当前位置:文档之家 › snort入侵检测技术教学文案

snort入侵检测技术教学文案

  • 格式:doc
  • 大小:87.00 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

实验16Snort入侵检测

实验16Snort入侵检测
3. snort的启动
• 要启动snort,通常在windows命令行中输入下面 的语句: c:\snort\bin>snort -c "配置文件及路径" -l "日志 文件的路径" -d -e –X
• 其中: -X 参数用于在数据链接层记录raw packet 数据 -d 参数记录应用层的数据 -e 参数显示/记录第二层报文头数据 -c 参数用以指定snort 的配置文件的路径
Menu Quit
Snort介绍
3. snort的启动
如:
c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -d -e -X
•也可以控制snort将记录写入固定的安全记录文 件中:
c:\snort\bin>snort –A fast –c 配置文件及路 径 –l 日志文件及路径
第1章 程序设计基础
Computer network security technology
信息学院
Information Collage
Snort的使用
首都经济贸易大学 信息学院 计算机科学与应用系 郑小玲
zxl@
Snort的使用
实验目的
•通过实验深入理解IDS的原理和工作方式 ,熟悉入侵检测工具snort在Windows操 作系统中的安装和配置方法
Menu Quit
Snort介绍
1.Snort简介
• snort有三种工作模式:嗅探器、数据包记录器 、入侵检测系统。做嗅探器时,它只读取网络 中传输的数据包,然后显示在控制台上。作数 据包记录器时,它可以将数据包记录到硬盘上 ,已备分析之用。入侵检测模式功能强大,可 通过配置实现,但稍显复杂,snort可以根据用 户事先定义的一些规则分析网络数据流,并根 据检测结果采取一定的动作

snort入侵检测技术教学内容

snort入侵检测技术教学内容

Snort入侵检测系统分析2015年12月6日Snort入侵检测系统分析简介Snort的一些源代码是从著名的TCPDUMP软件发展而来的。

snort是一个基于LIBPCA包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。

它运行在一个“传感器”主机上,监听网络数据。

这台机器可能是一台简陋的运行FREEBSD系统的Pentium100 PC,并且至少有一个网卡。

Snort首先根据远端的IP地址建立目录,然后将检测到的包以TCPDUMP的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.Snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。

snort的报文截取代码是基于LIBPCA库的,继承了LIBPCA库的平台兼容性。

它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI 攻击、SMB探测、OS指纹特征检测等等。

snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。

snort具有实时报警能力。

可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用Winpopup消息。

snort具有良好的扩展能力。

它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。

snort还能够记录网络数据,其日志文件可以是TCPDUMP格式,也可以是解码的ASCII格式。

简单的说,Snort是数据包的嗅探器,也是数据包记录器,还是NIDS。

提供数据包嗅探和记录功能只是Snort的部分功能,Snort 的特点就是其入侵检测功能—根据入侵规则匹配数据包中的内容。

Snort还是一个自由,简介,快速,易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和winY2k上。

同时,它也是目前安全领域中,最活跃的开放源码工程之一。

入侵检测技术与Snort讲课文档

入侵检测技术与Snort讲课文档
✓ 针对入侵者采取的措施;
✓修正系统;
✓ 收集更详细的信息。
2.被动响应 在被动响应系统中,系统只报告和记录发生 的事件。
第十七页,共27页。
5.3 入侵检测系统的实现
第十八页,共27页。
网络安全需要各个安全设备
的协同工作和正确设置。由于
入侵检测系统位于网络体系中
的高层,高层应用的多样性导
致了入侵检测系统分析的复杂
第二十一页,共27页。
2)内网主干(防火墙内侧)
将检测器放在防火墙内侧,比放在DMZ中安全;受干扰 的机会少,报警几率也少;所检测到的都是已经渗透过防火 墙的攻击行为;也可以检测到内部可信用户的越权行为
3)外网入口(防火墙外侧)
可以记录针对目标网络的攻击类型,并进行计数
4)在防火墙的内外都放置
既可以检测内部攻击,又可以检测到外部攻击,无需猜测攻 击是否穿越防火墙,但开销大
数据
数据
事件
结 果
结果


