網(wǎng)絡(luò)入侵檢測系統(tǒng)中相關(guān)技術(shù)的分析與研究本科畢業(yè)論文

1、濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì) 摘 要1網(wǎng)絡(luò)入侵檢測系統(tǒng)中相關(guān)技術(shù)的分析與研究網(wǎng)絡(luò)入侵檢測系統(tǒng)中相關(guān)技術(shù)的分析與研究摘要:當(dāng)今社會(huì)隨著信息時(shí)代的到來,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐步成為各行各業(yè)的必備性基礎(chǔ)設(shè)施，豐富的網(wǎng)絡(luò)信息資源給用戶們帶來了極大的方便,但同時(shí)也給用戶帶來了極大地安全隱患。網(wǎng)絡(luò)安全也成為一個(gè)了全民關(guān)注的熱點(diǎn)話題。關(guān)于這方面的研究己經(jīng)成為當(dāng)今信息技術(shù)領(lǐng)域中的一個(gè)重要的組成部分。 目前，從傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)可以分為動(dòng)態(tài)安全技術(shù)和靜態(tài)安全技術(shù)。靜態(tài)安全技術(shù)通過人工設(shè)定各種訪問規(guī)則，來限定對(duì)目標(biāo)的訪問，以此達(dá)到保護(hù)系統(tǒng)、抵御入侵的目的。路由器訪問控制列表（ACL）和防火墻（Firewall

2、）都是這類技術(shù)的代表；動(dòng)態(tài)安全技術(shù)通過對(duì)系統(tǒng)的主動(dòng)監(jiān)測、分析和響應(yīng)手段來保障系統(tǒng)的安全性。主要?jiǎng)討B(tài)安全技術(shù)包括，入侵檢測、在線分線分析、安全漏洞掃描和入侵響應(yīng)等。網(wǎng)絡(luò)入侵檢測技術(shù):從字面意思來看,就是對(duì)網(wǎng)絡(luò)入侵的監(jiān)控和防范。它通過對(duì)計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)收集采集信息并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有被攻擊的跡象和違反安全策略的行為。入侵檢測是一種結(jié)合硬件和軟件的網(wǎng)絡(luò)入侵檢測系統(tǒng)。他和其他安全產(chǎn)品有很大的差異，數(shù)據(jù)更智能化的入侵檢測系統(tǒng)，他能得到分析并得出有效的結(jié)果。一個(gè)成功的入侵檢測系統(tǒng)不但能使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何改變，而且能給網(wǎng)絡(luò)擴(kuò)安全策略的制定提供參考。本論文

3、首先總結(jié)了近些年來，網(wǎng)絡(luò)入侵檢測技術(shù)的在國內(nèi)外的發(fā)展現(xiàn)狀,分析概括了各種技術(shù)的優(yōu)點(diǎn)與不足。力圖在此基礎(chǔ)上,提出綜合運(yùn)用這些己有成果，來取得獲取更優(yōu)秀的網(wǎng)絡(luò)入侵檢測的方案。關(guān)鍵詞:網(wǎng)絡(luò)安全 入侵檢測 防火墻 人工智能 SNORT 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì) 摘 要2NETWORK INTRUSION DETECTION SYSTEM IN THE ANALYSIS AND RESEARCH OF RELEVANT TECHNOLOGYAbstract：With the advent of the information age of todays society, the compu

4、ter network has gradually become an essential infrastructure industries, a rich network of information resources to the user who has brought great convenience, but also gives users a greatly security risks. Network security has become a hot topic of universal concern. Research in this regard has bec

5、ome todays information technology sector is an important component of.Currently, from the traditional network security technologies can be divided into static and dynamic security technology security technology. Static security technology through artificial setting various access rules to limit acce

6、ss to the target in order to protect the system against invading purposes. Router access control list (ACL) and firewall (Firewall) are representative of such technologies; dynamic security technology system through active monitoring, analysis and response means to protect the security of the system

7、. The main dynamic security technologies, including intrusion detection, on-line sub-line analysis, vulnerability scanning and intrusion response and so on.Network Intrusion Detection Technology: From the literal meaning, is the network intrusion monitoring and prevention. It is through the computer

8、 systems and computer networks to collect the key points and analyze the information collected, and found a system or network for signs of attack and violation of security policy behavior. Intrusion detection is a combination of hardware and software, network intrusion detection system. He and other

9、 security products are very different, the data is more intelligent intrusion detection system, he can get analyze and draw valid results. A successful intrusion detection system not only enables system administrators to keep abreast of any changes in the network system, and give the development of

10、network security policies expanded to provide a reference.This paper first summarizes the recent years, network intrusion detection technologies in the development status at home and abroad, analysis summarizes the advantages and disadvantages of various techniques. On this basis, trying to put forw

11、ard the integrated use of these has been fruitful, to get better access to the network intrusion detection program.Key words：Network Security；Intrusion Detection ；Artificial Intelligence；Firewall；Snort 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)1目錄目錄1 緒論 .11.1 研究的目的與意義 .11.2 入侵檢測技術(shù)的發(fā)展階段 .11.3 國內(nèi)研究現(xiàn)狀 .21.4 論文結(jié)構(gòu) .42 入侵檢測.52.

