：依据病毒的行为特征来检测病毒：依据病毒的行为特征来检测病毒 基于异常检测的基于异常检测的基于异常检测的基于异常检测的IDSIDS：依据正常用户或程序的行为特征来检：依据正常用户或程序

6、的行为特征来检：依据正常用户或程序的行为特征来检：依据正常用户或程序的行为特征来检 测病毒测病毒测病毒测病毒 根据检测到入侵时采取的行动根据检测到入侵时采取的行动 被动被动被动被动IDSIDS：检测到入侵时，发出警报并记录下包的信息：检测到入侵时，发出警报并记录下包的信息：检测到入侵时，发出警报并记录下包的信息：检测到入侵时，发出警报并记录下包的信息 主动主动主动主动IDSIDS：不但给出警报，还会对恶意行为作出响应：不但给出警报，还会对恶意行为作出响应：不但给出警报，还会对恶意行为作出响应：不但给出警报，还会对恶意行为作出响应 4.2 4.2 入侵检测的监控技术入侵检测的监控技术信息收集是入

7、侵检测的第一步，而入侵检测监控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解信息收集是入侵检测的第一步，而入侵检测监控技术解决了决了决了决了“从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据从何处获取包含了攻击信息的数据”这一问题。这一问题。这一问题。这一问题。三类监控技术：三类监控技术：三类监控技术：三类监控技术：vv 基于主机的监控基于主机的监控基于主机的监控基于主机的监控vv 基于网络的监控基于网络的监控基于网络的监控基于网络的监控vv 混合型监控混合型监控混合型监控混合型监控4.2.1 4

8、.2.1 基于主机的监控（基于主机的监控（1 1）基于主机的入侵检测系统（基于主机的入侵检测系统（基于主机的入侵检测系统（基于主机的入侵检测系统（host-based IDShost-based IDS，HIDSHIDS）用来保用来保用来保用来保护单台主机，负责监视系统内发生的各种活动，并在可疑事护单台主机，负责监视系统内发生的各种活动，并在可疑事护单台主机，负责监视系统内发生的各种活动，并在可疑事护单台主机，负责监视系统内发生的各种活动，并在可疑事件发生时给出警报或做出响应件发生时给出警报或做出响应件发生时给出警报或做出响应件发生时给出警报或做出响应 。HIDSHIDS可对系统中的多种对象进

9、行监控，包括：可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：可对系统中的多种对象进行监控，包括：vv系统日志系统日志系统日志系统日志vv网络连接网络连接网络连接网络连接vv文件系统文件系统文件系统文件系统 应根据主机的特点来选择最合适的产品。例如，对于一个应根据主机的特点来选择最合适的产品。例如，对于一个应根据主机的特点来选择最合适的产品。例如，对于一个应根据主机的特点来选择最合适的产品。例如，对于一个WebWeb服务器来说，更多的攻击可能来自于网络，故应在其上服务器来说，更多的攻击可能来自于网络，故应在其上服务器来说，更多的攻击可能来自于网络，故应在其上服务器来说，

10、更多的攻击可能来自于网络，故应在其上安装有网络监控功能的安装有网络监控功能的安装有网络监控功能的安装有网络监控功能的HIDSHIDS。4.2.1 4.2.1 基于主机的监控（基于主机的监控（2 2）HIDSHIDS的优点的优点的优点的优点vv对分析对分析对分析对分析“可能的攻击行为可能的攻击行为可能的攻击行为可能的攻击行为”非常有用非常有用非常有用非常有用 vv能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功能够判断攻击是否成功 vv与与与与NIDSNIDS相比，具有较低的误报率相比，具有较低的误报率相比，具有较低的误报率相比，具有较低的误报率 HIDSHIDS的缺点的缺点的缺点的

11、缺点vv需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源需占用被监控系统的系统资源vv全面部署全面部署全面部署全面部署HIDSHIDS的代价较大的代价较大的代价较大的代价较大vv无法检测来自网络的攻击，存在检测盲点无法检测来自网络的攻击，存在检测盲点无法检测来自网络的攻击，存在检测盲点无法检测来自网络的攻击，存在检测盲点4.2.2 4.2.2 基于网络的监控（基于网络的监控（1 1）基于网络的入侵检测系统（基于网络的入侵检测系统（基于网络的入侵检测系统（基于网络的入侵检测系统（Network-based IDSNetwork-based IDS，NIDSNIDS）