数据分析 数据收集
第八页,共27页。
1.收集的数据内容
①主机和网络日志文件
主机和网络日志文件记录了各种行为类型,包含 了发生在主机和网络上的不寻常和不期望活动的证据, 留下黑客的踪迹,通过查看日志文件,能发现成功的 入侵或入侵企图,并很快启动响应的应急响应程序
②目录和文件中不期望的改变
5)关键子网
可检测到对系统关键部位的攻击,将有限的资源用在最值 得保护的地方,获得最大效益或投资比
3.在基于主机的IDS中部署入侵检测器
基于主机的IDS通常是一个程序,部署在最重要、最需要保护 的主机上
第二十二页,共27页。
检测到入侵行为需要报警。具体报警的内容 和方式,需要根据整个网络的环境和安全需要 确定。例如:

Snort网络入侵检测五种病毒

Snort网络入侵检测五种病毒

入侵检测技术实验Snort网络入侵检测学院:班级:姓名:学号:一、实验目的1)掌握数据库的使用方法和MySQLfront的安装使用方法2)掌握wireshark抓取数据包分析关键特征以及相关格式内容3)掌握病毒的工作原理和通信过程,交互的信息4)将这门课的内容结合实际进行分析和实践二、实验原理1)实验环境:WinPcap_4_1_2.exe 网络数据包截取驱动程序Snort_2_9_1_Installer.exe Windows 版本的Snort 安装包mysql-5.5.18-win32.msi Windows 版本的mysql安装包MySQL_Front_Setup.1765185107.exe mysql数据库可视化软件snortrules-snapshot-CURRENT.tar.gz Snort规则库Wireshark-win32-1.12.0.1410492379.exe抓包分析工具2)实验环境的搭建按照所给文档“Windows XP下安装配置Snort”的提示安装所需的软件,下面几个图片是成功安装的图片:图(1)建立snort库图(2)成功建立snort库图(3)成功启动snort进行检测至此,实验环境搭配成功。

三、实验内容1)测试检测效果测试虽然成功启动snort,但不能确定是否成功,故此测试任意IP端口进行测试配置此时的规则,修改local.rules文件,改规则为:alert ip any any -> any any (msg: "IP Packet detected";sid:1000000;)此时结果如下图:图(4)检测测试成功下面对选择的5款软件进行测试:2)凤凰RemoteABC 2008图(4)凤凰RemoteABC 2008抓取通信数据包分析特征:此时知道关键字为“8b4ca58172880bb”,通信协议为tcp,用此关键字作为特征进行抓取具体规则为:alert tcp any any -> any any (msg: "fenghuang";content:"8b4ca58172880bb"sid:104;)3)iRaT_Client抓取通信数据包进行分析:此时知道关键字为”Tnhou3JjfA==”,通信协议为tcp那么制作规则为:alert tcp any any -> any any (msg: "IRAT";content: "Tnhou3JjfA=="sid:100;)成功截取iRaT_Client的存在4)pcshare截取通信数据包进行分析:此时知道关键字为“Innnnnnnnnnnnnnnnnnnnnnnnn”,通信协议为tcp 则规则为:alert tcp any any -> any any (msg: "pcshare";content:"Innnnnnnnnnnnnnnnnnnnnnnnn "sid:1000;)检测pcshare成功5)任我行netsys截取通信数据包进行分析知,关键字为“UELHRU9ODQONC”,通信协议为tcp规则为:alert tcp any any -> any any (msg: "renwoxing";content: "UELHRU9ODQONC "sid:2110;)此时检测成功6)红黑远控截取通信数据包进行分析知,关键字为“Msg0008”,通信协议为tcp规则为:alert tcp any any -> any any (msg: "honghei";content: "Msg0008 "sid:102;)此时检测成功至此,五个小软件都测试成功。