12、1 入侵和入侵檢測 .52.2 入侵檢測系統(tǒng)的分類 .63 網(wǎng)絡(luò)入侵檢測系統(tǒng)（SNORT）研究.83.1 SNORT 特點(diǎn).83.2 SNORT 的體系結(jié)構(gòu).93.3 SNORT 流程概要分析.93.4 SNORT 的規(guī)則結(jié)構(gòu).154 SNORT 的安裝與測試 .164.1 安裝 SNORT.164.2 配置SNORT規(guī)則 .204.3 利用 SNORT檢測PING攻擊 .214.4 利用 SNORT檢測 SUPERSCAN掃描.214.5 用 SQL SEVER 2000 存儲(chǔ)數(shù)據(jù).224.6 使用 ACID 查看數(shù)據(jù)庫的內(nèi)容 .235 總結(jié).25結(jié)束語.26參考文獻(xiàn).27致謝.28濰 坊

13、學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)11 1 緒論緒論1.11.1 研究的目的與意義研究的目的與意義隨著信息時(shí)代的到來，網(wǎng)絡(luò)飛速發(fā)展，網(wǎng)絡(luò)的使用已經(jīng)深入到了各行各業(yè)，我們的生活已經(jīng)離不開電腦，離不開網(wǎng)絡(luò)。社會(huì)的經(jīng)濟(jì)，商業(yè)，軍事等領(lǐng)域也離不開網(wǎng)絡(luò)的覆蓋。如今信息技術(shù)的發(fā)展已經(jīng)越來越受到各國政府的重視。由此而演發(fā)出的網(wǎng)絡(luò)安全問題也越來越受到大家的重視。如今網(wǎng)絡(luò)黑客橫行，更使得網(wǎng)絡(luò)入技術(shù)的開發(fā)與發(fā)展顯得尤為重要。而傳統(tǒng)的網(wǎng)絡(luò)防火墻等技術(shù)已經(jīng)不能夠完善的保障網(wǎng)絡(luò)的安全，新的網(wǎng)絡(luò)入侵技術(shù)研究呼之欲出。圖1.1 防火墻部署1.21.2 入侵檢測技術(shù)的發(fā)展階段入侵檢測技術(shù)的發(fā)展階段第一階段（20 世紀(jì) 80 年代

14、）：主要是主機(jī)日志分析和模式匹配技術(shù)研究，推出的 IDES（Intrusion Detection Expert System，入侵檢測專家系統(tǒng)） 、DIDS（Distributed Intrusion Detection System，分布式入侵檢測系統(tǒng)） 、NSM（Network Security Monitor，網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)）等基本上都是實(shí)驗(yàn)室系統(tǒng) 。第二階段（20 世紀(jì) 90 年代）：代表性產(chǎn)品有早期的 ISS RealSecure（v6.0 之前） 、Cisco（1998 年收購 Wheel Group 獲得） 、Snort（2000 年開發(fā)代碼并免費(fèi)）等。目前 Snort 是最

15、為受歡迎的一種。第三階段（20 世紀(jì) 90 年代后期）代表性產(chǎn)品有 NetworkICE（2001 年并入 ISS） 、安氏 LinkTrustNetworkDefender（v6.6） 、NFR（第二版）等。出現(xiàn)了二十多年的入濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)2侵技術(shù)檢測，已經(jīng)從有線 IDS 發(fā)展到無線 IDS，并出現(xiàn)了 IPS（Intrusion Prevention System，入侵防御系統(tǒng)） 。1.31.3 國內(nèi)研究現(xiàn)狀國內(nèi)研究現(xiàn)狀網(wǎng)絡(luò)入侵檢測的研究在我國發(fā)展時(shí)間不長,但成果明顯。北京啟明星辰信息技術(shù)有限公司，天闐入侵檢測是千兆 IDS 設(shè)備。同樣綠盟公司的冰之眼 IDS 也是國

16、內(nèi)很有實(shí)力的 IDS 產(chǎn)品1.啟明星晨天闐 IDS：天闐系列是國內(nèi)規(guī)模最大的 IDS 產(chǎn)品商啟明星辰公司研發(fā)的。圖 1.2 天闐網(wǎng)絡(luò)探測引擎功能架構(gòu)圖濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)3圖 1.3 天闐控制中心功能架構(gòu)圖2.中聯(lián)綠盟 IDS：目前有 NIDS-100 和 NIDS-1000 兩種型號(hào)，分別對(duì)應(yīng)百兆網(wǎng)絡(luò)環(huán)境和千兆網(wǎng)絡(luò)環(huán)境。圖 1.4冰之眼中央控制臺(tái)濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)4圖 1.5 冰之眼結(jié)構(gòu)圖如圖 1.5 所示。是冰之眼的結(jié)構(gòu)圖，冰之眼的探測器端做了很多工作，新版本中加入了一些國內(nèi) IDS 產(chǎn)品所沒有，或者還沒有實(shí)現(xiàn)的新功能。例如協(xié)議識(shí)別、協(xié)議異常檢測。1.