12、用来保护网络中的多台主机，它以网络中的数用来保护网络中的多台主机，它以网络中的数用来保护网络中的多台主机，它以网络中的数用来保护网络中的多台主机，它以网络中的数据包作为分析对象据包作为分析对象据包作为分析对象据包作为分析对象 由于需处理大量数据，由于需处理大量数据，由于需处理大量数据，由于需处理大量数据，NIDSNIDS一般位于专用硬件平台上一般位于专用硬件平台上一般位于专用硬件平台上一般位于专用硬件平台上 所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式所在主机的网卡需设为混杂模式4.2.2 4.2.2 基于网络的监控（基于网络的监控（2 2）部署部署部署

13、部署NIDSNIDS时需考虑的问题时需考虑的问题时需考虑的问题时需考虑的问题 vvNIDSNIDS的部署位的部署位的部署位的部署位置？置？置？置？与网络本身的拓扑结构、管理员希望达到的与网络本身的拓扑结构、管理员希望达到的与网络本身的拓扑结构、管理员希望达到的与网络本身的拓扑结构、管理员希望达到的监控目的有关。监控目的有关。监控目的有关。监控目的有关。vv如何处理交换式网络？如何处理交换式网络？如何处理交换式网络？如何处理交换式网络？使用带调试端口的交换机；使用带调试端口的交换机；使用带调试端口的交换机；使用带调试端口的交换机；使用使用使用使用HubHub或或或或TrapTrap。4.2.2

14、4.2.2 基于网络的监控（基于网络的监控（3 3）NIDSNIDS的优点的优点的优点的优点vv能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击能够检测来自网络的攻击vv采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈采用旁路技术，不会成为系统中的瓶颈vv系统容易部署系统容易部署系统容易部署系统容易部署vv操作系统无关性操作系统无关性操作系统无关性操作系统无关性 NIDSNIDS的缺点的缺点的缺点的缺点vv在交换式网络环境下需添加额外的硬件设施在交换式网络环境下需添加额外的硬件设施在交换式网络环境下需添加额外的硬件设施在交

15、换式网络环境下需添加额外的硬件设施vv网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限网络流量较大时处理能力有限 vv不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境不适用于加密的网络环境 vv对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应对入侵不能做出合理的反应 4.2.3 4.2.3 混合型监控混合型监控混合型混合型混合型混合型IDSIDS的基本特点的基本特点的基本特点的基本特点vv结合了结合了结合了结合了HIDSHIDS和和和和NIDSNIDS的特点，既可以发现网的特点，既可以发现网的特点，既可以发现网的特点，既可

16、以发现网络中的攻击行为，又可以从系统日志中发现络中的攻击行为，又可以从系统日志中发现络中的攻击行为，又可以从系统日志中发现络中的攻击行为，又可以从系统日志中发现异常情况异常情况异常情况异常情况vv一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构一般采用分布监控、集中分析的体系结构4.3 4.3 入侵检测的分析技术入侵检测的分析技术在完成信息收集后，接下来要进行的工作就是对这些信在完成信息收集后，接下来要进行的工作就是对这些信在完成信息收集后，接下来要进行的工作就是对这些信在完成信息收集后，接下来要进行的工作就是对这些信息进行分析，看其

17、中是否包含了可疑的攻击行为。息进行分析，看其中是否包含了可疑的攻击行为。息进行分析，看其中是否包含了可疑的攻击行为。息进行分析，看其中是否包含了可疑的攻击行为。入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：入侵检测分析技术主要分成两类：vv误用检测误用检测误用检测误用检测：收集已有的入侵技术并建立知识库，通过匹配：收集已有的入侵技术并建立知识库，通过匹配：收集已有的入侵技术并建立知识库，通过匹配：收集已有的入侵技术并建立知识库，通过匹配查找来判断当前行为是否为入侵。查找来判断当前行为是否为入侵。查找来判断当前行为是否为入侵。查找来判断当前行为是否为入

