入侵检测系统应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实训11:windows下配置snort(一)
【实验原理】
一、Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索或匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
二、snort特点:
1.Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。Snort 可移植性非常好。
2.Snort具有实时流量分析和日志Ip网数据包的能力。
3.Snort能够进行协议分析,内容的搜索/匹配。
4.Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:Postagresql, MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。
5.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。
6.使用Spade(Statistical Packet Anomaly Detection Engine)插件,Snort能够报告非正常的可以包,从而对端口扫描进行有效的检测。
7.Snort还有很强的系统防护能力。
8.扩展性能较好,对于新的攻击威胁反应迅速。
9.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。
10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。
三、入侵检测的原理
1、信息收集
入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
1)系统和网络日志文件
黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。
2)目录和文件中的不期望的改变
网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。
3)程序执行中的不期望行为
网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。
4)物理形式的入侵信息
这包括两个方面的内容: 一是未授权的对网络硬件连接;二是对物理资源的未授权访问。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。
2.信号分析
对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
【实验环境】
证书服务器要求Windows xp以上操作系统,2台以上互相连通的计算机。所需软件:首先得到我们需要的软件包(最新软件包):
●appserv-win32-2.4.1.exe
作用:可快速建立Apache/PHP/MySQL环境。
网址:/?modules=&applang=tw
备注:请下载2.4.1版本即可,否则Snort连结至MySQL会产生错误。
●WinPcap_3_0.exe
作用:把网卡设置为“混杂”模式,然后处理网络截取的封包
网址:http://winpcap.polito.it/default.htm
●Snort_232_Build12_Installer.exe或2.0版本
作用:Windows版的Snort安装程序网址:/
●acid-0.9.6b23.tar.gz
作用:PHP网页模式的入侵侦测数据库分析控制台。网址:/kb/acid/
●adodb480.zip
作用:PHP数据库链接库网址:/
●jpgraph-1.20.3.tar.gz