實(shí)驗(yàn)五：入侵檢測(cè)技術(shù)

1、精選優(yōu)質(zhì)文檔-傾情為你奉上實(shí)驗(yàn)五：入侵檢測(cè)技術(shù)一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)實(shí)驗(yàn)深入理解入侵檢測(cè)系統(tǒng)的原理和工作方式，熟悉入侵檢測(cè)系統(tǒng)的配置和使用。實(shí)驗(yàn)具體要求如下：1.理解入侵檢測(cè)的作用和原理2.理解誤用檢測(cè)和異常檢測(cè)的區(qū)別3.掌握Snort的安裝、配置和使用等實(shí)用技術(shù)二、實(shí)驗(yàn)原理1、入侵檢測(cè)概念及其功能入侵檢測(cè)是指對(duì)入侵行為的發(fā)現(xiàn)、報(bào)警和響應(yīng)，它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 入侵檢測(cè)系統(tǒng)(intrusion detection system,IDS)是完成入侵檢測(cè)功能的軟件和硬件的集合。入侵檢測(cè)的功能主要體

2、現(xiàn)在以下幾個(gè)方面：1）. 監(jiān)視并分析用戶和系統(tǒng)的活動(dòng)。2）. 核查系統(tǒng)配置和漏洞。3）. 識(shí)別已知的攻擊行為并報(bào)警。4）. 統(tǒng)計(jì)分析異常行為。5）. 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。6）. 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別違反安全策略的用戶行為。2、入侵檢測(cè)的分類(lèi)根據(jù)IDS檢測(cè)對(duì)象和工作方式的不同，可以將IDS分為基于網(wǎng)絡(luò)的IDS(簡(jiǎn)稱(chēng)NIDS)和基于主機(jī)的IDS(簡(jiǎn)稱(chēng)HIDS)。NIDS和HIDS互為補(bǔ)充，兩者的結(jié)合使用使得IDS有了更強(qiáng)的檢測(cè)能力。1）. 基于主機(jī)的入侵檢測(cè)系統(tǒng)。HIDS歷史最久，最早用于審計(jì)用戶的活動(dòng)，比如用戶登錄、命令操作、應(yīng)用程序使用資源情況等。HIDS主要使用主機(jī)

3、的審計(jì)記錄和日志文件作為輸入，某些HIDS也會(huì)主動(dòng)與主機(jī)系統(tǒng)進(jìn)行交互以獲得不存在于系統(tǒng)日志的信息。 HIDS所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計(jì)上，試圖從日志尋找濫用和入侵事件的線索。HIDS用于保護(hù)單臺(tái)主機(jī)不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在保護(hù)的主機(jī)上。2）. 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。NIDS是在網(wǎng)絡(luò)中的某一點(diǎn)被動(dòng)地監(jiān)聽(tīng)網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚⑼ㄟ^(guò)協(xié)議分析、特征、統(tǒng)計(jì)分析等分析手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為。NIDS通過(guò)對(duì)流量分析提取牲模式，再與已知攻擊牲相匹配或與正常網(wǎng)絡(luò)行為原形相比較來(lái)識(shí)別攻擊事件。3、入侵檢測(cè)系統(tǒng)1）. 入侵檢測(cè)系統(tǒng)的特點(diǎn)：入侵檢測(cè)系統(tǒng)(Intrusion Detecti

4、on System)是對(duì)防火墻有益的補(bǔ)充，它對(duì)網(wǎng)絡(luò)和主機(jī)行為進(jìn)行檢測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)監(jiān)控，增強(qiáng)了網(wǎng)絡(luò)的安全性。在安全防范方面，入侵檢測(cè)系統(tǒng)可以實(shí)現(xiàn)事前警告、事中防護(hù)和事后取證。入侵檢測(cè)系統(tǒng)能夠在入侵攻擊行為對(duì)網(wǎng)絡(luò)系統(tǒng)造成危害前，及時(shí)檢測(cè)到入侵攻擊的發(fā)生，并進(jìn)行報(bào)警；入侵攻擊發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)可以通過(guò)與防火墻聯(lián)動(dòng)等方式進(jìn)行報(bào)警及動(dòng)態(tài)防護(hù)；被入侵攻擊后，入侵檢測(cè)系統(tǒng)可以提供詳細(xì)的攻擊信息日志，便于取證分析。相對(duì)于防火墻提供的靜態(tài)防護(hù)而言，入侵檢測(cè)系統(tǒng)側(cè)重于提供動(dòng)態(tài)實(shí)時(shí)檢測(cè)防護(hù)，因此防火墻和入侵檢測(cè)系統(tǒng)的結(jié)合，能夠給網(wǎng)絡(luò)帶來(lái)更全面的防護(hù)。2). 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)原理：入侵