18、侵。vv异常检测异常检测异常检测异常检测：系统管理员首先为网络通信流量、分组典型大：系统管理员首先为网络通信流量、分组典型大：系统管理员首先为网络通信流量、分组典型大：系统管理员首先为网络通信流量、分组典型大小等指标定义一个基线，或者说定义一个正常状态值。小等指标定义一个基线，或者说定义一个正常状态值。小等指标定义一个基线，或者说定义一个正常状态值。小等指标定义一个基线，或者说定义一个正常状态值。然后将待检测对象的状态与正常状态值进行比较，如果然后将待检测对象的状态与正常状态值进行比较，如果然后将待检测对象的状态与正常状态值进行比较，如果然后将待检测对象的状态与正常状态值进行比较，如果超出正常

19、值，则认为出现了攻击事件。超出正常值，则认为出现了攻击事件。超出正常值，则认为出现了攻击事件。超出正常值，则认为出现了攻击事件。4.3.1 4.3.1 误用检测（误用检测（1 1）模式匹配模式匹配模式匹配模式匹配vv检测原理：将数据包的内容与代表某种恶意事件或流量检测原理：将数据包的内容与代表某种恶意事件或流量检测原理：将数据包的内容与代表某种恶意事件或流量检测原理：将数据包的内容与代表某种恶意事件或流量的特征串进行逐字节地比较的特征串进行逐字节地比较的特征串进行逐字节地比较的特征串进行逐字节地比较 vv优点：分析速度快，误报率低优点：分析速度快，误报率低优点：分析速度快，误报率低优点：分析速

20、度快，误报率低 vv缺点：计算量大，尤其是模式库规模较大的情况下；只缺点：计算量大，尤其是模式库规模较大的情况下；只缺点：计算量大，尤其是模式库规模较大的情况下；只缺点：计算量大，尤其是模式库规模较大的情况下；只能检测给定类型的攻击，对稍微变形的攻击特征就束手能检测给定类型的攻击，对稍微变形的攻击特征就束手能检测给定类型的攻击，对稍微变形的攻击特征就束手能检测给定类型的攻击，对稍微变形的攻击特征就束手无策无策无策无策 4.3.1 4.3.1 误用检测（误用检测（2 2）专家系统专家系统专家系统专家系统vv检测原理：根据安全专家对可疑行为的分析经验来形成一检测原理：根据安全专家对可疑行为的分析经

21、验来形成一检测原理：根据安全专家对可疑行为的分析经验来形成一检测原理：根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构建相应的专家系统。套推理规则，然后再在此基础之上构建相应的专家系统。套推理规则，然后再在此基础之上构建相应的专家系统。套推理规则，然后再在此基础之上构建相应的专家系统。安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成安全专家的知识被表达成“if-then”if-then”格式。其中，每条规格式。其中，每条规格式。其中，每条规格式。其中，每条规则的则的则的则的if if部分代表某个入侵特征，部分代表某个入侵特征，部分代表某个入侵特征，部分

22、代表某个入侵特征，thenthen部分为系统的响应措施。部分为系统的响应措施。部分为系统的响应措施。部分为系统的响应措施。当当当当if if条件满足时即判断为入侵行为，并做出响应。条件满足时即判断为入侵行为，并做出响应。条件满足时即判断为入侵行为，并做出响应。条件满足时即判断为入侵行为，并做出响应。4.3.1 4.3.1 误用检测（误用检测（3 3）状态转移分析状态转移分析状态转移分析状态转移分析vv检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。检测原理：将状态转换图应用于入侵行为的分析。分析时首先针对每一种

23、入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定系统的初始状态和被入分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被侵状态，以及导致状态转换的转换条件，即导致系统进入被侵状态，以及导致状态转换的转换条件，即导致系统进入被侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每一个入侵状态必须执行的操作。然后用状态转换图来表示每

