入侵檢測(cè)課程設(shè)計(jì)---基于snort的入侵檢測(cè)系統(tǒng)

1、<p><b>　　入侵檢測(cè)課程設(shè)計(jì)</b></p><p>　　題 目 基于snort的入侵檢測(cè)系統(tǒng)</p><p>　　計(jì)算機(jī)科學(xué)學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù) 專業(yè)</p><p>　　10 級(jí) 計(jì)算科學(xué)與技術(shù)本科 班</p><p><b>　　一、課程設(shè)計(jì)目的</b></p&g

2、t;<p>　　1、通過(guò)實(shí)驗(yàn)深入理解入侵檢測(cè)系統(tǒng)的原理和工作方式。</p><p>　　2、熟悉入侵檢測(cè)工具snort在Windows操作系統(tǒng)中的安裝和配置方法。</p><p>　　3、通過(guò)使用 Snort，了解基于網(wǎng)絡(luò)和主機(jī)的入侵檢測(cè)系統(tǒng)的工作原理和應(yīng)用方法。</p><p><b>　　二、課程設(shè)計(jì)的原理</b></p

3、><p>　　1、入侵檢測(cè)技術(shù)簡(jiǎn)介</p><p>　　入侵檢測(cè)就是一個(gè)監(jiān)視計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)上發(fā)生的事件，然后對(duì)其進(jìn)行安全分析的過(guò)程。它可以用來(lái)發(fā)現(xiàn)外部攻擊與合法用戶濫用特權(quán)，根據(jù)用戶的歷史行為,基于用戶的當(dāng)前操作,完成對(duì)入侵的檢測(cè),記錄入侵證據(jù),為數(shù)據(jù)恢復(fù)和事故處理提供依據(jù)。入侵檢測(cè)系統(tǒng)的原理如圖A所示：</p><p>　　圖A 入侵檢測(cè)的原理圖</p&g

4、t;<p>　　大多數(shù)的入侵檢測(cè)系統(tǒng)都可以被歸入到基于主機(jī)、基于網(wǎng)絡(luò)以及分布式三類?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)是一種早期的IDS設(shè)計(jì)模型，它主要設(shè)計(jì)用來(lái)監(jiān)視單一的服務(wù)器，因?yàn)镈NS、Email和web服務(wù)器是多數(shù)網(wǎng)絡(luò)攻擊的目標(biāo)，這些攻擊大約占據(jù)全部網(wǎng)絡(luò)攻擊事件的1/3以上，基于主機(jī)的入侵檢測(cè)系統(tǒng)就是為了解決這些問(wèn)題而設(shè)計(jì)的，它能夠監(jiān)視針對(duì)主機(jī)的活動(dòng)（用戶的命令、登錄/退出過(guò)程，使用數(shù)據(jù)等等），它的特點(diǎn)就是針對(duì)性好而且，效果明顯

5、，誤報(bào)率低?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是后于基于主機(jī)入侵檢測(cè)系統(tǒng)而出現(xiàn)的，它主要用于集中用于監(jiān)控通過(guò)網(wǎng)絡(luò)互連的多個(gè)服務(wù)器和客戶機(jī)，能夠監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)發(fā)現(xiàn)入侵或者攻擊的蛛絲馬跡。分布式IDS通過(guò)分布于各個(gè)節(jié)點(diǎn)的傳感器或者代理對(duì)整個(gè)網(wǎng)絡(luò)和主機(jī)環(huán)境進(jìn)行監(jiān)視，中心監(jiān)視平臺(tái)收集來(lái)自各個(gè)節(jié)點(diǎn)的信息監(jiān)視這個(gè)網(wǎng)絡(luò)流動(dòng)的數(shù)據(jù)和入侵企圖。</p><p>　　在入侵檢測(cè)系統(tǒng)中,系統(tǒng)將用戶的當(dāng)前操作所產(chǎn)生的數(shù)據(jù)同用戶的歷史操作數(shù)據(jù)根據(jù)一定的

6、算法進(jìn)行檢測(cè),從而判斷用戶的當(dāng)前操作是否是入侵行為,然后系統(tǒng)根據(jù)檢測(cè)結(jié)果采取相應(yīng)的行動(dòng)。入侵檢測(cè)的過(guò)程是一個(gè)機(jī)器(檢測(cè)工具)與人(黑客)對(duì)抗的決策分析過(guò)程,其技術(shù)基礎(chǔ)是基于知識(shí)的智能推理,需要用到人工智能的相關(guān)技術(shù)。</p><p>　　各種入侵檢測(cè)系統(tǒng)使用的檢測(cè)方法可以分為兩類：基于特征碼的檢測(cè)方法和異常檢測(cè)。使用基于特征碼檢測(cè)方法的系統(tǒng)從網(wǎng)絡(luò)獲得數(shù)據(jù)，然后從中發(fā)現(xiàn)以知的攻擊特征。例如：在某些URL中包含一些奇

7、怪的Unicode編碼字符就是針對(duì)IIS Unicode缺陷的攻擊特征。此外各種模式匹配技術(shù)的應(yīng)用，提高了這種檢測(cè)方法的精確性。使用異常檢測(cè)的系統(tǒng)能夠把獲得的數(shù)據(jù)與一個(gè)基準(zhǔn)進(jìn)行比較，檢測(cè)這些數(shù)據(jù)是否異常。例如：如果一個(gè)雇員的工作時(shí)間是上9點(diǎn)到下午5點(diǎn)，但是在某個(gè)晚上他的計(jì)算機(jī)記錄了他曾經(jīng)在半夜登錄了公司的郵件服務(wù)器，這就是一個(gè)異常事件，需要深入調(diào)查。現(xiàn)在，大量的統(tǒng)計(jì)學(xué)方法用于這個(gè)領(lǐng)域。</p><p>　?。?）

