入侵檢測系統(tǒng)

1、實(shí)驗(yàn) 入侵檢測系統(tǒng)實(shí)驗(yàn)要求與目的熟悉一種入侵檢測系統(tǒng)。實(shí)驗(yàn)內(nèi)容1、 分析snort開源入侵檢測系統(tǒng)的原理和工作過程。答：原理：Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析，但區(qū)別于其它嗅探器的是，它能根據(jù)所定義的規(guī)則進(jìn)行響應(yīng)及處理。Snort 通過對獲取的數(shù)據(jù)包，進(jìn)行各規(guī)則的分析后，根據(jù)規(guī)則鏈，可采取Activation（報(bào)警并啟動(dòng)另外一個(gè)動(dòng)態(tài)規(guī)則鏈）、Dynamic（由其它的規(guī)則包調(diào)用）、Alert（報(bào)警），Pass（忽略），Log（不報(bào)警但記錄網(wǎng)絡(luò)流量）五種響應(yīng)的機(jī)制。 Snort有數(shù)據(jù)包嗅探，數(shù)據(jù)包分析，數(shù)據(jù)包檢測，響應(yīng)處理等多種功能，每個(gè)模塊實(shí)現(xiàn)不同的功能，各模塊都是用插件的方

2、式和Snort相結(jié)合，功能擴(kuò)展方便。例如，預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測之前運(yùn)行，完成TIP碎片重組，http解碼，telnet解碼等功能，處理插件完成檢查協(xié)議各字段，關(guān)閉連接，攻擊響應(yīng)等功能，輸出插件將得理后的各種情況以日志或警告的方式輸出。工作過程：Snort通過在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò)數(shù)據(jù)包，抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式，根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包；然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。網(wǎng)絡(luò)中的數(shù)據(jù)包有可能是以太網(wǎng)包、令牌環(huán)包、TCP/IP包、802.11包等格式。在這一過程包解碼器將其解碼成Snort

3、認(rèn)識的統(tǒng)一的格式；之后就將數(shù)據(jù)包送到預(yù)處理器進(jìn)行處理，預(yù)處理包括能分片的數(shù)據(jù)包進(jìn)行重新組裝，處理一些明顯的錯(cuò)誤等問題。預(yù)處理的過程主要是通過插件來完成，比如Http預(yù)處理器完成對Http請求解碼的規(guī)格化，F(xiàn)rag2事務(wù)處理器完成數(shù)據(jù)包的組裝，Stream4預(yù)處理器用來使Snort狀態(tài)化，端口掃描預(yù)處理器能檢測端口掃描的能力等；對數(shù)據(jù)包進(jìn)行了解碼，過濾，預(yù)處理后，進(jìn)入了Snort的最重要一環(huán)，進(jìn)行規(guī)則的建立及根據(jù)規(guī)則進(jìn)行檢測。規(guī)則檢測是Snort中最重要的部分，作用是檢測數(shù)據(jù)包中是否包含有入侵行為。例如規(guī)則alert tcp any any ->/24 80（msg：”

4、misc large tcp packet”；dsize：>3000；）這條規(guī)則的意思是，當(dāng)一個(gè)流入這個(gè)網(wǎng)段的TCP包長度超過3000B時(shí)就發(fā)出警報(bào)。規(guī)則語法涉及到協(xié)議的類型、內(nèi)容、長度、報(bào)頭等各種要素。處理規(guī)則文件的時(shí)候，用三維鏈表來存規(guī)則信息以便和后面的數(shù)據(jù)包進(jìn)行匹配，三維鏈表一旦構(gòu)建好了，就通過某種方法查找三維鏈表并進(jìn)行匹配和發(fā)生響應(yīng)。規(guī)則檢測的處理能力需要根據(jù)規(guī)則的數(shù)量，運(yùn)行Snort機(jī)器的性能，網(wǎng)絡(luò)負(fù)載等因素決定；最后一步就是輸出模塊，經(jīng)過檢測后的數(shù)據(jù)包需要以各種形式將結(jié)果進(jìn)行輸出，輸出形式可以是輸出到alert文件、其它日志文件、數(shù)據(jù)庫UNIX域或Sock

5、et等。通用的入侵檢測的工作流程主要分為以下四步：第一步：信息收集。信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。這一步非常重要，因?yàn)槿肭謾z測很大程度上依賴于收集信息的可靠性和正確性。第二步：信息分析。是指對收集到的數(shù)據(jù)信息，進(jìn)行處理分析。一般通過協(xié)議規(guī)則分析、模式匹配、通緝分析和完整性分析幾種手段來分析。第三步：信息存儲。當(dāng)入侵檢測系統(tǒng)捕獲到有攻擊發(fā)生時(shí)，為了便于系統(tǒng)管理人員對攻擊信息進(jìn)行查看和對攻擊行為進(jìn)行分析，還需要將入侵檢測系統(tǒng)收集到的信息進(jìn)行保存，這些數(shù)據(jù)通常存儲到用戶指定的日志文件或特定的數(shù)據(jù)庫中。第四步：攻擊響應(yīng)。對攻擊信息進(jìn)行了分析并確定攻擊類型后，入侵檢測系統(tǒng)會根據(jù)用戶的設(shè)置，對攻擊行為進(jìn)行相應(yīng)的處理，如發(fā)出警報(bào)、給系統(tǒng)管理員發(fā)郵件等方式提醒用戶?；蛘呃米詣?dòng)裝置直接進(jìn)行處理，如切斷連接