24、一个状态和特征事件。这样，一个入侵行为就被描绘成一系列导状态和特征事件。这样，一个入侵行为就被描绘成一系列导状态和特征事件。这样，一个入侵行为就被描绘成一系列导状态和特征事件。这样，一个入侵行为就被描绘成一系列导致目标系统从初始状态转换到被入侵状态的特征操作，及一致目标系统从初始状态转换到被入侵状态的特征操作，及一致目标系统从初始状态转换到被入侵状态的特征操作，及一致目标系统从初始状态转换到被入侵状态的特征操作，及一系列系统状态转换过程。系列系统状态转换过程。系列系统状态转换过程。系列系统状态转换过程。4.3.2 4.3.2 异常检测（异常检测（1 1）统计方法统计方法统计方法统计方法vv检测

25、原理：首先，检测器为系统对象创建一个统计描述，检测原理：首先，检测器为系统对象创建一个统计描述，检测原理：首先，检测器为系统对象创建一个统计描述，检测原理：首先，检测器为系统对象创建一个统计描述，统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围统计正常情况下的一些属性的值。当观察值在正常值范围之外时，则认为出现了攻击事件。之外时，则认为出现了攻击事件。之外时，则认为出现了攻击事件。之外时，则认为出现了攻击事件。vv细分为细分为细分为细分为基于阀值基于阀值基于阀值基于阀值和和和和基于轮廓基于轮廓

26、基于轮廓基于轮廓的检测技术的检测技术的检测技术的检测技术 基于阀值：统计事件在一定时间内发生频率，当其发生基于阀值：统计事件在一定时间内发生频率，当其发生基于阀值：统计事件在一定时间内发生频率，当其发生基于阀值：统计事件在一定时间内发生频率，当其发生频率超出正常值时，则认为出现了攻击事件。频率超出正常值时，则认为出现了攻击事件。频率超出正常值时，则认为出现了攻击事件。频率超出正常值时，则认为出现了攻击事件。基于轮廓：对用户过去的行为特征进行刻画，然后检查基于轮廓：对用户过去的行为特征进行刻画，然后检查基于轮廓：对用户过去的行为特征进行刻画，然后检查基于轮廓：对用户过去的行为特征进行刻画，然后检

27、查当前活动与这些特征（若干参数）间的差异，该方法以当前活动与这些特征（若干参数）间的差异，该方法以当前活动与这些特征（若干参数）间的差异，该方法以当前活动与这些特征（若干参数）间的差异，该方法以分析审计日志为基础分析审计日志为基础分析审计日志为基础分析审计日志为基础 。4.3.2 4.3.2 异常检测（异常检测（2 2）人工免疫人工免疫人工免疫人工免疫vv检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护检测原理：模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自体的非法行

28、为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。的系统能够将非自体的非法行为和自体的合法行为区分开来。下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中下表给出了生物系统和人工免疫系统中相关对象的对应关系：相关对象的对应关系：相关对象的对应关系：相关对象的对应关系：计算机免疫系统计算机免疫系统生物有机体生物有机体自自 体体合法的应用程序、正常的网络行合法的应用程序、正常的网络行合法的应用程序、正常的网络行合法的应用程序、正常的网络行为等为等为等为等自体细胞

29、自体细胞自体细胞自体细胞非非 自自 体体计算机病毒、网络入侵等计算机病毒、网络入侵等计算机病毒、网络入侵等计算机病毒、网络入侵等抗原抗原抗原抗原通过自体耐受得到通过自体耐受得到的检测器的检测器入侵检测器入侵检测器入侵检测器入侵检测器抗体抗体抗体抗体4.4 IDS4.4 IDS的体系结构的体系结构集中式体系结构（集中式体系结构（1 1）集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组集中式入侵检测系统由一个中心站和若干监控代理组成。监控代理分布在各关键节点上，负责收集本地审成。监控代理分布在各关键节点上，负

30、责收集本地审成。监控代理分布在各关键节点上，负责收集本地审成。监控代理分布在各关键节点上，负责收集本地审计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后计数据，并将其转换成与操作系统无关的格式，然后送往中心站统一进行分析。送往中心站统一进行分析。送往中心站统一进行分析。送往中心站统一进行分析。4.4 IDS4.4 IDS的体系结构的体系结构集中式体系结构（集中式体系结构（2 2）优点：优点：优点：优点：vv不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响不会给被监控系统的性能带来影响不会给被监