第13章 Snort入侵检测的分析与使用 入侵检测技术课件

第13章 Snort入侵检测的分析与使用 入侵检测技术课件
版权所有,盗版必纠
13.1.3 Snort入侵检测的特点
• Snort遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以 自由使用。Snort具有如下一些特点:
• 1. Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩 包只有200KB不到。Snort可移植性非常好。Snort的跨平台性能极 佳,目前已经支持Linux系列,Solaris,BSD系列,IRIX,HP-UX, Windows系列,ScoOpenserver, Unixware等操作系统。
规则测试 事件队列排列
记 录 日 志
多规则检测
版权所有,盗版必纠
13.2 Snort的结构
• 3. 日志记录/告警系统 • 告警和日志是两个分离的子系统。日志允许将包解码收集到的信息以可
读的 格式或以tcpdump格式记录下来。可以配置告警系统,使其将告 警信息发送到syslog、flat文件、Unix套接字 或数据库中。在进行测试 或在入侵学习过程当中,还可以关掉告警。缺省情况下,所有的日志将 会写到 /var/log/Snort文件夹中,告警文件将会写到 /var/log/Snort/alerts文件中。
版权所有,盗版必纠
13.1.3 Snort入侵检测的特点
• 5. 使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。 Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者 使用一个程序,每次发送只有一个字节的数据包,完全可以避开 Snort的模式匹配。而被攻击的主机的TCP协议栈会重组这些数据, 将其发送给目标端口上监听的进程,从而使攻击包逃过Snort的监视。 使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort 具备对付上面攻击的能力。

入侵检测课程设计

入侵检测课程设计

一、Snort的安装、配置和使用
7、snort – vde
二、用Snort构建实用的入侵检测系统
安装、配置Snort
安装过程中需要进行配置,配置过程如下:sudo su
配置Apache
在“Step 3 of 5”界面上,输入用户名和密码,用于登陆BASE
此时,如果你看到了如下所示界面,说明数据库表创建成功,然后点击最下方的生成的配置文件复制下来:
alert ip any any -> any any (msg:"Got an IP Packet"; classtype:not-suspicious;sid:2000000; rev:1;) alert icmp any any -> any any (msg:"Got an ICMP Packet"; classtype:not-suspicious;sid:2000001;
2.6实验总结:
在上次的基础上继续这次的实验,因为有了之前的基础所以对snort有了更加清楚的了解,实验进行的比较顺利。

因为以前有过LAMP的搭建的经历所以对能很好的完成实验。

但是在写入侵检测规则的时候还有有些困难,因为要想写好一个规则要对通信的协议比较清楚,还要了解入侵的手段。

因为只有具备上述要求才能写出一条有效的规则。

三、简单的基于嗅探器的入侵检测系统的设计与实现。

网络安全实验Snort网络入侵检测实验

遵义师范学院计算机与信息科学学院告验报实)学期2013—2014学年第1 (网络安全实验课程名称:班级:号:学姓名:任课教师:计算机与信息科学学院.实验报告1闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现:监视、分析用户及系统活动··系统构造和弱点的审计·识别反映已知进攻的活动模式并向相关人士报警·异常行为模式的统计分析·评估重要系统和数据文件的完整性·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。

更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。

而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

:两种特征检测与异常检测入侵检测系统所采用的技术可分为,这一检测假设入侵Misuse detection 特征检测(Signature-based detection) 又称者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

的假设是入侵者活动异常于正常主体的活动。

根据这一(Anomaly detection)异常检测理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

异常检测的难题在于如何从而不把正常的操作作为“入侵”或忽略真建立“活动简档”以及如何设计统计算法,正的“入侵”行为入侵检测系统:Snort(Open C语言开发了开放源代码1998年,MartinRoesch先生用Snort简介:在已发展成为一个多平台直至今天,SnortSource)的入侵检测系统Snort.记录等特性的(Pocket)流量分析,网络IP数据包(Multi-Platform),实时(Real-Time)(Network IntrusionDetection/Prevention System),防御系统强大的网络入侵检测/在网上——GUN General Pubic License),(GPL即NIDS/NIPS.Snort符合通用公共许可基于并且只需要几分钟就可以安装并开始使用它。

网络安全实验Snort网络入侵检测实验.