8、入侵檢測(cè)系統(tǒng)定義</p><p>　　入侵檢測(cè)系統(tǒng)(Intrusion Detection System，簡(jiǎn)稱IDS)是一種從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集入侵者攻擊時(shí)所留下的痕跡，如異常網(wǎng)絡(luò)數(shù)據(jù)包與試圖登錄的失敗記錄等信息，通過(guò)分析發(fā)現(xiàn)是否有來(lái)自于外部或內(nèi)部的違反安全策略的行為或被攻擊的跡象。它以探測(cè)與控制作為技術(shù)本質(zhì)，起著主動(dòng)式、動(dòng)態(tài)的防御作用，是網(wǎng)絡(luò)安全中極其重要的組成部分。目前入侵檢測(cè)涉及到的功

9、能有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集與系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全策略的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)等。 </p><p>　?。?）入侵檢測(cè)系統(tǒng)的作用</p><p>　　入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系

10、統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。</p><p>　?。?）入侵檢測(cè)系統(tǒng)的檢測(cè)信息來(lái)源</p>

11、<p>　　入侵檢測(cè)系統(tǒng)的檢測(cè)信息來(lái)源都是通過(guò)自身的檢測(cè)部分Sensor 得到的?；诰W(wǎng)絡(luò)的入侵檢測(cè)，主要是通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的截取分析，來(lái)查找具有攻擊特性和不良企圖的數(shù)據(jù)包的。在網(wǎng)絡(luò)里基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的檢測(cè)部分Sensor 一般被布置在一個(gè)交換機(jī)的鏡象端口（或者一個(gè)普通的HUB任意端口），聽(tīng)取流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包，查找匹配的包，來(lái)得到入侵的信息源?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的Sensor 不可能直接從系統(tǒng)內(nèi)部獲取信息的，它是

12、要通過(guò)一個(gè)事先做好的代理程序，安裝在需要檢測(cè)的主機(jī)里的，這些代理程序主要收集系統(tǒng)和網(wǎng)絡(luò)日志文件，目錄和文件中的不期望的改變，程序執(zhí)行中的不期望行為，物理形式的入侵信息。</p><p>　?。?）入侵檢測(cè)方法介紹 </p><p>　　當(dāng)前入侵檢測(cè)技術(shù)的發(fā)展方向主要有兩個(gè)：一是基于異常方式的入侵檢測(cè) (Anomaly Detection)，另一個(gè)是基于誤用方式的入侵檢測(cè)(Misuse De

13、tection)。</p><p>　　基于異常入侵檢測(cè)技術(shù)是通過(guò)檢測(cè)攻擊者與合法用戶具有的不同特征來(lái)識(shí)別入侵行為。例如，如果用戶A僅僅是在早上9點(diǎn)鐘到下午5點(diǎn)鐘之間在辦公室使用計(jì)算機(jī)，則用戶A在晚上的活動(dòng)是異常的，就有可能是入侵。異常檢測(cè)試圖通過(guò)定量方式描述常規(guī)的或可接受的行為，以標(biāo)記非常規(guī)的、潛在的入侵行為。異常入侵檢測(cè)的主要前提是入侵性活動(dòng)作為異?；顒?dòng)的子集，異常檢測(cè)主要使用概率統(tǒng)計(jì)方法，還有順序模式歸納產(chǎn)

14、生法和神經(jīng)網(wǎng)絡(luò)等檢測(cè)方法。隨著對(duì)計(jì)算機(jī)系統(tǒng)弱點(diǎn)和攻擊方法的不斷收集和研究，入侵特征化描述的方法越來(lái)越有效，這使得誤用檢測(cè)的使用也越來(lái)越廣泛。 </p><p>　　基于誤用入侵檢測(cè)技術(shù)是根據(jù)己知的入侵模式來(lái)檢測(cè)。入侵者常常利用系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行攻擊，而這些弱點(diǎn)可以歸類為某種模式，如果入侵者攻擊方式恰好匹配上檢測(cè)系統(tǒng)中的模式庫(kù)，則入侵者即被檢測(cè)到。例如，Windows的IIS常見(jiàn)的CGI,SQL等漏洞，就可以

15、根據(jù)它的攻擊特征進(jìn)行檢測(cè)。誤用檢測(cè)使用的方法主要有專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析、基于模型的方法和模式匹配，人工智能技術(shù)、免疫檢測(cè)和自主代理等方法正在實(shí)踐或者科研當(dāng)中。 </p><p>　　2、Snort簡(jiǎn)介 </p><p>　　Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)

16、攻擊進(jìn)行實(shí)時(shí)警報(bào)。此外，Snort具有很好的擴(kuò)展性和可移植性。</p><p>　?。?）Snort的特點(diǎn)：</p><p>　　Snort是一個(gè)強(qiáng)大的清量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志Ip網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容搜索/匹配。它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)警報(bào)。此外，Snort具有很好的擴(kuò)展性和可移植性。還有，這個(gè)軟件遵循公用許可GPL，