31、控系统的性能带来影响vv更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策更容易做出全局性的决策 vv由于中心站比被监视主机具有更高和更加严格的安全措施，由于中心站比被监视主机具有更高和更加严格的安全措施，由于中心站比被监视主机具有更高和更加严格的安全措施，由于中心站比被监视主机具有更高和更加严格的安全措施，从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现从而保证入侵检测功能更加可靠地实现vv集中式的策略管理还可大大简化安全管理工作，提高安全对集中式的策略管理还可大大简化安全管理工作，提高安全对集中式的策略管理还可大大简化安

32、全管理工作，提高安全对集中式的策略管理还可大大简化安全管理工作，提高安全对策应用的有效性和一致性策应用的有效性和一致性策应用的有效性和一致性策应用的有效性和一致性 4.4 IDS4.4 IDS的体系结构的体系结构集中式体系结构（集中式体系结构（3 3）缺点：缺点：缺点：缺点：vv中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重中心站与各主机监控代理之间的通信过于繁重vv存在单点失效。一旦中心站失败，则将导致检测功能的丧失存在单点失效。一旦中心站失败，则将导致检测功能的丧失存在单点失效。一旦中心站失败，则将导致检测功能的丧失

33、存在单点失效。一旦中心站失败，则将导致检测功能的丧失 vv单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求单一的中心站难以适应所有被监视主机的各种不同需求4.4 IDS4.4 IDS的体系结构的体系结构分布式体系结构分布式体系结构在分布式体系结构中，数据采集及数据分析都是分布在分布式体系结构中，数据采集及数据分析都是分布在分布式体系结构中，数据采集及数据分析都是分布在分布式体系结构中，数据采集及数据分析都是分布完成的完成的完成的完成的 细分为细分为细分为细分为层次式层次式层次式层次式和和和和协同式协

34、同式协同式协同式两种两种两种两种vv层次式：树型的分层体系。叶结点负责信息收集，中间结点层次式：树型的分层体系。叶结点负责信息收集，中间结点层次式：树型的分层体系。叶结点负责信息收集，中间结点层次式：树型的分层体系。叶结点负责信息收集，中间结点承上启下，根节点进行全局的关联分析及判断。承上启下，根节点进行全局的关联分析及判断。承上启下，根节点进行全局的关联分析及判断。承上启下，根节点进行全局的关联分析及判断。vv协同式：没有中心节点，多个互相平等的检测节点在网络中协同式：没有中心节点，多个互相平等的检测节点在网络中协同式：没有中心节点，多个互相平等的检测节点在网络中协同式：没有中心节点，多个互

35、相平等的检测节点在网络中分别进行数据收集及数据分析，并且协同处理大规模的入侵分别进行数据收集及数据分析，并且协同处理大规模的入侵分别进行数据收集及数据分析，并且协同处理大规模的入侵分别进行数据收集及数据分析，并且协同处理大规模的入侵行为。行为。行为。行为。4.5 4.5 使用使用SnortSnort搭建搭建NIDSSnortNIDSSnort简介（简介（1 1）SnortSnort简介简介简介简介vv开源软件，除了用作入侵检测系统，还可以用开源软件，除了用作入侵检测系统，还可以用开源软件，除了用作入侵检测系统，还可以用开源软件，除了用作入侵检测系统，还可以用作嗅探器和包记录器。作嗅探器和包记录

36、器。作嗅探器和包记录器。作嗅探器和包记录器。vv基于基于基于基于libpcaplibpcap的轻量级网络入侵检测系统的轻量级网络入侵检测系统的轻量级网络入侵检测系统的轻量级网络入侵检测系统vv可支持多种操作系统平台：可支持多种操作系统平台：可支持多种操作系统平台：可支持多种操作系统平台：WindowsWindows、LinuxLinux、SolarisSolaris、FreeBSDFreeBSD等等等等4.5 4.5 使用使用SnortSnort搭建搭建NIDSSnortNIDSSnort简介（简介（2 2）解码器：解码器：负责从网络接口上获取数据包。负责从网络接口上获取数据包。检测引擎：检测