17、41.4 論文結(jié)構(gòu)論文結(jié)構(gòu)本論文共設(shè)四章，第一章是緒論。第二章介紹了入侵檢測。第三章是論文的重點(diǎn)內(nèi)容，網(wǎng)絡(luò)入侵檢測系統(tǒng)（SNORT）研究。論文的最后一章是 SNORT 的安裝與測試。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)52 2 入侵檢測入侵檢測2.12.1 入侵和入侵檢測入侵和入侵檢測.1 入侵入侵目前，在網(wǎng)絡(luò)安全領(lǐng)域?qū)θ肭制毡槭褂玫亩x是：入侵職位卸貨危害網(wǎng)絡(luò)資源的完整性。機(jī)密性和可用性的行為集合。入侵檢測技術(shù)即使在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中發(fā)現(xiàn)并報(bào)告包括入侵等各種違反安全策略的技術(shù)入侵時(shí)只是一個(gè)分類問題，也就是針對(duì)各種主機(jī)日志、網(wǎng)絡(luò)數(shù)據(jù)包等審計(jì)數(shù)據(jù)進(jìn)行分類，以發(fā)現(xiàn)那些數(shù)據(jù)是正常的（

18、代表正常用戶行為） ，那些數(shù)據(jù)是異常的（代表異常用戶行為） 。.2 2 入侵檢測入侵檢測網(wǎng)絡(luò)入侵檢測技術(shù)分為基于異常和基于誤用的兩種?；诋惓５娜肭謾z測系統(tǒng)，它的基本思想是，概括了一般的普通意義上的所有合法行為。通過建造一個(gè)擁有所有網(wǎng)絡(luò)上的的合法行為的模型,從而獲得一個(gè)具有全部合法行為的特征的模型。在用戶自己檢測過程中,通過計(jì)算對(duì)比,凡是不符合這個(gè)模型的行為，都將被判定為入侵行為,并及時(shí)做出警報(bào)。這種類型的入侵檢測系統(tǒng)的長處是，能夠辨認(rèn)出網(wǎng)絡(luò)上新型的攻擊行為,從理論上來說他是可以檢測出所有攻擊行為的。但是實(shí)際操作中復(fù)雜的網(wǎng)絡(luò)拓?fù)?，多樣的網(wǎng)絡(luò)協(xié)議,對(duì)這些正常行為很難做出準(zhǔn)確、詳盡、

19、全面的敘述,所以理想中完美的模型幾乎是不存在的。正是如此，基于異常的入侵檢測技術(shù)，大多都存在誤報(bào)率較高的缺陷，很可能將正常行為識(shí)別成入侵而做出反應(yīng)。與基于異常的入侵檢測系統(tǒng)基本思路相反。Snort 是基于誤用的入侵檢測系統(tǒng)的代表。這類系統(tǒng)含有已知的攻擊簽名數(shù)據(jù)庫中的所有數(shù)據(jù)，使用模式識(shí)別方法來進(jìn)行檢測。為了獲得所需要的模式，在檢測到第一對(duì)數(shù)據(jù)時(shí)進(jìn)行分析，以便進(jìn)行預(yù)處理，然后將該模式與數(shù)據(jù)庫中的簽名進(jìn)行對(duì)比來識(shí)別攻擊,一旦發(fā)現(xiàn)相同則判斷為入侵并發(fā)出相應(yīng)的警報(bào)。能夠識(shí)別所有己知的攻擊是這種類型的入侵檢測系統(tǒng)的優(yōu)勢所在。在用戶使用過程中,檢測了一段時(shí)間后，基于誤用的入侵檢測系統(tǒng)中的誤報(bào)率可以到達(dá)非常