17、所以只要遵守GPL任何組織和個(gè)人都可以自由使用。</p><p>　　①Snort雖然功能強(qiáng)大，但是其代碼極為簡(jiǎn)潔，短小，其源代碼壓縮包只有200KB不到。Snort可移植性非常好。Snort的跨平臺(tái)性能極佳，目前已經(jīng)支持Linux系列， Solaris,BSD系列，IRIX,HP-UX,Windows系列，ScoOpenserver,Unixware等。</p><p>　　②Snort

18、具有實(shí)時(shí)流量分析和日志Ip網(wǎng)數(shù)據(jù)包的能力。能夠快速地檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出警報(bào)。Snort的警報(bào)機(jī)制很豐富。</p><p>　　例如：Syslog,用戶指定文件，UnixSocket，還有使用SAMBA協(xié)議向Windows客戶程序發(fā)出WinPopup消息。利用XML插件，Snort可以使用SNML(簡(jiǎn)單網(wǎng)絡(luò)標(biāo)記語(yǔ)言.simple network markup language)把日志存放在一個(gè)文件或者適時(shí)警報(bào)

19、。</p><p>　?、跾nort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配?，F(xiàn)在Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來(lái)的版本，將提供對(duì)ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測(cè)，探測(cè)操作系統(tǒng)質(zhì)問(wèn)特征的企圖等等。</p><p>　?、躍nort的日至格式既可以

20、是Tcpdump的二進(jìn)制格式，也可以編碼成ASCII字符形式，更便于擁護(hù)尤其是新手檢查，使用數(shù)據(jù)庫(kù)輸出插件，Snort可以把日志記入數(shù)據(jù)庫(kù)，當(dāng)前支持的數(shù)據(jù)庫(kù)包括:Postagresql,MySQL,任何UnixODBC數(shù)據(jù)庫(kù),MicrosoftMsSQL,還有Oracle等數(shù)據(jù)庫(kù)。</p><p>　?、菔褂肨CP流插件(TCPSTREAM)，Snort可以對(duì)TCP包進(jìn)行重組。Snort能夠?qū)P包的內(nèi)容進(jìn)行匹配

21、，但是對(duì)于TCP攻擊，如果攻擊者使用一個(gè)程序，每次發(fā)送只有一個(gè)字節(jié)的數(shù)據(jù)包，完全可以避開(kāi)Snort的模式匹配。而被攻擊的主機(jī)的TCP西醫(yī)棧會(huì)重組這些數(shù)據(jù)，將其發(fā)送給目標(biāo)端口上監(jiān)聽(tīng)的進(jìn)程，從而使攻擊包逃過(guò)Snort的監(jiān)視。使用TCP流插件，可以對(duì)TCP包進(jìn)行緩沖，然后進(jìn)行匹配，使Snort具備對(duì)付上面攻擊的能力。</p><p>　?、奘褂肧pade(Statistical Packet Anomaly Detec

22、tion Engine)插件，Snort能夠報(bào)告非正常的可以包，從而對(duì)端口掃描進(jìn)行有效的檢測(cè)。</p><p>　?、逽nort還有很強(qiáng)的系統(tǒng)防護(hù)能力。如:是用其IPTables,IPFilter插件可以使入侵檢測(cè)主機(jī)與防火墻聯(lián)動(dòng)，通過(guò)FlexResp功能，Snort能夠命令防火墻主動(dòng)短開(kāi)惡意連接。</p><p>　?、鄶U(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速。</p>&l

23、t;p>　　作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，Snort有足夠的擴(kuò)展能力。它使用一種簡(jiǎn)單的規(guī)則描述語(yǔ)言(很多商用入侵檢測(cè)系統(tǒng)都兼容Snort的規(guī)則語(yǔ)言)。最基本的規(guī)則知識(shí)包含四個(gè)域：處理動(dòng)作，協(xié)議，方向，端口。</p><p>　　例如 Log Tcp Any any -> 10.1.1.0/24 80(誰(shuí)都看得明白)</p><p>　　⑨Snort支持插件，可以使用具有特定

24、功能的報(bào)告，檢測(cè)子系統(tǒng)插件對(duì)其功能進(jìn)行擴(kuò)展。Snort當(dāng)前支持的插件包括:數(shù)據(jù)庫(kù)日志輸出插件，破碎數(shù)據(jù)包檢測(cè)插件，斷口掃描檢測(cè)插件，HTTP URI插件，XML網(wǎng)頁(yè)生成等插件。</p><p>　?、釹nort的規(guī)則語(yǔ)言非常簡(jiǎn)單，能夠?qū)π碌木W(wǎng)絡(luò)攻擊做出很快的反應(yīng)。發(fā)現(xiàn)新攻擊后，可以很快地根據(jù)Bugtrag郵件列表，找到特征碼，寫出新的規(guī)則文件。</p><p>　?。?）Snort的工作模

25、式</p><p>　　Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)路入侵檢測(cè)模式是最復(fù)雜的，而且是可配置的。我們可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。</p><p>　?。?）Snort系統(tǒng)工作原理 </p

