入侵檢測(cè)系統(tǒng)_第1頁(yè)
入侵檢測(cè)系統(tǒng)_第2頁(yè)
入侵檢測(cè)系統(tǒng)_第3頁(yè)
入侵檢測(cè)系統(tǒng)_第4頁(yè)
入侵檢測(cè)系統(tǒng)_第5頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、實(shí)驗(yàn) 入侵檢測(cè)系統(tǒng)實(shí)驗(yàn)要求與目的熟悉一種入侵檢測(cè)系統(tǒng)。實(shí)驗(yàn)內(nèi)容1、 分析snort開(kāi)源入侵檢測(cè)系統(tǒng)的原理和工作過(guò)程。答:原理:Snort能夠?qū)W(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行抓包分析,但區(qū)別于其它嗅探器的是,它能根據(jù)所定義的規(guī)則進(jìn)行響應(yīng)及處理。Snort 通過(guò)對(duì)獲取的數(shù)據(jù)包,進(jìn)行各規(guī)則的分析后,根據(jù)規(guī)則鏈,可采取Activation(報(bào)警并啟動(dòng)另外一個(gè)動(dòng)態(tài)規(guī)則鏈)、Dynamic(由其它的規(guī)則包調(diào)用)、Alert(報(bào)警),Pass(忽略),Log(不報(bào)警但記錄網(wǎng)絡(luò)流量)五種響應(yīng)的機(jī)制。 Snort有數(shù)據(jù)包嗅探,數(shù)據(jù)包分析,數(shù)據(jù)包檢測(cè),響應(yīng)處理等多種功能,每個(gè)模塊實(shí)現(xiàn)不同的功能,各模塊都是用插件的方

2、式和Snort相結(jié)合,功能擴(kuò)展方便。例如,預(yù)處理插件的功能就是在規(guī)則匹配誤用檢測(cè)之前運(yùn)行,完成TIP碎片重組,http解碼,telnet解碼等功能,處理插件完成檢查協(xié)議各字段,關(guān)閉連接,攻擊響應(yīng)等功能,輸出插件將得理后的各種情況以日志或警告的方式輸出。工作過(guò)程:Snort通過(guò)在網(wǎng)絡(luò)TCP/IP的5層結(jié)構(gòu)的數(shù)據(jù)鏈路層進(jìn)行抓取網(wǎng)絡(luò)數(shù)據(jù)包,抓包時(shí)需將網(wǎng)卡設(shè)置為混雜模式,根據(jù)操作系統(tǒng)的不同采用libpcap或winpcap函數(shù)從網(wǎng)絡(luò)中捕獲數(shù)據(jù)包;然后將捕獲的數(shù)據(jù)包送到包解碼器進(jìn)行解碼。網(wǎng)絡(luò)中的數(shù)據(jù)包有可能是以太網(wǎng)包、令牌環(huán)包、TCP/IP包、802.11包等格式。在這一過(guò)程包解碼器將其解碼成Snort

3、認(rèn)識(shí)的統(tǒng)一的格式;之后就將數(shù)據(jù)包送到預(yù)處理器進(jìn)行處理,預(yù)處理包括能分片的數(shù)據(jù)包進(jìn)行重新組裝,處理一些明顯的錯(cuò)誤等問(wèn)題。預(yù)處理的過(guò)程主要是通過(guò)插件來(lái)完成,比如Http預(yù)處理器完成對(duì)Http請(qǐng)求解碼的規(guī)格化,F(xiàn)rag2事務(wù)處理器完成數(shù)據(jù)包的組裝,Stream4預(yù)處理器用來(lái)使Snort狀態(tài)化,端口掃描預(yù)處理器能檢測(cè)端口掃描的能力等;對(duì)數(shù)據(jù)包進(jìn)行了解碼,過(guò)濾,預(yù)處理后,進(jìn)入了Snort的最重要一環(huán),進(jìn)行規(guī)則的建立及根據(jù)規(guī)則進(jìn)行檢測(cè)。規(guī)則檢測(cè)是Snort中最重要的部分,作用是檢測(cè)數(shù)據(jù)包中是否包含有入侵行為。例如規(guī)則alert tcp any any ->/24 80(msg:”

4、misc large tcp packet”;dsize:>3000;)這條規(guī)則的意思是,當(dāng)一個(gè)流入這個(gè)網(wǎng)段的TCP包長(zhǎng)度超過(guò)3000B時(shí)就發(fā)出警報(bào)。規(guī)則語(yǔ)法涉及到協(xié)議的類(lèi)型、內(nèi)容、長(zhǎng)度、報(bào)頭等各種要素。處理規(guī)則文件的時(shí)候,用三維鏈表來(lái)存規(guī)則信息以便和后面的數(shù)據(jù)包進(jìn)行匹配,三維鏈表一旦構(gòu)建好了,就通過(guò)某種方法查找三維鏈表并進(jìn)行匹配和發(fā)生響應(yīng)。規(guī)則檢測(cè)的處理能力需要根據(jù)規(guī)則的數(shù)量,運(yùn)行Snort機(jī)器的性能,網(wǎng)絡(luò)負(fù)載等因素決定;最后一步就是輸出模塊,經(jīng)過(guò)檢測(cè)后的數(shù)據(jù)包需要以各種形式將結(jié)果進(jìn)行輸出,輸出形式可以是輸出到alert文件、其它日志文件、數(shù)據(jù)庫(kù)UNIX域或Sock

5、et等。通用的入侵檢測(cè)的工作流程主要分為以下四步:第一步:信息收集。信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。這一步非常重要,因?yàn)槿肭謾z測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性。第二步:信息分析。是指對(duì)收集到的數(shù)據(jù)信息,進(jìn)行處理分析。一般通過(guò)協(xié)議規(guī)則分析、模式匹配、通緝分析和完整性分析幾種手段來(lái)分析。第三步:信息存儲(chǔ)。當(dāng)入侵檢測(cè)系統(tǒng)捕獲到有攻擊發(fā)生時(shí),為了便于系統(tǒng)管理人員對(duì)攻擊信息進(jìn)行查看和對(duì)攻擊行為進(jìn)行分析,還需要將入侵檢測(cè)系統(tǒng)收集到的信息進(jìn)行保存,這些數(shù)據(jù)通常存儲(chǔ)到用戶(hù)指定的日志文件或特定的數(shù)據(jù)庫(kù)中。第四步:攻擊響應(yīng)。對(duì)攻擊信息進(jìn)行了分析并確定攻擊類(lèi)型后,入侵檢測(cè)系統(tǒng)會(huì)根據(jù)用戶(hù)的設(shè)置,對(duì)攻擊行為進(jìn)行相應(yīng)的處理,如發(fā)出警報(bào)、給系統(tǒng)管理員發(fā)郵件等方式提醒用戶(hù)?;蛘呃米詣?dòng)裝置直接進(jìn)行處理,如切斷連接

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論