同济大学入侵检测实验04-入侵检测系统的构建实验指导书(sr)

实验四：入侵检测系统的构建

一、实验目的

了解现有入侵检测系统的产品情况；掌握开源入侵检测系统（snort）的安

装、配置和使用方法。

二、实验内容

1）在 WINDOW平台上安装最新版本的 SNORT；

2）熟悉并了解 SNORT 的配置方法；

3）熟悉并了解 SNORT 的三种不同工作模式。

4）熟悉并了解 SNORT 的入侵检测用规则的语法及规则编写方法；

5）编写检测规则,实现网络入侵行为的检测功能,并对其优缺点进行评估。

三、实验准备

1．SNORT 入侵检测系统的特性

开源特性：

SNORT 是基于GPL 的跨多平台、轻量级、网络入侵检测软件。功能强大，代码简洁、短小， 并采用C语言实现。在遵循GPL的条件

下，任何人都可以使用该软件或者基于该软件进行二次开发。该系统是

目前最活跃的开源项目之一。

模块化结构：

SNORT 的结构分为解码器、检测引擎和报警与日志等三个部分。各部分均可以采用相应的模块进行扩展。解码器部分可以支持的模块是各

种预处理器模块，以实现对各种协议的网络数据包进行不同层次的解

码；规则引擎可以通过规则的扩充与修改实现不同入侵行为的检测；报

警与日志部分则支持多种报警与日志输出模式，并可以借助各种输出插

件进行功能的扩展或调整。

基于规则的入侵检测技术：

SNORT 是一种基于规则匹配的网络入侵检测器。在检测时，SNORT 会对规则文件中的规则进行解析，并在内存中建立规则树。检测时，每读入一个数据包，首先对包进行解码处理。然后，将解码后的数据包与规则树进行匹配工作。若找到相关的匹配规则，将触发该规则指定的报警或日志动作。

规则描述了入侵行为的特征；因此，SNORT是一种误用入侵检测技术。但借助相关的插件，例如 SPADE，SNORT 也可实现一定程度的异常入侵检测功能。

2．SNORT 的三种工作模式

SNORT 支持三种工作模式，分别为嗅探器工作模式、数据包记录模式

和网络入侵检测工作模式：

2.1 嗅探器工作模式： snort -vde.

该模式下，SNORT 将对网络数据包进行解码工作，并按照命令选项开指定的信息粒度，将数据包信息输出至用户终端供用户查看、分析。

2.2 网络数据包记录模式：snort –vde –l path/log。

该模式与嗅探器工作模式相比，SNORT 会将数据包信息记录至日志文件。日志文件的目录路径由 path/log 指定。

2.3 网络入侵检测工作模式：snort –vde –c path/snort.conf

该模式为SNORT 最重要最复杂的工作模式。在该模式下，STIDE将按照 SNORT.CONF文件的配置信息，完成网络入侵检测的功能。

3．SNORT 入侵检测规则语法及规则编写方法

SNORT 入侵检测规则的目的是描述入侵行为的特征。SNORT 规则语法

简单，实用。通常，一种规则分为规则头和规则选项等两部分：

规则头

Alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 111

( content: “｜00 01 86 a5|”; msg: “external mounted access”;)

规则选项

规则头通常包括：规则匹配时的触发动作、所检测数据包的协议、源和

目的IP地址、子网掩码以及端口号等；其中，子网的定义使用CIDR表示。

规则选项包括报告信息、检测的数据包区域位置信息等等共42种选项。随着SNORT的功能扩展，选项数目还有可能进一步增加或调整。

制订规则时，要注意效率与速度。检测时，每个数据包都必须与规则树中的每条规则进行匹配工作，因此，匹配（或检测的）效率与速度是一个关键因素。好的规则通常都包括CONTENT选项，并且给出被检测内容在数据包内的具体偏移地址。

规则的制订通常有两种方式；第一种根据网络访问安全策略来制订；第二种则是根据具体的入侵行为所产生的数据包与正常数据包的差异来找出入侵特征的表达方法。这两种方法分别示例如下：

示例一：根据网络访问安全策略制订规则

alert tcp $EXTERNAL_NET any -> 192.168.1.0/24 any (msg:

“Policy: external net attempt to access 192.168.1.0/24";

classtype: attempted-recon; sid 10002; rev: 1;)

示例二：根据入侵行为特征制订规则

alert tcp $EXTERNAL_NET any -> $HOME_NET 12345

(msg:"BACKDOOR netbus getinfo"; flow: to_server,

established; content:"GetInfo|0d|";)

总体上说，SNORT 规则的制订具有以下特点：

¾以端口为特征

¾以标志位或者协议的字段为特征

¾以某个数据段为字符串特征

四、实验步骤

1．安装winPcap捕包库：

¾捕包库的功能：

1.获得网络适配器列表及各适配器的信息

2.采用选定的网络适配器采集数据包

3.将数据包存于硬盘，或提供给SNORT

¾捕包库安装方法：

1. 双击安装文件winPcap_3_0.ext；

2. 采用缺省安装方式完成后续安装工作。

¾注意事项：

1. SNORT 工作时，要求捕包库必须已经正确地完成安装。

2. 不同版本的 SNORT，要求配合使用不同版本的捕包库。

2．安装SNORT

经测试，我们在windows平台上安装2.1.0版的SNORT供实验。具体安装过程如下：

¾双击 snort-2_1_0.exe 安装包，出现如下安装界面：

¾对于GPL LICENSE，点击同意，进入步骤2。