26、><p>　　Snort作為一個(gè)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS)，在基于共享網(wǎng)絡(luò)上檢測(cè)原始的網(wǎng)絡(luò)傳輸數(shù)據(jù)，通過(guò)分析捕獲的數(shù)據(jù)包，匹配入侵行為的特征或者從網(wǎng)絡(luò)活動(dòng)的角度檢測(cè)異常行為，進(jìn)而采取入侵的告警或記錄。從檢測(cè)模式而言，Snort屬于是誤用檢測(cè)，即對(duì)已知攻擊的特征模式進(jìn)行匹配。從本質(zhì)上來(lái)說(shuō)，Snort是基于規(guī)則檢測(cè)的入侵檢測(cè)工具，即針對(duì)每一種入侵行為，都提煉出它的特征值并按照規(guī)范寫成檢驗(yàn)規(guī)則，從而形成一個(gè)規(guī)則數(shù)據(jù)

27、庫(kù)。其次將捕獲得數(shù)據(jù)包按照規(guī)則庫(kù)逐一匹配，若匹配成功，則認(rèn)為該入侵行為成立。</p><p>　　入侵行為主要是指對(duì)系統(tǒng)資源的非授權(quán)使用,可以造成系統(tǒng)數(shù)據(jù)的丟失和破壞、系統(tǒng)拒絕服務(wù)等危害。對(duì)于入侵檢測(cè)而言的網(wǎng)絡(luò)攻擊可以分為4類：</p><p>　?、贆z查單IP包（包括TCP、UDP）首部即可發(fā)覺(jué)的攻擊,如winnuke、ping of death、land.c、部分OS detectio

28、n、source routing等。</p><p>　　②檢查單IP包,但同時(shí)要檢查數(shù)據(jù)段信息才能發(fā)覺(jué)的攻擊,如利用CGI漏洞,緩存溢出攻擊等。</p><p>　?、弁ㄟ^(guò)檢測(cè)發(fā)生頻率才能發(fā)覺(jué)的攻擊,如端口掃描、SYN Flood、smurf攻擊等。</p><p>　?、芾梅制M(jìn)行的攻擊,如teadrop,nestea,jolt等。此類攻擊利用了分片組裝算法的

29、種種漏洞。若要檢查此類攻擊,必須提前（在IP層接受或轉(zhuǎn)發(fā)時(shí),而不是在向上層發(fā)送時(shí)）作組裝嘗試。分片不僅可用來(lái)攻擊,還可用來(lái)逃避未對(duì)分片進(jìn)行組裝嘗試的入侵檢測(cè)系統(tǒng)的檢測(cè)。</p><p>　　入侵檢測(cè)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合就是入侵檢測(cè)系統(tǒng)。</p><p>　　入

30、侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；識(shí)別、反映已知進(jìn)攻的活動(dòng)模式,向相關(guān)人士報(bào)警；統(tǒng)計(jì)分析異常行為模式；評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計(jì)、跟蹤管理操作系統(tǒng),識(shí)別用戶違反安全策略的行為。入侵檢測(cè)一般分為3個(gè)步驟,依次為信息收集、數(shù)據(jù)分析、響應(yīng)（被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。</p><p>　　信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來(lái)自系

31、統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息4個(gè)方面。</p><p>　　數(shù)據(jù)分析是入侵檢測(cè)的核心。它首先構(gòu)建分析器,把收集到的信息經(jīng)過(guò)預(yù)處理,建立一個(gè)行為分析引擎或模型,然后向模型中植入時(shí)間數(shù)據(jù),在知識(shí)庫(kù)中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過(guò)模式匹配、統(tǒng)計(jì)分析和完整性分析3種手段進(jìn)行。前兩種方法用于實(shí)時(shí)入侵檢測(cè),而完整性分析則用于事后分析?？捎?種統(tǒng)計(jì)模型進(jìn)行數(shù)據(jù)分析：操作模型、

32、方差、多元模型、馬爾柯夫過(guò)程模型、時(shí)間序列分析。統(tǒng)計(jì)分析的最大優(yōu)點(diǎn)是可以學(xué)習(xí)用戶的使用習(xí)慣。</p><p>　　入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)作出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分為主動(dòng)響應(yīng)（阻止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動(dòng)響應(yīng)（報(bào)告和記錄所檢測(cè)出的問(wèn)題）兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或系統(tǒng)本身自動(dòng)執(zhí)行,可對(duì)入侵者采取行動(dòng)（如斷開(kāi)連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通

33、知、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。另外,還可以按策略配置響應(yīng),可分別采取立即、緊急、適時(shí)、本地的長(zhǎng)期和全局的長(zhǎng)期等行動(dòng)。</p><p>　?。?）Snort規(guī)則</p><p>　　Snort是基于規(guī)則的模式匹配的，這種體系結(jié)構(gòu)非常靈活，用戶可以到http://www.snort.org/dl/signatures/下載最新的規(guī)則，在snort.org上幾乎每幾天就會(huì)有新的規(guī)

34、則被更新，同時(shí)用戶也可以自己書(shū)寫新的規(guī)則，Snort規(guī)則文件是一個(gè)ASCII文本文件，可以用常用的文本編輯器對(duì)其進(jìn)行編輯。規(guī)則文件的內(nèi)容由以 下幾部分組成：</p><p>　　變量定義：在這里定義的變量可以在創(chuàng)建Snort規(guī)則時(shí)使用。</p><p>　　Snort規(guī)則：在入侵檢測(cè)時(shí)起作用的規(guī)則，這些規(guī)則應(yīng)包括了總體的入侵檢測(cè)策略。</p><p>　　預(yù)處理器：