遵义师范学院计算机与信息科学学院实验报告(2013—2014学年第1 学期)课程名称:网络安全实验班级:学号:姓名:任课教师:计算机与信息科学学院实验报告闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

这些都通过它执行以下任务来实现:·监视、分析用户及系统活动· 系统构造和弱点的审计· 识别反映已知进攻的活动模式并向相关人士报警· 异常行为模式的统计分析· 评估重要系统和数据文件的完整性·操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。

更为重要的一点是,它应该管理、配置简单,从而使非专业人员非常容易地获得网络安全。

而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。

入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接、记录事件和报警等。

入侵检测系统所采用的技术可分为特征检测与异常检测两种:特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。

它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。

其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。

异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。

根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。

异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为Snort入侵检测系统:Snort简介:在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。

《基于Snort的工业控制系统入侵检测系统设计与实现》

《基于Snort的工业控制系统入侵检测系统设计与实现》一、引言随着工业自动化和信息技术的发展,工业控制系统(ICS)已成为现代工业生产的重要组成部分。

然而,随着ICS的广泛应用,其面临的安全威胁也日益严重。

为了保障工业控制系统的安全稳定运行,设计并实现一套有效的入侵检测系统(IDS)显得尤为重要。

本文将介绍一种基于Snort的工业控制系统入侵检测系统的设计与实现。

二、系统设计1. 系统架构本系统采用分层架构设计,包括数据采集层、数据处理层、规则匹配层和告警输出层。

数据采集层负责收集工业控制系统的网络流量数据;数据处理层对收集到的数据进行预处理和特征提取;规则匹配层利用Snort的规则引擎进行入侵检测;告警输出层将检测到的入侵行为进行告警输出。

2. 数据采集数据采集是IDS的核心部分,通过部署在网络关键节点的探针或传感器,实时收集工业控制系统的网络流量数据。

为了保证数据的实时性和准确性,我们采用了高效的数据采集技术,包括流量镜像、网络抓包等。

3. 数据处理与特征提取数据处理层对收集到的网络流量数据进行预处理和特征提取。

预处理包括去除噪声、数据清洗等操作,以保证数据的可靠性。

特征提取则根据工业控制系统的特点,提取出与入侵行为相关的特征,如流量模式、协议特征等。

4. 规则匹配与告警输出规则匹配层利用Snort的规则引擎进行入侵检测。

Snort是一款开源的IDS系统,具有强大的规则匹配能力和灵活的配置选项。

通过配置Snort的规则库,实现对工业控制系统常见攻击的检测。

当检测到入侵行为时,系统将触发告警输出层,将告警信息发送给管理员或相关人员。

三、系统实现1. 开发环境与工具本系统采用C语言进行开发,使用Linux操作系统和Snort 作为核心组件。

开发过程中使用了Wireshark等网络分析工具进行数据包分析和调试。

同时,我们还使用了一些开源的库和框架,如OpenSSL等,以支持系统的功能实现。

2. 规则库构建与优化为了实现对工业控制系统常见攻击的检测,我们构建了一个包含多种规则的规则库。

课程设计snort

课程设计snort一、教学目标本课程的教学目标是使学生掌握Snort的基本概念、原理和配置方法。

通过本课程的学习,学生将能够:1.理解Snort的工作原理和功能特点;2.掌握Snort的安装和配置方法;3.学会使用Snort进行网络监控和入侵检测;4.了解Snort在网络安全领域的应用和价值。