20、低的水平。但是有些黑客會(huì)展開威脅性極高的攻擊，比如利用零日漏洞的方式。對(duì)于一些數(shù)據(jù)庫中不存在的，新穎的簽名，基于無用的入侵檢測系統(tǒng)便無法處理，這就是此種系統(tǒng)的缺陷所在。此外隨著數(shù)據(jù)庫中攻擊種類的不斷累加，也會(huì)對(duì)檢測速度產(chǎn)生影響。除了上述的兩類基本的入侵檢測技術(shù)外,混合入侵檢測技術(shù)也是網(wǎng)絡(luò)入侵檢測技術(shù)中的一種方法。此方法將基于異常的與基于誤用兩種入侵檢測技術(shù)結(jié)合起來，力求能夠獲得更好的檢測效果?？雌饋磉@是一種完美可行的思路,但將兩種完全不同的入侵技術(shù)集合起來，特別是將它們的優(yōu)點(diǎn)完美的結(jié)合，并不是一件簡單可行的事情。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)6由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性,在實(shí)際操作中，混合方

21、法得到的效果大多不如使用一種技術(shù)的檢測效果來得好。雖然這其中存在各種難題,但是這類方法的思路還是比較明確的，值得我們深入研究下去的。所以目前在研究領(lǐng)域，雖然該方法成果不多，但是相較其他傳統(tǒng)的入侵檢測方法來說,也有獲得了不少值得關(guān)注的進(jìn)展。2.22.2 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類目前,市場上的入侵檢測從系統(tǒng)多種多樣。根據(jù)不同的分類方式,可將其分為不同的類型。.1 根據(jù)系統(tǒng)模塊分布方式分類根據(jù)系統(tǒng)模塊分布方式分類(一)、分布式入侵檢測系統(tǒng)。(二)、集中式入侵檢測系統(tǒng)。.2 根據(jù)響應(yīng)方式分類根據(jù)響應(yīng)方式分類 (一)、被動(dòng)入侵檢測系統(tǒng)。 (二)、主動(dòng)入侵檢測系

22、統(tǒng)。.3 根據(jù)數(shù)據(jù)分析手段分類根據(jù)數(shù)據(jù)分析手段分類(一)、異常入侵檢測系統(tǒng)。 (二)、誤用入侵檢測系統(tǒng)。圖 2.1 為典型的誤用入侵檢測模型。 修正規(guī)則 Yes審計(jì)數(shù)字 添加規(guī)則 No 圖 2.1 誤用入侵檢測系統(tǒng)模型.4 根據(jù)數(shù)據(jù)源分類根據(jù)數(shù)據(jù)源分類誤用入侵檢測系攻擊狀態(tài)規(guī)則匹配？ 正常數(shù)據(jù)濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)7 (一)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(Network 一 BasedIDS)。結(jié)構(gòu) 如圖 2.2 圖 2.2 基于網(wǎng)絡(luò)入侵檢測系統(tǒng)模型(二)基于主機(jī)的入侵檢測系統(tǒng)(Host 一 BasedIDS)。(三)混合型的入侵檢測系統(tǒng)。數(shù)據(jù)分析協(xié)議

23、分析引擎管理捕獲數(shù)據(jù)安全通信 網(wǎng)絡(luò)接口濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)83 3 網(wǎng)絡(luò)入侵檢測系統(tǒng)（網(wǎng)絡(luò)入侵檢測系統(tǒng)（SnortSnort）研究）研究3.13.1 SNORTSNORT 特點(diǎn)特點(diǎn)入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全監(jiān)控的一個(gè)重要應(yīng)用。而 Snort 正是一個(gè)基于Libpcap 的數(shù)據(jù)包嗅探器并可以作為一個(gè)輕量級(jí)的網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS） ，其網(wǎng)絡(luò)傳輸數(shù)據(jù)的采集利用了工具包 Libpcacp。Snort 對(duì) Libpcap 采集來的數(shù)據(jù)進(jìn)行分析，哦你個(gè)人判斷是否存在樂意的網(wǎng)絡(luò)活動(dòng)。輕量級(jí)是指在檢測時(shí)盡可能地的影響網(wǎng)絡(luò)的正常操作，一個(gè)優(yōu)秀的輕量級(jí)的 NIDS 應(yīng)該具備跨系統(tǒng)品太操作，對(duì)系

24、統(tǒng)影響最小等特征，管理員能夠在短時(shí)間內(nèi)通過修改被指進(jìn)行實(shí)時(shí)的安全響應(yīng)，更為重要的是能夠從成為整體安全結(jié)構(gòu)的重要成員。Snort 作為一個(gè)輕量級(jí)的入侵檢測系統(tǒng)，它的功能卻非常強(qiáng)大，相較于其他系統(tǒng)特點(diǎn)如下:1）Snort 移植性非常好，而且它的代碼簡短。 。目前支持 Linux 系列，Solaris，BSD 系列，IRIX，HP-UNIX，Windows 系列等。2）Snort 能夠提供多種多樣的警報(bào)方式，Unixsocket，Syslog，WinPopup 等，他對(duì)于網(wǎng)絡(luò)攻擊的檢測非常靈敏，速度非常快，從而及時(shí)地發(fā)出警報(bào)。另外他的實(shí)時(shí)流量分析的能力，和對(duì)日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的分析能力都很強(qiáng)。3