37、引擎：该子系统是该子系统是Snort工作在入侵检测模式下的核心部分，工作在入侵检测模式下的核心部分，它使用基于规则匹配的方式来检测每个数据包。一旦发现数据它使用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特征符合某个规则定义，则触发相应的处理操作。包的特征符合某个规则定义，则触发相应的处理操作。日志警报子系统：日志警报子系统：规则中定义了数据包的处理方式，包括规则中定义了数据包的处理方式，包括alter（报警）、（报警）、log（记录）和（记录）和pass（忽略）等，但具体的（忽略）等，但具体的alter和和log操作则是由日志操作则是由日志/警报子系统完成的。日志子系统将解码得警报子

38、系统完成的。日志子系统将解码得到的信息以到的信息以ASCII码的格式或以码的格式或以tcpdump的格式记录下来，报警的格式记录下来，报警子系统将报警信息发送到子系统将报警信息发送到syslog、socket或数据库中。或数据库中。预处理器：预处理器：可选部件，用于提供除规则匹配外的检测机制。可选部件，用于提供除规则匹配外的检测机制。输出插件：输出插件：可选部件。用来格式化警报信息。使得管理员可以可选部件。用来格式化警报信息。使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。按照公司环境来配置容易理解、使用和查看的报警和日志方法。解码器预处理器检测引擎输出插件日志/警报子系

39、统SnortSnort的组成结构的组成结构的组成结构的组成结构 4.5 4.5 使用使用SnortSnort搭建搭建NIDSSnortNIDSSnort简介（简介（3 3）SnortSnort入侵检测流程入侵检测流程入侵检测流程入侵检测流程vvSnortSnort利用利用利用利用libpcaplibpcap进行抓包；进行抓包；进行抓包；进行抓包；vv由解码器将捕获的数据包信息填入包结构体，并将其送到各式由解码器将捕获的数据包信息填入包结构体，并将其送到各式由解码器将捕获的数据包信息填入包结构体，并将其送到各式由解码器将捕获的数据包信息填入包结构体，并将其送到各式各样的预处理器中；各样的预处理器

40、中；各样的预处理器中；各样的预处理器中；vv对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，将直接调用输出插件或者日志将直接调用输出插件或者日志将直接调用输出插件或者日志将直接调用输出插件或者日志/警报子系统进行输出；警报子系统进行输出；警报子系统进行输出；警报子系统进行输出；vv对于那些用于包重组和协议解码的预处理器来说，它们会将处对于那些用于包重组和协议解码的预处理器来说，它们会将处对于那些用于包重组和协议解码的预处理器来说

41、，它们会将处对于那些用于包重组和协议解码的预处理器来说，它们会将处理后的信息送往检测引擎；理后的信息送往检测引擎；理后的信息送往检测引擎；理后的信息送往检测引擎；vv检测引擎对数据包的特征及内容进行检查，一旦检测到与已知检测引擎对数据包的特征及内容进行检查，一旦检测到与已知检测引擎对数据包的特征及内容进行检查，一旦检测到与已知检测引擎对数据包的特征及内容进行检查，一旦检测到与已知规则匹配的数据包，或者利用输出插件进行输出，或者利用日规则匹配的数据包，或者利用输出插件进行输出，或者利用日规则匹配的数据包，或者利用输出插件进行输出，或者利用日规则匹配的数据包，或者利用输出插件进行输出，或者利用日志

42、志志志/警报子系统进行报警和记录。警报子系统进行报警和记录。警报子系统进行报警和记录。警报子系统进行报警和记录。4.5 Snort 4.5 Snort的使用的使用嗅探模式嗅探模式嗅探模式嗅探模式：#/#/#/#/usr/local/snort/bin/snort vdeusr/local/snort/bin/snort vdeusr/local/snort/bin/snort vdeusr/local/snort/bin/snort vde包记录模式：包记录模式：包记录模式：包记录模式：#./#./#./#./snort-dev-l/var/log/snort snort-dev-l/var/

43、log/snort snort-dev-l/var/log/snort snort-dev-l/var/log/snort#./snort-dev-r/var icmp#./snort-dev-r/var icmp#./snort-dev-r/var icmp#./snort-dev-r/var icmp 入侵检测模式入侵检测模式入侵检测模式入侵检测模式#./snort-dev-l/var/log/snort-c/path/to/snort.conf#./snort-dev-l/var/log/snort-c/path/to/snort.conf#./snort-dev-l/var/log/s