5、檢測(cè)系統(tǒng)的實(shí)現(xiàn)技術(shù)可以簡(jiǎn)單地分為兩大類(lèi)：基于特征的檢測(cè)和基于異常的檢測(cè)?；谔卣鞯臋z測(cè)技術(shù)主要包括模式匹配和協(xié)議分析兩種主要檢測(cè)方法。模式匹配就是將已知入侵事件悼念到網(wǎng)絡(luò)入侵和系統(tǒng)誤用知識(shí)庫(kù)中，對(duì)入侵檢測(cè)系統(tǒng)悼念的信息和知識(shí)庫(kù)中的規(guī)則進(jìn)行比較，以發(fā)現(xiàn)入侵行為。協(xié)議分析技術(shù)則對(duì)數(shù)據(jù)包進(jìn)行協(xié)議解析后進(jìn)行分析。這種技術(shù)需要首先捕捉數(shù)據(jù)包，然后對(duì)數(shù)據(jù)包進(jìn)行解析，包括網(wǎng)絡(luò)協(xié)議分析和命令解析，即使在高負(fù)載的調(diào)整網(wǎng)絡(luò)上，也能逐個(gè)分析所有的數(shù)據(jù)包。基于牲的檢測(cè)技術(shù)只需收集相關(guān)的數(shù)據(jù)，和所維護(hù)的知識(shí)庫(kù)規(guī)則比較就能進(jìn)行判斷，檢測(cè)準(zhǔn)確率和效率較高。但是，該技術(shù)需要不斷進(jìn)行知識(shí)庫(kù)規(guī)則的升級(jí)以對(duì)付不斷出現(xiàn)的新攻擊手法，

6、而且，它不能檢測(cè)未知攻擊手段。3). 入侵檢測(cè)系統(tǒng)的部署原則：NIDS總的來(lái)說(shuō)包括探測(cè)器和控制臺(tái)兩大部分。探測(cè)器是專(zhuān)用的硬件設(shè)備，負(fù)責(zé)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲、分析檢測(cè)和報(bào)警等功能。控制臺(tái)是管理探測(cè)器的工具，它負(fù)責(zé)接收探測(cè)器的檢測(cè)日志數(shù)據(jù)，并提供數(shù)據(jù)查詢(xún)和報(bào)告生成等功能，一個(gè)控制臺(tái)可以管理多個(gè)探測(cè)器。HIDS安裝在被保護(hù)的機(jī)器上，在主機(jī)系統(tǒng)的審計(jì)日志或操作中查找信息源進(jìn)行智能分析和判斷，例如操作系統(tǒng)日志、系統(tǒng)進(jìn)程、文件訪問(wèn)和注冊(cè)表訪問(wèn)等信息。由于HIDS安裝在需要保護(hù)的主機(jī)系統(tǒng)上，這將影響應(yīng)用系統(tǒng)的運(yùn)行效率。HIDS對(duì)主機(jī)系統(tǒng)固有的日志與監(jiān)視能力有很高的依賴(lài)性，它一般針對(duì)其所在的系統(tǒng)進(jìn)行檢測(cè)。4/Sn

7、ort簡(jiǎn)介及使用原理：1). Snort是一款免費(fèi)的NIDS，具有小巧靈便、易于配置、檢測(cè)效率高等特性，常被稱(chēng)為輕量級(jí)的IDS。Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析能力，具有跨平臺(tái)特征，能夠進(jìn)行協(xié)議分析和對(duì)內(nèi)容的搜索或匹配。Snort能夠檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出、端口掃描和拒絕服務(wù)攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警。Snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測(cè)結(jié)果采取一定的行動(dòng)。Snort有3種工作模式，即嗅探器、數(shù)據(jù)包記錄器和NIDS。嗅探器模式僅從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上；數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤(pán)上，以備分析之用；NIDS

8、模式功能強(qiáng)大，可以通過(guò)配置實(shí)現(xiàn)。2). Snort的結(jié)構(gòu)由四大軟件模塊組成：(1)數(shù)據(jù)包嗅探模塊。負(fù)責(zé)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)進(jìn)行分析。(2)預(yù)處理模塊。該模塊用相應(yīng)的插件來(lái)檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的"行為"。(3)檢測(cè)模塊。該模塊是Snort的核心模塊。當(dāng)數(shù)據(jù)包從預(yù)處理器送過(guò)來(lái)后，檢測(cè)引擎依據(jù)預(yù)先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報(bào)警模塊。(4)報(bào)警/日志模塊。經(jīng)檢測(cè)引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如果檢測(cè)引擎中的某條規(guī)則被匹配，則會(huì)觸發(fā)一條報(bào)警。3). Snort規(guī)則。Snort的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)