25、）Snort 可以協(xié)議分析入侵問題，對(duì)內(nèi)容進(jìn)行很好地匹配和搜索。目前它的水平能夠分析的協(xié)議有 TCP、UDP、和 ICMP。不久的將來他還可以支持更多的系統(tǒng)，如IPX、RIP、OSPF 等。4）Snort 的日志方式非常的靈活。他支持 XML 格式，使用數(shù)據(jù)庫輸出插件，支持 Tcpdump 的二進(jìn)制格式，同時(shí)也支持 ASCll 字符形式，數(shù)據(jù)庫日志格式也可以運(yùn)行。當(dāng)前支持的數(shù)據(jù)庫有 Postagresql、Mysql，任何 UnixODBC、Microsoft SQL Server、Oracle 等。5）使用 TCP 流插件，TCP 包通過 Snorth 進(jìn)行重組。這是 Snort 可以對(duì)抗“

26、無狀態(tài)”攻擊的基本前提。無狀態(tài)攻擊是網(wǎng)絡(luò)黑客在進(jìn)行攻擊時(shí)，每次只發(fā)送一個(gè)字節(jié)的數(shù)據(jù)包，從而避開監(jiān)視，然后被攻擊的電腦的主機(jī)的 TCP 棧會(huì)重新組合這些數(shù)據(jù)包，從而將攻擊數(shù)據(jù)會(huì)被發(fā)送給目標(biāo)端口上的監(jiān)聽的進(jìn)程，來擺脫 IDS 的檢測。6）使用 Spade (Statistical Packet Anomaly Detection Engine)插件，Snort 能夠報(bào)告異常的數(shù)據(jù)包，從而對(duì)端口進(jìn)行有效的檢測。7）Snort 還具有很強(qiáng)的系統(tǒng)防護(hù)能力。能夠?qū)崿F(xiàn)入侵檢測主機(jī)和防火墻的聯(lián)動(dòng)，這一功能是通過使用 IPTables，IPFilter 插件實(shí)現(xiàn)的，還可以通過 FlexResp 功能，Snort

27、 能夠命令防火墻斷開惡意連接。8）能夠快速的應(yīng)對(duì)新的攻擊，且擴(kuò)展性好。Snort 中最基本的規(guī)則知識(shí)包含四濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)9個(gè)域:處理動(dòng)作、協(xié)議、方向、端口。他采用了規(guī)則描述語言，且簡單易懂，一旦遇到新的攻擊他會(huì)迅速建立規(guī)則表。9）Snort 支持插件，他使用的報(bào)告具有特定的能，檢測子系統(tǒng)插件對(duì)其進(jìn)行功能擴(kuò)展。當(dāng)前支持的插件有:數(shù)據(jù)庫日志輸出插件、破碎包檢測插件、端口掃描檢測插件、HttpURL 插件、XML 網(wǎng)頁生成插件等。3.23.2 SNORTSNORT 的體系結(jié)構(gòu)的體系結(jié)構(gòu) 數(shù)據(jù)包圖 3.1 Snort 的體系結(jié)構(gòu)1）Sniffer(數(shù)據(jù)包嗅探器)2）預(yù)處理器3）

28、檢測引擎4）報(bào)警日志3.33.3 SNORTSNORT 流程流程概要分析概要分析3.33.3. .1 1 流程流程概要概要現(xiàn)在看看 Snort 是如何實(shí)現(xiàn)對(duì)數(shù)據(jù)包的分析和檢測入侵的。在 main 函數(shù)的最后部分有如下比較重要的語句：/*Read all packets on the device.Continue until cnt pakets read*/If(pacap_loop(pd,pv.pkt_cnt,(pcap_handler)ProcessPacker,NULL)sf.rfile != NULL) n = pcap_offline_read(p, cnt, callback,

29、user); else /* * XXX keep reading until we get something * (or an error occurs) */ do /do 循環(huán) n = pcap_read(p, cnt, callback, user); while (n = 0); if (n 0) cnt -= n; if (cnt func(p); idx = idx-next; if(!p-frag_flag & do_detect) if(Detect(p) /調(diào)用檢測函數(shù) CallOutputPlugins(p); /如果匹配，根據(jù)規(guī)則輸出 濰 坊 學(xué) 院 本 科 畢 業(yè)