44、nort-c/path/to/snort.conf#./snort-dev-l/var/log/snort-c/path/to/snort.conf var/log/snort-c/path/to/snort.confvar/log/snort-c/path/to/snort.confvar/log/snort-c/path/to/snort.confvar/log/snort-c/path/to/snort.conf 4.5 4.5 使用使用SnortSnort搭建搭建NIDSSnortNIDSSnort的安装与配置的安装与配置仅安装仅安装仅安装仅安装SnortSnortvv捕获到的入侵检测

45、数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件捕获到的入侵检测数据以文本或者二进制的形式保存在文件中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息中，用户在审计阶段不得不面对大量的日志和警报信息 与其它软件配合使用与其它软件配合使用与其它软件配合使用与其它软件配合使用vv允许用户把捕获到的入侵检测数据保存到数据库中，以及使允许用户把捕获到的入侵检测数据保存到数据库中，以及使允许用户把捕获到的入侵检测数据保存

46、到数据库中，以及使允许用户把捕获到的入侵检测数据保存到数据库中，以及使用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进行分析用工具软件来对入侵检测数据进行分析 vv可配合使用的软件包括：可配合使用的软件包括：可配合使用的软件包括：可配合使用的软件包括：MySQLMySQL、ApacheApache、PHPPHP、ACIDACID、GDGD函数库、函数库、函数库、函数库、PHPLOTPHPLOT和和和和ADODBADODB4.5 4.5 使用使用SnortSnort搭建搭建NIDSNIDS编写自己的规则（编写自己的规则（1 1）SnortSnort

47、的规则在逻辑上可分为的规则在逻辑上可分为的规则在逻辑上可分为的规则在逻辑上可分为规则头规则头规则头规则头和和和和规则体规则体规则体规则体vv规规规规则头定义了基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数则头定义了基本的检测条件。其检测对象包括数据包的协议类型、源据包的协议类型、源据包的协议类型、源据包的协议类型、源/目的端口和源目的端口和源目的端口和源目的端口和源/目的目的目的目的IPIP，同时，同时，同时，同时还定义了出现匹配情况时将要采取的动作。还定义了出现匹配情况时将要采取的动作。还定义了出现匹配情况时将要采取的动作

48、。还定义了出现匹配情况时将要采取的动作。vv规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测规则体作为一个可选部分，通常定义了额外的检测条件和警报信息。条件和警报信息。条件和警报信息。条件和警报信息。alter tcp any any-192.168.1.0/24 22 (msg:“ssh access”;)alter tcp any any-192.168.1.0/24 22 (msg:“ssh access”;)规则头规则头规则头规则头规则体规则体规则体规则体4.5 4.5 使用使用SnortSnort搭建

49、搭建NIDSNIDS编写自己的规则（编写自己的规则（2 2）规则头的组成规则头的组成规则头的组成规则头的组成规则行为规则行为规则行为规则行为协议协议协议协议IPIP地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符IPIP地址地址地址地址端口端口端口端口规则示例规则示例规则示例规则示例alter tcp any any-192.168.1.0/24 111(content:”|00 01 86 alter tcp any any-192.168.1.0/24 111(content:”|00 01 86 a5|”;msg:”mounted access”;)a5|”;ms

50、g:”mounted access”;)4.5 4.5 使用使用SnortSnort搭建搭建NIDSNIDS编写自己的规则（编写自己的规则（3 3）规则头规则头规则头规则头 规则行为规则行为规则行为规则行为规则行为规则行为规则行为规则行为协议协议协议协议IPIP地址地址地址地址端口端口端口端口方向操作符方向操作符方向操作符方向操作符IPIP地址地址地址地址端口端口端口端口vv五种预定义规则五种预定义规则五种预定义规则五种预定义规则 log log 记录当前数据包的信息记录当前数据包的信息记录当前数据包的信息记录当前数据包的信息 alter alter 产生一个警报，同时记录该数据包的信息产生一