9、則選項(xiàng)。規(guī)則頭部包括規(guī)則行為、協(xié)議、源或目的IP地址、子網(wǎng)掩碼、源端口和目的端口；規(guī)則選項(xiàng)包含報(bào)警信息和異常包的信息（特征碼），基于特征碼決定是否采取規(guī)則規(guī)定的行動(dòng)。對(duì)于每條規(guī)則來(lái)說(shuō)，規(guī)則選項(xiàng)不是必需的，只是為了更加詳細(xì)地定義應(yīng)該收集或者報(bào)警的數(shù)據(jù)包。 只有匹配所有選項(xiàng)的數(shù)據(jù)包，Snort都會(huì)執(zhí)行其規(guī)則行為。如果許多選項(xiàng)組合在一起，它們之間是“邏輯與“的關(guān)系。三、實(shí)驗(yàn)步驟實(shí)驗(yàn)內(nèi)容一：Windows平臺(tái)下Snort的安裝與配置由于需要對(duì)網(wǎng)絡(luò)底層進(jìn)行操作，安裝Snort前需要預(yù)先安裝WinpCap（WIN32平臺(tái)上網(wǎng)絡(luò)分析和捕獲數(shù)據(jù)包的鏈接庫(kù)）。1. 下載Windows平臺(tái)下的Snort安裝程序，

10、選擇安裝目錄為c:Snort。進(jìn)行到選擇日志文件存放方式時(shí)，為簡(jiǎn)單起見(jiàn)，選擇不需要數(shù)據(jù)庫(kù)支持或者Snort默認(rèn)的MySQL和ODBC數(shù)據(jù)庫(kù)支持的方式。 (即選擇"I do not plan to log to a database,or I am planning to log to one of the databases listed above.")2. 單擊“開(kāi)始”菜單，選擇“運(yùn)行”命令，輸入cmd并按Enter鍵，在命令行方式下輸入如下命令c:>cd c:Snortbin，然后輸入c:Snortbin>snort -W。如果Snort安裝成功，系統(tǒng)將顯

11、示如下圖所示信息。3. 從返回的結(jié)果可知主機(jī)上有哪個(gè)物理網(wǎng)卡正在工作及該網(wǎng)卡的詳細(xì)信息。其中第五個(gè)是具有物理地址的網(wǎng)卡。輸入snort -v i3命令啟用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i3表示監(jiān)聽(tīng)第五個(gè)網(wǎng)卡。如下圖所示：4. 為了進(jìn)一步查看Snort的運(yùn)行狀況，可以人為制造一些ICMP網(wǎng)絡(luò)流量。在局域網(wǎng)段中的另一臺(tái)主機(jī)上使用Ping指令，探測(cè)運(yùn)行Snort的主機(jī)。5. 回到運(yùn)行Snort的主機(jī)，發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測(cè)的數(shù)據(jù)包，Snort在屏幕上輸出了局域網(wǎng)中另一臺(tái)主機(jī)到本主機(jī)的ICMP數(shù)據(jù)包頭。6. 打開(kāi)c:Snortetcsnort.co

12、nf(先用下載的snort.conf代替原來(lái)的snort.conf)，設(shè)置Snort的內(nèi)部和外部網(wǎng)絡(luò)檢測(cè)范圍。將Snort.conf文件中的var HOME_NET any語(yǔ)句中的Any改為自己所在的子網(wǎng)地址，即將Snort監(jiān)測(cè)的內(nèi)部網(wǎng)絡(luò)設(shè)置為本機(jī)所在的局域網(wǎng)。 如本地IP為00，則將Any改為/24。將var HOME_NET any語(yǔ)句中的HOME_NET的值改為本地網(wǎng)絡(luò)的標(biāo)識(shí)，即/247. 配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的IP地址，只需要把默認(rèn)的$HOME_NET改成對(duì)應(yīng)主機(jī)地址即可：var DNS_SERVERS $ HOME_

13、NET; var SMTP_SERVERS $ HOME_NET; var HTTP_SERVERS $ HOME_NET; var SQL_SERVERS $ HOME_NET; var TELNET_SERVERS $ HOME_NET; var SNMP_SERVERS $ HOME_NET 如果不需要監(jiān)視某種類(lèi)型的服務(wù)，可用#號(hào)將上述語(yǔ)句其注釋掉。8. 修改設(shè)置監(jiān)測(cè)包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置，格式如下：include $RULE_PATH/local.rules; include $RULE_PATH/bad-traffic.rules; include $RU