30、設(shè) 計(jì).2 規(guī)則解析流程規(guī)則解析流程parseRule()的流程如圖 3.2 所示。 是圖 3.2 規(guī)則解析流程獲取規(guī)則類型調(diào)用對(duì)應(yīng)的解析模塊ParsePreProcessor（）ParseOutputPlugins（）ParseConfing（）ParseRuleTyDeclaration（）VarDefine（）處理規(guī)則頭ProcessHeadNode處理規(guī)選項(xiàng)ProcessRuleOption（）返回屬于檢測規(guī)則類型濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì).3 規(guī)則匹配流程規(guī)則匹配流程Snort 規(guī)則匹配總體流程如圖 3.3 所示。 否 是 是 否圖

31、 3.3 Snort 規(guī)則匹配總體流程如果必要?jiǎng)t根據(jù) tag信息進(jìn)行記錄獲取 RuleLists 鏈表頭遍歷到鏈表中下一節(jié)點(diǎn)鏈表中還有記錄？調(diào)用EvalPacket（）判斷是否入侵 Detece 開始結(jié)束濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)153.43.4 SNORTSNORT 的規(guī)則結(jié)構(gòu)的規(guī)則結(jié)構(gòu)Snort 規(guī)則可以劃分為兩個(gè)邏輯部分。如圖 3.4 所示: 圖 3.4Snort 規(guī)則的基本結(jié)構(gòu).1 規(guī)則頭規(guī)則頭規(guī)則頭包含報(bào)文關(guān)鍵的地址信息、協(xié)議信息以及當(dāng)報(bào)文符合此規(guī)則時(shí)各元素應(yīng)該采取的行為。Snort 規(guī)則頭部的主要結(jié)構(gòu)如圖 3.5 所示:圖 3.5 Snort 規(guī)則頭部結(jié)

32、構(gòu)1）規(guī)則動(dòng)作2）協(xié)議字段3）地址字段4）端口信息5）方向操作符.2 規(guī)則選項(xiàng)規(guī)則選項(xiàng)Snort 目前有四十幾個(gè)選項(xiàng)關(guān)鍵字，按其功能可分為八類:1）關(guān)于報(bào)警信息的選項(xiàng)關(guān)鍵字:msg、referenee、sid、rev、classtype、priority。2）關(guān)于內(nèi)容檢測的選項(xiàng)關(guān)鍵字:content、nocase、rawbytes、depth、offset、distance、within、urieontent、isdataat、pcre、byte-test、byte_jump、ftpbounce、regex、content-list。3）關(guān)于正協(xié)議的選項(xiàng)關(guān)鍵字:fragoffs

33、et、ttl、tos、id、ipopts、fragbits、dsize、sameip、ip_proto。4）關(guān)于 TCP 協(xié)議的選項(xiàng)關(guān)鍵字:flags、flow、flowbits、seq、ack、window。5）關(guān)于 ICMP 協(xié)議的選項(xiàng)關(guān)鍵字:itype、icode、icmp_id、icmp_seq。6）關(guān)于規(guī)則響應(yīng)后的選項(xiàng)關(guān)鍵字:logto、session、resp、react、tag。規(guī)則頭部規(guī)則選項(xiàng)操作目標(biāo)地址協(xié)議類型源端口源地址方向目標(biāo)端口濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)164 4 snortsnort 的安裝與測試的安裝與測試4.14.1 安裝安裝 SnortSnort自動(dòng)

34、安裝包是一個(gè)利用 WINRAR 制作的自解壓程序。將手動(dòng)安裝的文件直接解壓到相應(yīng)位置，這種方法快捷高效，但是要求路徑的一致。安裝過程如下：執(zhí)行 snort.exe，彈出自解壓界面，必須使用默認(rèn)安裝路徑。圖 4.1 snort 解壓安裝提示安裝 MYSQL，選取默認(rèn)路徑 c:mysql。如圖 4.2 所示：圖 4.2 安裝MYSQL濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)17提示安裝 Winpcap3.0，如果已經(jīng)安裝了新版本 winpcap，安裝過程中會(huì)提示有新版本文件，是否要覆蓋。這里要用 3.0 版的覆蓋新版文件，否則會(huì)出現(xiàn)問題。提示安裝 Apache。首先填寫服務(wù)器信息，選擇“for al

35、l Users”的推薦設(shè)置。 圖 4.3 安裝 Apache 選擇“Custom”安裝方式，不采用默認(rèn)安裝路徑，設(shè)置 Apache 安裝路徑為c:apache。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)18圖 4.4 選擇安裝方式圖 4.5 設(shè)置 Apache 安裝路徑濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)19之后程序會(huì)自動(dòng)解壓文件，并最后開啟 apache 和 mysql 服務(wù)。測試過程同手動(dòng)安裝測試步驟。完善配置文件1）打開 c:/snort/etc/snort.conf 文件，查看現(xiàn)有配置。2）設(shè)置 snort 的內(nèi)、外網(wǎng)檢測范圍。將 snort.conf 文件中 var HOME_NET