35、即插件，用來(lái)擴(kuò)展Snort的功能。如用portscan來(lái)檢測(cè)端口掃描。</p><p>　　包含文件Include Files：可以包括其它Snort規(guī)則文件。</p><p>　　輸出模塊：Snort管理員通過(guò)它來(lái)指定記錄日志和警告的輸出。當(dāng)Snort調(diào)用告警及日志子系統(tǒng)時(shí)會(huì)執(zhí)行輸出模塊。</p><p>　　規(guī)則具體的書(shū)寫不再做說(shuō)明，如果想想進(jìn)行更進(jìn)一步了解可以

36、到snort.org的文檔中心去下載snort的官方文檔《Snort Users Manual》中的Writing Snort Rules章節(jié)（其鏈接是http://www.snort.org/docs/writing_rules/chap2.html#tth_chAp2）。</p><p>　?。?）snort的體系結(jié)構(gòu)</p><p>　　圖B snort的體系結(jié)構(gòu)</p&g

37、t;<p>　　總之，對(duì)于世界上各安全組織來(lái)講，Snort入侵檢測(cè)都是一個(gè)優(yōu)秀入侵檢測(cè)系統(tǒng)的一個(gè)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。通過(guò)研究它，我們可以學(xué)到到所有入侵檢測(cè)系統(tǒng)的內(nèi)部框架及工作流程(也包括同類型的商業(yè)入侵檢測(cè)系統(tǒng)的框架及工作流程)。Snort系統(tǒng)是一個(gè)以開(kāi)放源代碼的形式發(fā)行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，由Martin Roesch編寫，并由遍布在世界各地的眾多程序員共同維護(hù)和升級(jí)。Snort運(yùn)行在Libpcap庫(kù)函數(shù)的基礎(chǔ)之上，系統(tǒng)代碼遵循G

38、NU/GPL協(xié)議。它是一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。這里所謂的輕量級(jí)是指在檢測(cè)時(shí)盡可能低地影響網(wǎng)絡(luò)的正常操作，一個(gè)優(yōu)秀的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該具備跨系統(tǒng)平臺(tái)操作，對(duì)系統(tǒng)影響最小等特征，并且管理員能夠在短時(shí)間內(nèi)通過(guò)修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng),更為重要的是能夠成為整體安全結(jié)構(gòu)的重要成員。Snort作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的典型范例，首先它可以運(yùn)行在多種操作系統(tǒng)平臺(tái)之上，例如UNIX系列和Windows (需要 1ibpcap for w

39、in32--Winpcap的支持)，與很多商業(yè)產(chǎn)品相比，它對(duì)操作系統(tǒng)的依賴性比較低。其次用戶可以根據(jù)自己的需要及時(shí)在短時(shí)間內(nèi)調(diào)整檢測(cè)策略。就檢測(cè)攻擊的</p><p><b>　　三、課程設(shè)計(jì)任務(wù)</b></p><p>　　1、Windows環(huán)境下安裝和配置snort</p><p>　　（1）安裝Snort和Wincap包</p>

40、;<p>　　1）Snort的安裝：</p><p>　　圖1 snort安裝協(xié)議</p><p>　　圖2 snort 的安裝選項(xiàng)</p><p>　　圖3 snort的安裝組件</p><p>　　圖4 snort的安裝路徑</p><p>　　圖5 Snort安裝成功</p>

41、<p>　　2）Winpcap的安裝：</p><p>　　圖6 Winpcap 的安裝界面</p><p>　　圖7 Winpcap安裝過(guò)程</p><p>　　圖8 Winpcap安裝成功</p><p><b>　　2.AppServ</b></p><p>　?。?）Ap

42、pServ的安裝：</p><p>　　圖9 AppServ安裝初始界面</p><p>　　圖10 AppServ安裝協(xié)議圖</p><p>　　圖11 AppServ安裝路徑圖</p><p>　　啟動(dòng)AppServ安裝文件后，出現(xiàn)如圖所示的設(shè)置服務(wù)器信息界面：</p><p>　　在Server Name中

43、輸入域名localhost；</p><p>　　Administrator's Email Address 中輸入郵箱地址：694046703@qq.com；</p><p>　　監(jiān)聽(tīng)端口設(shè)為8080，如下圖：</p><p>　　圖12 設(shè)置服務(wù)器信息界面</p><p>　　點(diǎn)擊next，進(jìn)入下一界面：</p>

44、<p>　　在出現(xiàn)的界面中輸入密碼（lwh），如下圖：</p><p>　　圖13 安裝MySQL Server Collations</p><p>　　然后單擊"Install",進(jìn)入安裝過(guò)程，如下圖：</p><p>　　圖14 AppServer 的安裝過(guò)程圖</p><p>　　圖15 AppS

45、erver 完成安裝</p><p>　　安裝完成后將C:\Appserv\php5目錄下的php.ini-dist 文件改名為php.Ini，如下圖：</p><p>　　修改前 修改后</p><p>　　圖16 修改前、后比較</p><p>　　并啟動(dòng)Apache和MySql如下：</p>&l

46、t;p>　?。刂泼姘濉芾怼?wù) 確保Apache和MySql已啟動(dòng)）</p><p>　　安裝完成后可以查看（MySQL啟動(dòng)如下圖）</p><p>　　圖17 MySQL成功啟動(dòng)</p><p>　　在瀏覽器中輸入http://localhost :8080 出現(xiàn)如下界面：</p><p>　　界面1 表示安裝成功！<

