第四章入侵检测技术

第四章入侵检测技术内容摘要：

用作入侵检测系统，还可以用作嗅探器和包记录器。 基于 libpcap的轻量级网络入侵检测系统 可支持多种操作系统平台： Windows、 Linux、 Solaris、 FreeBSD等 使用 Snort搭建 NIDS——Snort简介（ 2） 解码器： 负责从网络接口上获取数据包。 检测引擎： 该子系统是 Snort工作在入侵检测模式下的核心部分，它使用基于规则匹配的方式来检测每个数据包。 一旦发现数据包的特征符合某个规则定义，则触发相应的处理操作。 日志警报子系统： 规则中定义了数据包的处理方式，包括 alter（报警）、 log（记录）和 pass（忽略）等，但具体的 alter和 log操作则是由日志 /警报子系统完成的。 日志子系统将解码得到的信息以 ASCII码的格式或以 tcpdump的格式记录下来，报警子系统将报警信息发送到 syslog、 socket或数据库中。 预处理器： 可选部件，用于提供除规则匹配外的检测机制。 输出插件： 可选部件。 用来格式化警报信息。 使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。 解码器 预处理器 检测引擎 输出插件 日志 /警报子系统 Snort的组成结构 使用 Snort搭建 NIDS——Snort简介（ 3） Snort入侵检测流程  Snort利用 libpcap进行抓包；  由解码器将捕获的数据包信息填入包结构体，并将其送到各式各样的预处理器中；  对于那些用于检测入侵的预处理器来说，一旦发现入侵行为，将直接调用输出插件或者日志 /警报子系统进行输出；  对于那些用于包重组和协议解码的预处理器来说，它们会将处理后的信息送往检测引擎；  检测引擎对数据包的特征及内容进行检查，一旦检测到与已知规则匹配的数据包，或者利用输出插件进行输出，或者利用日志 /警报子系统进行报警和记录。 Snort的使用 嗅探模式 ： /usr/local/snort/bin/snort –vde 包记录模式： ./snort dev l /var/log/snort ./snort dev r /var/log/snort/ icmp 入侵检测模式 ./snort dev l /var/log/snort c /path/to/ ./snort d h /path/to/ 使用 Snort搭建 NIDS——Snort的安装与配置 仅安装 Snort 捕获到的入侵检测数据以文本或者二进制的形式保存在文件中，用户在审计阶段不得不面对大量的日志和警报信息 与其它软件配合使用 允许用户把捕获到的入侵检测数据保存到数据库中，以及使用工具软件来对入侵检测数据进行分析 可配合使用的软件包括： MySQL、 Apache、 PHP、 ACID、GD函数库、 PHPLOT和 ADODB 使用 Snort搭建 NIDS——编写自己的规则（ 1） Snort的规则在逻辑上可分为 规则头 和 规则体 规 则头定义了基本的检测条件。 其检测对象包括数据包的协议类型、源 /目的端口和源 /目的 IP，同时还定义了出现匹配情况时将要采取的动作。 规则体作为一个可选部分，通常定义了额外的检测条件和警报信息。 alter tcp any any (msg: “ssh access”。 ) 规则头 规则体 使用 Snort搭建 NIDS——编写自己的规则（ 2） 规则头的组成 规则行为 协议 IP地址 端口 方向操作符 IP地址 端口 规则示例 alter tcp any any (content:”|00 01 86 a5|”。 msg:”mounted access”。 ) 使用 Snort搭建 NIDS——编写自己的规则（ 3） 规则头 —— 规则行为 规则行为 协议 IP地址 端口 方向操作符 IP地址 端口 五种预定义规则 • log – 记录当前数据包的信息 • alter – 产生一个警报，同时记录该数据包的信息 • pass – 忽略当前数据包 • activate – 产生一个警报，并启动相关的 dynamic规则 • dynamic – 这类规则在通常情况下保持空闲状态，直到相关的activate规则将它激活为止。 激活之后，其工作方式与 log相同 自定义规则类型 • 使用输出插件来输出检测结果： rul et y pe m y al t er。