36、any 語句中的 any 改為自己所在的子網(wǎng)地址，即將 snort 監(jiān)測的內(nèi)網(wǎng)設(shè)置為本機(jī)所在局域網(wǎng)。如本地 IP 為 0，則將 any 改為 /24。并將 var EXTERNAL_NET any 語句中的 any 改為!/24，即將 snort監(jiān)測的外網(wǎng)改為本機(jī)所在局域網(wǎng)以外的網(wǎng)絡(luò)。3）設(shè)置監(jiān)測包含的規(guī)則。找到 snort.conf 文件中描述規(guī)則的部分，如圖 4.6 所示：圖 4.6 snort 中的規(guī)則前面加表示該規(guī)則沒有啟用，將 local.rules 之前的號(hào)去掉，其余規(guī)則保持不變。啟動(dòng) Apache 和 mysql

37、服務(wù)。net start apache2; net start mysql運(yùn)行 ACID：打開瀏覽器，地址為 /acid。如果有圖 4.7 所示，則表示 ACID 安裝成功。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)20圖4.7 ACID安裝成功提示界面運(yùn)行 Snort：在運(yùn)行中輸入命令 c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog-de ，如果有圖 4.8 所示，說明Snort 可以正常運(yùn)行。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)21圖 4.8 snort 正常工作的入侵檢測模式4.24.2 配置配置 s

38、nortsnort 規(guī)則規(guī)則下面我們練習(xí)添加一條規(guī)則，以對(duì)符合此規(guī)則的數(shù)據(jù)包進(jìn)行檢測。1）打開 c:snortruleslocal.rules 文件，如圖 4.9 所示：圖 4.9 文件中snort 規(guī)則2）在規(guī)則中添加一條語句，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的 UDP 協(xié)議相關(guān)流量進(jìn)行檢測，并報(bào)警：udp ids/dns-version-query。語句如下：alert udp any any $HOME_NET any (msg:udp ids/dns-version-query;content:version;)保存文件后，退出。3）重啟 Snort 和 acid 檢測控制臺(tái)，使規(guī)則生效。濰 坊 學(xué) 院 本

39、 科 畢 業(yè) 設(shè) 計(jì)224.34.3 利用利用 SnortSnort 檢測檢測 pingping 攻擊攻擊Snort 主要是利用模式匹配的方法檢測攻擊。其特征值保存在 Rules 文件夾中。其中 icmp-info.rules 文件中的規(guī)則 alert icmp $EXTERNAL_NET any - $HOME_NET any (msg:ICMP Large ICMP Packet; dsize:800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;)用于檢測大的 ping 包，長度超過 800 的包即被認(rèn)為是

40、大包。運(yùn)行 Snort，并且用長度超過 800 的大包去 ping 靶機(jī)。Ping 0 -l 801 -t (IP 地址為靶機(jī)地址)同時(shí)打開 ACID，看是否有 ICMP 類報(bào)警產(chǎn)生。如圖 4.10 所示：圖 4.10 查看 ICMP 類報(bào)警是否產(chǎn)4.44.4 利用利用 SnortSnort 檢測檢測 SuperscanSuperscan 掃描掃描Superscan 是一款功能強(qiáng)大的掃描器，可以對(duì)搜集各網(wǎng)段主機(jī)信息。Snort 對(duì)Superscan 設(shè)計(jì)了專門的規(guī)則，可以實(shí)現(xiàn)對(duì) Superscan 的過濾。運(yùn)行 Snort，打開 Superscan 對(duì)目標(biāo)網(wǎng)段進(jìn)行掃描。如

41、圖 4.11 所示：濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)23圖 4.11 superscan 的掃描打開 ACID，看是否有 Superscan 報(bào)警產(chǎn)生。如圖 4.12 所示：圖 4.12 查看 superscan 是否產(chǎn)生報(bào)警4.54.5 用用 SQLSQL SEVERSEVER 20002000 存儲(chǔ)數(shù)據(jù)存儲(chǔ)數(shù)據(jù)SQL Server 為 Snort 的網(wǎng)絡(luò)入侵檢測模式提供數(shù)據(jù)庫支持，安裝后，還要保證Snort 能夠訪問到該數(shù)據(jù)庫。默認(rèn)安裝 SQL Server 2000 數(shù)據(jù)庫，配置 SQL Server 隨機(jī)啟動(dòng)。為 Snort 建立存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫“db_snort” ，添加 Sn

42、ort 訪問 db_snort 的用戶 acid，密碼設(shè)為“123456” 。指定 acid 在數(shù)據(jù)庫 db_snort 中權(quán)限為 db_owner。以上為 Snort 訪問數(shù)據(jù)庫做了準(zhǔn)備，還要為 db_snort 添加 Snort 需要用到的表。在官方網(wǎng)站上查看 Snort 需要的表信息，以及提供的資料，編寫 sql 腳本。將該腳本導(dǎo)入到 SQL Server 查詢分析器中，執(zhí)行查詢選項(xiàng)，將表信息導(dǎo)入到數(shù)據(jù)庫濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)24db_snort 中，在 db_snort 的表視圖中，可以查看這些已經(jīng)創(chuàng)建的表，如圖 4.13，該表中省略了系統(tǒng)表。這些表分別存儲(chǔ)了 Snor