47、/p><p>　?。?）測(cè)試AppServ</p><p>　　首先查看"控制面板"/"管理"/"服務(wù)",確保Apache和MySQL已經(jīng)啟動(dòng)如下：</p><p>　　然后，在瀏覽器中輸入http://localhost :8080/phpinfo.php出現(xiàn)如下界面：</p><p>

48、;　　界面2 Apache2.2安裝成功</p><p>　　通過(guò)此界面可以了解php的一些信息。</p><p>　　最后打開(kāi)瀏覽器，輸入http://localhost :8080/phpMyAdmin/index.php,輸入用戶名root和密碼</p><p><b>　　可以瀏覽數(shù)據(jù)庫(kù)內(nèi)容</b></p><p&

49、gt;<b>　　圖18 登陸界面</b></p><p>　　圖19 信息查看界面</p><p>　?。?）配置AppServ</p><p>　　第一步，編輯Apache服務(wù)器配置文件。打開(kāi)Apache2.2\conf文件中的httpd.conf,檢查相應(yīng)的一些值。</p><p>　　圖20 編輯配置文件

50、 </p><p>　　圖21 查看httpd.conf相應(yīng)值</p><p>　　第二步，編輯phpMyAdmin中的關(guān)鍵文件。</p><p>　　圖22 編輯phpMyAdmin中的關(guān)鍵文件</p><p>　　打開(kāi)C:\AppServ\www\phpMyAdmin\libraries目錄下的config.default.php文件

51、，并修改相關(guān)信息如下所示：</p><p>　　搜索cfg['PmaAbsoluteUri']，設(shè)置phpMyAdmin的URL, cfg['PmaAbsoluteUri']='http://localhost:8080/phpmyadmin/'</p><p>　　搜索cfg['blowfish_secret'],設(shè)定好ro

52、ot密碼后，這里也要填寫，如root的密碼lwh，則設(shè)置cfg['blowfish_secret)']=‘lwh’。 </p><p>　　搜索cfg['DefaultLang'],將其設(shè)置為zh-gb2312;</p><p>　　搜索$cfg['Servers'][$i]['auth_type']，默認(rèn)的config是不安

53、全的，推薦使用cook-ie,將其設(shè)置為cfg['Servers']['i']['auth_type']='cookie'。</p><p>　　搜索cfg['DefaultCharset']，將其設(shè)置為gb2312。</p><p>　　第三步，為安全起見(jiàn)，還必須刪除Mysql安裝后默認(rèn)的any@%、any@

54、localhost和root@%帳號(hào)。</p><p>　　圖23 刪除默認(rèn)賬號(hào)</p><p><b>　　圖24 成功刪除</b></p><p>　　delete from db where user='' and host='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p>

55、<p>　　delete from tables_priv where user='' and host='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from columns_priv where user='' and host='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</

56、p><p>　　delete from user where user='' and host='localhost';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from db where user='' and host='localhost';# MySQL 返回的查詢結(jié)果為空(即零行)

57、。</p><p>　　delete from tables_priv where user='' and host='localhost';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from columns_priv where user='' and host='localhost'

58、;# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from user where user='root' and host='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from db where user='root' and 'host'=

59、9;%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from tables_priv where user='root' and host='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　delete from columns_priv where user='root

60、9; and 'host'='%';# MySQL 返回的查詢結(jié)果為空(即零行)。</p><p>　　圖24 刪除SQL語(yǔ)句的執(zhí)行</p><p>　　第四步，配置php.ini。打開(kāi)C:\WINDOWS|php.ini文件。修改后的值如下圖：</p><p>　　第五步，首先需要建立Snort運(yùn)行必需的Snort 庫(kù)和Snort

61、_archive庫(kù)如下圖：</p><p>　　圖25 Snort 庫(kù)和Snort_archive庫(kù)的建立</p><p>　　其次，對(duì)Mysql進(jìn)行修改。</p><p>　　圖26 編輯Mysql</p><p><b>　　圖27 查詢表</b></p><p><b>　　

62、圖28 創(chuàng)建表</b></p><p>　　第六步，使用C:\Snort\schemas目錄下的create_MySQL腳本建立Snort運(yùn)行必需的數(shù)據(jù)表。在此，可以通過(guò)MySQL提示符下運(yùn)行SQL語(yǔ)句show tables來(lái)檢驗(yàn)配置的正確性</p><p>　　其中c:\Snort為Snort的安裝目錄，打開(kāi)命令提示符，運(yùn)行以下命令：</p><p>

63、;　　mysql -D Snort -u root -p < c:\Snort\schemas\create_mysql</p><p>　　mysql -D Snort_archive -u root -p < c:\Snort\schemas\create_Mysql</p><p>　　每次提示輸入root的密碼，輸入密碼即可建立所需要的表。</p><

64、;p>　　圖29 MySQL腳本建立Snort數(shù)據(jù)表</p><p>　　通過(guò)MySQL提示符下運(yùn)行SQL語(yǔ)句如下圖：</p><p>　　圖30 SQL語(yǔ)句運(yùn)行</p><p>　　show tables來(lái)檢驗(yàn)配置的正確性如下圖：</p><p>　　圖31 show tables來(lái)檢驗(yàn)配置的正確性</p><

65、;p>　　第七步，必須在Appache服務(wù)器主機(jī)上建立ACID和Snort用戶，并且設(shè)置權(quán)限和密碼</p><p>　　（主要是根據(jù)課本步驟修改代碼）</p><p><b>　　代碼：</b></p><p>　　mysql> grant usage on *.* to "acid"@"localho