二、教学内容本课程的教学内容主要包括以下几个部分:1.Snort概述:介绍Snort的起源、发展历程和版本信息,使学生对Snort有一个整体的认识。

2.Snort的工作原理:讲解Snort的工作原理,包括工作模式、检测引擎和规则匹配等,帮助学生理解Snort的内部机制。

3.Snort的安装与配置:详细介绍Snort的安装过程,以及如何在不同操作系统下配置Snort,让学生掌握实际操作能力。

4.Snort规则编写:讲解Snort规则的语法和编写方法,引导学生学会自定义规则,以满足不同场景的需求。

5.Snort应用案例:通过实际案例分析,使学生了解Snort在网络安全监测、入侵检测等方面的应用。

三、教学方法为了提高教学效果,本课程将采用以下教学方法:1.讲授法:教师讲解Snort的基本概念、原理和配置方法,引导学生掌握知识点。

2.案例分析法:通过分析实际案例,使学生了解Snort在网络安全领域的应用,提高学生的实践能力。

3.实验法:安排实验室实践环节,让学生动手配置和调试Snort,增强学生的实际操作能力。

4.讨论法:学生进行小组讨论,分享学习心得和经验,提高学生的沟通和协作能力。

四、教学资源为了支持本课程的教学,我们将提供以下教学资源:1.教材:选用权威、实用的教材,为学生提供系统、全面的学习资料。

2.参考书:推荐相关的参考书籍,拓展学生的知识视野。

3.多媒体资料:制作课件、视频等多媒体资料,丰富教学手段,提高学生的学习兴趣。

4.实验设备:提供实验室环境和相关设备,让学生能够进行实际操作练习。

五、教学评估本课程的教学评估将采用多元化的评价方式,以全面、客观地评估学生的学习成果。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

s n o r t入侵检测技术Snort入侵检测系统分析2015年12月6日Snort入侵检测系统分析简介Snort的一些源代码是从著名的TCPDUMP软件发展而来的。

snort是一个基于LIBPCA包的网络监控软件,可以作为一个十分有效的网络入侵监测系统。

它运行在一个“传感器”主机上,监听网络数据。

这台机器可能是一台简陋的运行FREEBSD系统的Pentium100 PC,并且至少有一个网卡。

Snort首先根据远端的IP地址建立目录,然后将检测到的包以TCPDUMP的二进制格式记录或者以自身的解码形式存储到这些目录中.这样一来,你就可以使用snort来监测或过滤你所需要的包.Snort是一个轻量级的入侵检测系统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。

snort的报文截取代码是基于LIBPCA库的,继承了LIBPCA库的平台兼容性。

它能够进行协议分析,内容搜索/匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。

snort使用一种灵活的规则语言来描述网络数据报文,因此可以对新的攻击作出快速地翻译。

snort具有实时报警能力。

可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用Winpopup消息。

snort具有良好的扩展能力。

它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。

snort还能够记录网络数据,其日志文件可以是TCPDUMP格式,也可以是解码的ASCII格式。

简单的说,Snort是数据包的嗅探器,也是数据包记录器,还是NIDS。

提供数据包嗅探和记录功能只是Snort的部分功能,Snort的特点就是其入侵检测功能—根据入侵规则匹配数据包中的内容。

Snort还是一个自由,简介,快速,易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和winY2k上。