43、t 檢測到入侵的 TCP、UDP、ICMP 等數(shù)據(jù)信息。圖圖 4.13 db snort4.64.6 使用使用 ACIDACID 查看數(shù)據(jù)庫的內(nèi)容查看數(shù)據(jù)庫的內(nèi)容解壓縮 acid-0.9.6b23.tar.gz 至 c:apacheapache2htdocsacid 目錄下。在這之前要為此建好用戶 acid ，ACID 的前提是要擁有訪問數(shù)據(jù)庫的用戶， 。打開ACID 的配置文件 acid_conf.php，修改如下配置：$DBlib_path = c:php5adodb;$alert_dbname = db_snort;$alert_host = localhost;$alert_port

44、= 3306;$alert_user = acid;$alert_password = your password;第一行代碼配置 PHP 連接數(shù)據(jù)庫所用到的連接池；第二行指定 Snort 所用的數(shù)據(jù)庫名；第三行指定數(shù)據(jù)庫所在的位置；第四行到第六行，指定連接到數(shù)據(jù)庫所用到的端口、用戶和密碼。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)25需要在計(jì)算機(jī) B 的網(wǎng)頁瀏覽器重輸入：11/acid/acid_db_setup.php來測試 ACIDACID 連接數(shù)據(jù)庫成功的界面，如圖 4.14。圖 4.14 ACID 連接數(shù)據(jù)庫成功進(jìn)入 ACID 的“home”頁面，如圖

45、4.15。此時(shí)系統(tǒng)檢測出了 8 個(gè)攻擊。在圖4.11 中可以看出，系統(tǒng)檢測出了 8 個(gè)攻擊。這說明 ACID 從數(shù)據(jù)庫中讀出的數(shù)據(jù)是正確的。這樣一個(gè)完整的 SIDS 已經(jīng)搭建完成。圖 4.15 Snort 捕獲的數(shù)據(jù)在 ACID 中的顯示濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)26 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)275 5 總結(jié)總結(jié)論文中一開始介紹了網(wǎng)絡(luò)在當(dāng)今社會(huì)的普遍性，然后說明了研究網(wǎng)絡(luò)入侵系統(tǒng)的迫切性，以及當(dāng)前國內(nèi)的對(duì)于網(wǎng)絡(luò)入侵的研究發(fā)展水平，論述了網(wǎng)絡(luò)入侵的種類與概況，然后又詳細(xì)介紹了網(wǎng)絡(luò)入侵檢測系統(tǒng) Snort，并對(duì)她做了比較詳盡的說明。最后介紹了 Snort 的安裝與調(diào)試。當(dāng)

46、然文章只是簡略的對(duì)這些方面做了介紹與研究，還有很多不足的地方需要在以后的研究中繼續(xù)加深。濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)28結(jié)束語結(jié)束語 網(wǎng)絡(luò)信息的廣泛應(yīng)用給人類生活帶來無限方便和美好，現(xiàn)代社會(huì)各行各業(yè)已經(jīng)不能脫離網(wǎng)絡(luò)，網(wǎng)絡(luò)應(yīng)用已經(jīng)是生活中不可或缺的一部分，但網(wǎng)絡(luò)信息中存在的危險(xiǎn)因素很讓人煩擾，網(wǎng)絡(luò)安全問題也越來越突出，處理網(wǎng)絡(luò)問題也越來越變得復(fù)雜，網(wǎng)絡(luò)安全問題逐漸引起人們的重視，隨著多種網(wǎng)絡(luò)入侵檢測技術(shù)的不斷發(fā)展改進(jìn)，網(wǎng)絡(luò)安全問題一定也會(huì)逐漸得到完善的解決。本論文首先介紹研究了網(wǎng)絡(luò)入侵檢測技術(shù)的現(xiàn)狀，然后深入的研究了 snort 技術(shù)的詳細(xì)信息，及其特點(diǎn)，結(jié)構(gòu)和其檢測流程等，論文較重點(diǎn)的配置了 snort 在windows 下的工作環(huán)境，做了簡單的實(shí)驗(yàn)，來展現(xiàn) snort 的 dos 下的工作過程和與php，acid 等可圖形顯示下的數(shù)據(jù)瀏覽與操作。由于我的水平有限，以及完成文章的時(shí)間，請(qǐng)老師批評(píng)指正文章中的不足濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計(jì)29參