66、st" identified by "acidtest";</p><p>　　mysql> grant usage on *.* to "snort"@"localhost" identified by "snorttest";</p><p>　　mysql> grant select

67、,insert,update,delete,create on *.* to "snort"@"localhost" id</p><p>　　entified by "snorttest";</p><p>　　mysql> grant select,insert,update,delete,create,alter on

68、 snort. * to "acid"@"loc</p><p><b>　　alhost";</b></p><p>　　mysql> grant select,insert on snort. * to "snort"@"localhost";</p><p&

69、gt;　　mysql> grant select,insert,update,delete,create,alter on snort_archive. * to "a</p><p>　　cid"@"localhost";</p><p>　　mysql> set password for "snort"@&quo

70、t;locahost"=password('lwh');</p><p>　　mysql> set password for "acid"@"locahost"=password('lwh');</p><p>　　圖32 Appache服務(wù)器主機(jī)上建立ACID和Snort用戶</p>

71、<p>　　設(shè)置權(quán)限和密碼如下：</p><p>　　圖33 更新acid權(quán)限</p><p>　　圖34 更新snort權(quán)限</p><p><b>　　設(shè)置結(jié)果如圖所示：</b></p><p><b>　　圖35 設(shè)置完成</b></p><p>　　

72、（3）安裝Adodb,jpGraph和ACID</p><p>　　移動(dòng)文件adodb jpgraph acid 得到： </p><p>　　Adodb生成目錄：C:\AppServ\php5\adodb</p><p>　　圖36 Adodb生成目錄</p><p>　　jpgraph生成目錄：C:\AppServ\php5\jp

73、graph</p><p>　　圖37 jpgraph生成目錄：</p><p>　　acid 生成目錄：C:\AppServ\www\acid</p><p>　　圖38 acid 生成目錄</p><p>　　修改C:\AppServ\www\acid中的 acid-conf.php文件</p><p>　　$

74、DBlib_path = "C:\AppServ\php5\adodb";</p><p>　　$alert_dbname = "snort";</p><p>　　$alert_host = "localhost";</p><p>　　$alert_port = "3306

75、";</p><p>　　$alert_user = "acid";</p><p>　　$alert_password = "123";</p><p>　　$archive_dbname = "snort_archive";</p><p>　　$archi

76、ve_host = "localhost";</p><p>　　$archive_port = "";</p><p>　　$archive_user = "acid";</p><p>　　$archive_password = "123";</p>

77、;<p>　　$ChartLib_path = "C:\AppServ\php5\jpggraph\src";</p><p>　　在mysql命令端輸入如下命令并回車，出現(xiàn)如下所示，表明運(yùn)行成功：</p><p>　　圖39 mysql命令運(yùn)行</p><p>　　最后在瀏覽器中輸入http://localhost :8080

78、/acid/acid-db-setup.php 出現(xiàn)如下界面：</p><p>　　圖40 acid安裝成功</p><p>　?。?）配置snort</p><p>　　修改C：\snort\etc\snort.conf 主要改絕對(duì)路徑如下：</p><p><b>　　圖41 修改前</b></p>

79、<p><b>　　圖42 修改后</b></p><p>　　然后還需要修改引用路徑：</p><p>　　dynamicpreprocessor directory C:/snort/lib/snort_dynamicpreprocessor/</p><p>　　dynamicengine C:/snort/lib/sno

80、rt_dynamicengine/libsf_engine.dll</p><p>　　圖43 引用路徑修改</p><p>　　設(shè)置snort 輸出alert 到mysql server</p><p>　　1>把“# var HOME_NET 10.1.1.0/24”改成“var HOME_NET 192.168.0.4/24”你自己LAN內(nèi)的地址，把前

81、面的#號(hào)去掉。</p><p>　　2>把“var RULE_PATH ../rules”改成“var RULE_PATH /etc/snort”</p><p>　　3>把“# output database: log, mysql, user=root password=test dbname=db host=localhost”改成“output database: lo

82、g, mysql, user=root password=123 dbname=snort host=localhost”把前面的#號(hào)去掉。</p><p>　　4>把“# include $RULE_PATH/web-attacks.rules</p><p>　　# include $RULE_PATH/backdoor.rules</p><p>　　#

83、 include $RULE_PATH/shellcode.rules</p><p>　　# include $RULE_PATH/policy.rules</p><p>　　# include $RULE_PATH/porn.rule</p><p>　　s# include $RULE_PATH/info.rules</p><p>

84、　　# include $RULE_PATH/icmp-info.rulesinclude $RULE_PATH/virus.rules</p><p>　　# include $RULE_PATH/chat.rules# include $RULE_PATH/multimedia.rules</p><p>　　# include $RULE_PATH/p2p.rules”前面的#號(hào)刪除

85、。</p><p>　　修改完畢后，保存退出。</p><p>　　圖44設(shè)置snort 輸出alert 到mysql server</p><p><b>　?。?）、系統(tǒng)測(cè)試</b></p><p>　　1）、phpMyAdmin測(cè)試</p><p>　　Snort系統(tǒng)全部安裝完以后，用戶將可