同时,它也是目前安全领域中,最活跃的开放源码工程之一。

体系结构Snort有5个主要部件:捕包程序库libpcap、包解码器、预处理程序、检索引擎、输出组件。

图1 Snort组件数据流程图捕包装置把包以原始状态捕获后送给解码器。

解码器是进入Snort的第一步,它将特殊协议元素翻译成内部数据结构。

它的目的是剥落包头。

利用TCP-IP栈解码并且将包放入一个数据结构中。

在最初的捕包和解码完成后,有预处理程序处理流量。

许多插入式预处理程序对包进行检查或操作后将它们交给下一个组件——检索引擎。

检索引擎对每一个包的一个方面进行简单的检验以检测入侵。

最后一个组件是输出插件,它对可疑行为产生报警。

大规模的应用程序很少采用单机模式,Snort通常采用分布式体系对网络进行入侵检测。

最典型的安装方式是三层体系,即传感器层、服务器层、分析员控制台。

捕包程序库libpcap和包解码器运行在传感器上,负责对抓来的包进行解释并传递警报。

由于传感器必须放置在要监控入侵的网段,为了保证安全,通常只安装Snort和它在之上运行的支撑应用程序。

建议Linux或BSD等UNIX类型的操作系统。

传感器的两块网卡一块用作捕包接口不分配IP,一块用作管理接口分配IP。

捕包程序库libpcap运行在Libpcap平台上,由于Libpcap平台的独立性使得Snort可以被移植到任何地方,成为一个真正与平台无关的应用程序。

预处理程序预处理是Snort的一类插件。

它在检测引擎之前对数据进行处理,并且努力与不断变化的漏洞和攻击保持同步。

可以添加新的协议为Snort提供支持。

它既能对数据包操作以便检测引擎能正确分析包,又能检测特征检测所不能单独发现的可疑流量。

按功能可以分为三类:数据标准化,协议分析和非特征匹配检测。

数据标准化新的攻击方法和IDS躲避技术不断涌现,以至Snort的检测引擎要么不能检测,要么检测效率不高。

预处理程序可以将数据标准化以便检测引擎能正确对其分析。

多态病毒是为了躲避反病毒程序的特征匹配引擎而将病毒代码任意改造和变异。

同样的技术也被用于远程利用,shell代码具有多种形态。

Fnord预处理程序能检测出变异的NO-OP sled,从而避免了由于缓冲区溢出使处理器强制执行恶意代码导致的程序崩溃。

No-op sled能被许多IDS轻易地检测到,除非它在每次被使用时都做修改。

如果没有Fnord预处理,Snort将无法检测多态shell代码。

协议分析由于检测引擎能分析的协议很少,所以用协议处理程序来协助检测。

ASNI_decode就能检测ASNI(Abstract Syntax Notation抽象语法标记)协议中的不一致性。

较高的协议比如SNMP、LDAP和SSL都依赖ASNI。

几乎所有起用SNMP的设备都受到缓冲区溢出或是拒绝服务(DoS)攻击的影响。

非特征匹配检测这类预处理程序利用不同特征匹配的方法来捕获恶意流量。

例如所谓的侦察攻击通常只是一个报警信号,无法确定是不是攻击。

信息收集尝试利用了不合规格的流量,但这些流量通常在性质上是无害的。

Portscan2和stream4就能发现这类流量和一些恶意黑客使用的躲避技术。

检测引擎检测引擎是Snort的一个主要部件,有两个主要功能:规则分析和特征检测。

检测引擎通过分析Snort规则来建立攻击特征。

Snort规则被载入到检测引擎并以树形数据结构分类。

规则按功能分为两个部分:规则头(规则树节点)和规则选项(选项树节点)。

规则头包含特征应用的条件信息。

树形结构通过最小化发现可疑行为的必要检测次数来提高效率。

恶意行为被发现后,Snort将入侵数据写入许多输出插件。

检测可疑净荷Snort特征能检测的不只限于包头数据,它也能检测藏在一个看似正常的包中的可疑净荷。

某些可疑净荷可能会引起Windows协议的缓冲区溢出并导致目标主机崩溃。

Snort还能捕获大范围的内容类型:任何来自最新的P2P文件共享工具的流量都带有导致远程缓冲区溢出的内容。

Snort能用来对任何你所担心的包净荷进行监控并报警。

通过特征检测可疑流量最有效的检测对系统或网络的攻击的方法是基于特征的检测。

基于特征的检测的基础是异常或恶意网络流量符合一种独特的模式,而正常或良性流量不符合。

对Snort来说,一个恶意流量特征可以被创建成一个规则以载入它的检测引擎,用于进行特征匹配。

Internet控制报文协议(Internet Control Message Protocol,ICMP)主要用于ping命令来检查某个IP地址是否有主机存在。

它被用于黑客常常使用的一个网络发现工具NMAP。

NMAP利用的ICMP ping 的特征将ICMP类型域设为8并且净荷数据为空。

这与在Windows 或UNIX操作系统下直接用ping命令不同。

根据这一点,就可以创建一条相关规则,如果网络中有匹配这一特征的流量就会引起报警。

需要强调的是:Snort不一定要运行在这一流量要到达的计算机上,它只需要处于同一个网段就能嗅探到该流量。

因此,Snort能检测出针对大量受保护主机的NMAP ping扫描。

检测具体协议元素Snort特征可以具体针对特殊协议的一个元素描述。

例如.ida扩展名是一个很少用到的微软ISS索引服务的组件,能远程导致严重的缓冲区溢出进而远程控制Web服务器,还能产生大量红色代码蠕虫,使得合法用户几乎从外部通过.ida文件使用的索引服务。

Snort的这个特征规则是只搜索URL内容而不是整个净荷,因而更为高效。

用客户规则扩展覆盖面Snort支持的规则对所有网络是通用的,要想做好入侵检测工作,需要能针对具体网络指定特定的规则,Snort的一个特色就是能赋予程序员编写自己规则的能力。

启发式的可疑流量检测特征匹配虽然高效,但不能达到100%的准确率,因为有些有害流量没有可识别的特征。

统计包异常检测引擎(SPADE)模块就是通过启发式匹配对无可匹配特征的可疑流量进行检测。

SPADE观测网络并建立一张描述网络低流量的表。

这张表记载的数据包括包的类型和源地址、目的地址。

在表达到一定大小后,SPADE挑出的每一个包将被赋给一个数值,该数值的大小取决于它在表中出现的频率。

频率越低,则该数值越大。

当该数值达到某一匹配好的极限时就会产生报警。

这种方法对检测黑客的侦察行动是很有效的。

黑客常常缓慢地扫描端口,企图通过把自己的扫描数据淹没在大量的数据中来隐蔽自己。

但即使一个黑客使用多个源地址进行活动,也会被SPADE注意。

分布式拒绝服务攻击(DDoS)是多台受控主机向一台主机发送大量伪造的请求使得合法用户无法访问服务器,但它也能被SPADE检测到。

采集入侵数据想预知黑客会对网络进行哪些恶意行为几乎是不可能的,唯一的解决方案是将与恶意流量对应的所有净荷保存起来。

Snort可以将所有可能含有恶意的净荷记入日志。

评估威胁净荷包含的数据常常是反映攻击者意图的窗口。

净荷数据能协助确定一次攻击是否是人为操纵。

蠕虫病毒加大了这一任务的难度。

蠕虫可以具有复杂的攻击步骤,包括一张关于攻击手段和受害主机后门的详细清单。

常常与人类攻击者遵循相同的模式。

如果能够检查净荷数据,就有可能将他与蠕虫的已知行为比较,并弄清你面对的是哪种类型的威胁。

如果最终确定是人进行的攻击,就可以通过净荷数据来确定攻击者的技术水平,是脚本族还是黑客高手。

脚本族可以通过将攻击特征与常用工具的特征进行比较来识别。

利用输出插件进行报警Snort利用输出插件从检测引擎获取入侵数据,程序员可以根据需要自行配置。

输出插件的目的是将报警数据转存到另一种资源或文件中。

Snort输出以各种格式记入日志以便入侵数据能方便地为其他应用程序或工具使用。

输出插件有以下功能:聚集数据以一种工业标准格式从许多完全不同的安全装置聚集数据。

从而进行事件相关。

用统一格式和Barnyard程序记录日志传统的关系数据库输出插件是制约Snort处理带宽能力的因素之一,Barnyard能将二进制数据解析成与它相关的数据库插件能识别的格式,以完全独立于Snort的方式运行,而不影响Snort的捕包能力。

报警Snort有两种主要的报警方法:syslog和swatch报警、入侵数据库控制台ACID报警。

Swatch是一种简单且功能强大的工具。

它能积极地监控系统日志,当发生了事先配置的事件是就发出报警。

可采用传呼、email或声音等方式。

ACID是从数据库读取入侵数据并以友好的格式把它显示在浏览器中,供分析员处理。

它具有复杂查询功能。

还可以按逻辑功能对报警分组并关联到Internet上CVE标准漏洞库的对应记录上。

ACID还有一个绘图组件可以用来生成统计图表。

分层报警IDS领域的报警分为三类:无优先级报警、严格编码的优先级报警、可定制的优先级报警。

无优先级报警:不能按严重程度进行分类,通告会变得非常多,无法采用紧急时间自动通知机制。