86、以使用root、acid、snort3個(gè)賬戶ID登錄phpMyAdmin。這3個(gè)用戶能否順利登陸關(guān)系到整個(gè)snort系統(tǒng)能否順利運(yùn)行，因此必須進(jìn)行檢測(cè)。登陸時(shí)先后輸入3個(gè)用戶名和密碼，如下圖：</p><p><b>　　圖45 登陸界面</b></p><p>　　如果用戶不慎忘記數(shù)據(jù)庫(kù)acid密碼，可以通過(guò)程序組中的AppServ組內(nèi)的重置密碼命令恢復(fù)acid的

87、密碼，如下圖：</p><p>　　界面3 phpMyAdmin重置密碼</p><p>　　界面4 phpMyAdmin重置密碼</p><p><b>　　2）命令行界面測(cè)試</b></p><p>　　重新啟動(dòng)snort后，用戶可以使用如下命令測(cè)試snort是否正常工作：C:\snort\bin>snor

88、t -c"C:\snort\etc\snort.cong" -l "C:\snort\log" -d -e -X如果看到“小豬”，就標(biāo)志著snort已經(jīng)正常啟動(dòng)了。</p><p>　　圖46 命令行界面測(cè)試</p><p>　　然后用另外一臺(tái)主機(jī)ping 本機(jī)，snort 即可監(jiān)控到如下圖的情況：snort成功捕捉數(shù)據(jù)包。</p>

89、<p>　　圖47 用另一臺(tái)主機(jī)ping本機(jī)</p><p>　　圖48 snort成功捕捉數(shù)據(jù)包</p><p>　　3)Windows下Snort的使用</p><p>　　IDScenter是一款Windows平臺(tái)下基于Snort的界面工具。它雖然簡(jiǎn)化了Snort的的使用，但我們?nèi)匀槐仨氄莆誗nort和網(wǎng)絡(luò)的相關(guān)知識(shí)。他不但具有省去了敲代碼的繁瑣

90、工作，而且提供了管理功能。主要特點(diǎn)有：①支持Snort的2.0，1.9，1.8，1.7。②支持Snort服務(wù)模式。③Snort配置向?qū)?包括設(shè)置Snort變量，配置預(yù)處理插件，輸出插件，指定規(guī)則集。④規(guī)則編輯器，支持Snort2.0的所有規(guī)則選項(xiàng)，還可以從文件和web站點(diǎn)導(dǎo)入現(xiàn)存的規(guī)則集⑤監(jiān)視，允許監(jiān)視多達(dá)10報(bào)警文件和MySQL數(shù)據(jù)庫(kù)信息。⑥日志回收功能，允許根據(jù)指定的時(shí)間表壓縮和備份日志文件。⑦集成的日志查看器，可查看文件日志，XM

91、L日志和HTML日志。</p><p>　　安裝snort界面工具IDScenter</p><p><b>　　四 、設(shè)計(jì)總結(jié)</b></p><p>　　snort已日益成為入侵檢測(cè)產(chǎn)品市場(chǎng)上不可或缺的一分子，同時(shí)，它也是目前安全領(lǐng)域中最活躍的開(kāi)放源碼工程之一。Snort的開(kāi)發(fā)者M(jìn)artin Roesch說(shuō)：“入侵與反入侵猶如軍備競(jìng)賽，新

92、的入侵手段的出現(xiàn)是一種正?，F(xiàn)象?！保瑯訉?duì)于網(wǎng)絡(luò)安全工作者來(lái)說(shuō)也沒(méi)有一勞永逸的事情，密切跟蹤分析國(guó)際上入侵技術(shù)的發(fā)展，不斷獲得最新的攻擊方法，通過(guò)分析這些已知的攻擊方法，豐富現(xiàn)有的入侵檢測(cè)系統(tǒng)的檢測(cè)能力，已成為每個(gè)網(wǎng)絡(luò)安全工作者必須完成的任務(wù)。經(jīng)過(guò)兩個(gè)多星期的努力，Snort系統(tǒng)作為入侵檢測(cè)的軟件運(yùn)用Snort掃描終于完成在整個(gè)設(shè)計(jì)過(guò)程中，出現(xiàn)過(guò)很多的難題，但都在老師和同學(xué)的幫助下順利解決了，在不斷的學(xué)習(xí)過(guò)程中我體會(huì)到：做課程設(shè)計(jì)是一個(gè)

93、不斷學(xué)習(xí)的過(guò)程，從最初的模糊認(rèn)識(shí)到最后能夠?qū)υ搯?wèn)題有深刻的認(rèn)識(shí)，我體會(huì)到實(shí)踐對(duì)于學(xué)習(xí)的重要性，以前只是明白理論，沒(méi)有經(jīng)過(guò)實(shí)踐考察，對(duì)知識(shí)的理解不夠明確，通過(guò)這次的論文，真正做到理論與實(shí)踐相結(jié)合?？傊ㄟ^(guò)這次課程設(shè)計(jì),我深刻體會(huì)到要做好一個(gè)完整的事情，需要有系統(tǒng)的思維方式和方法，對(duì)待要解決的問(wèn)題，要耐心、要善于運(yùn)用已有的資源來(lái)充實(shí)自己。同時(shí)我也深刻的認(rèn)識(shí)到，在對(duì)待一個(gè)新事</p><p><b>　　五

94、、參考文獻(xiàn)</b></p><p>　　[1] Martin Roesch Snort —Lightweight Intrusion Detection for Networks:Snort.org</p><p>　　[2] Steven J. Scott Snort Install Manual—Snort,MySQL,Redhat7.2</p><p