14、LE_PATH/exploit.rules。其中變量$RULE_PATH指明了規(guī)則文件存放的路徑，可以在語(yǔ)句var RULE_PATH./rules中將變量RULE_PATH改為存放規(guī)則集的目錄，如：c:snortrules。9. 在Snort.conf文件中，修改配置文件Classification.conf和Reference.conf的路徑：include c:Snortetcclassification.conf; include c:Snortetcreference.config。其中，Classification.conf文件保存的是和規(guī)則的警報(bào)級(jí)別相關(guān)的配置，Reference

15、.conf文件保存了提供更多警報(bào)相關(guān)信息的鏈接。實(shí)驗(yàn)內(nèi)容二：Windows平臺(tái)下Snort的使用1. Snort嗅探器模式。檢測(cè)Snort安裝是否成功時(shí)，用到的就是Snort嗅探器模式。輸入命令如下：snort -v i3使Snort只將IP和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令：snort -v -d i3。 如果需要輸出更詳細(xì)的信息，輸入命令：snort -v -d -e i3可以顯示數(shù)據(jù)鏈路層的信息。2. 數(shù)據(jù)包記錄器模式。上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個(gè)Log目錄。輸入下面的命令啟用數(shù)據(jù)包記錄器模

16、式：snort -dve i3 -l c:Snortlog -h /24 -K ascii。 其中，-l選項(xiàng)指定了存放日志的文件夾；-h指定目標(biāo)主機(jī)，這里檢測(cè)對(duì)象是局域網(wǎng)段內(nèi)的所有主機(jī)，如不指定-h，則默認(rèn)檢測(cè)本機(jī)；-K指定了記錄的格式，默認(rèn)是Tcpdump格式，此處使用ASCII碼。3. 網(wǎng)絡(luò)IDS模式。Snort最重要的用途還是作為基于誤用檢測(cè)技術(shù)的NIDS。輸入下面的命令啟動(dòng)IDS模式：snort i3 -dev -l./log -h /24 -K ascii -c c:Snort/etc/snort.conf。相比數(shù)據(jù)包記錄器模式中使用的命令

17、，該命令只增加了一個(gè)選項(xiàng)-c，用于告訴Snort使用Snort.conf中的規(guī)則集文件。 Snort會(huì)對(duì)每個(gè)包和規(guī)則集進(jìn)行匹配，如符合規(guī)則就采取規(guī)則所指定的動(dòng)作。4. 下面將通過(guò)對(duì)運(yùn)行了Snort的目標(biāo)主機(jī)進(jìn)行有意攻擊，來(lái)觀察Snort檢測(cè)入侵的能力。首先，向目標(biāo)主機(jī)發(fā)送ICMP長(zhǎng)數(shù)據(jù)包來(lái)觀測(cè)Snort的反映，ICMP長(zhǎng)數(shù)據(jù)包是有潛在危險(xiǎn)的，一般會(huì)被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具Nmap對(duì)目標(biāo)主機(jī)進(jìn)行掃描，觀察Snort的檢測(cè)情況。具體操作步驟如下：(1)在安裝好Snort的目標(biāo)主機(jī)命令行方式下，輸入上面第3步的命令，使Snort工作在IDS模式。在局域網(wǎng)的另一臺(tái)主機(jī)上向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)

18、包，輸入下面的命令：ping -l 45678 (2)在目標(biāo)主機(jī)中打開(kāi)Log文件夾，此時(shí)可以發(fā)現(xiàn)在Log的根目錄下自動(dòng)生成了一個(gè)名為Alert的文件。打開(kāi)文件并觀察其內(nèi)容，Snort警報(bào)中記錄了剛才發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包，每條記錄包括警報(bào)的類(lèi)型和數(shù)據(jù)包的包頭。發(fā)送的ICMP長(zhǎng)數(shù)據(jù)包之所以出現(xiàn)在警報(bào)中，是因?yàn)樗奶卣骱蚐nort預(yù)先定義的規(guī)則相符。警報(bào)如下圖所示：(3)在Snort的安裝目錄下打開(kāi)Rules文件夾，打開(kāi)Icmp.rules文件，可以發(fā)現(xiàn)和該攻擊對(duì)應(yīng)的規(guī)則如下圖所示：(4)執(zhí)行端口掃描的檢測(cè)。把Snort.conf文件中相應(yīng)端口配置部分的內(nèi)容修改為：prepr

19、ocessor sfportscan:protoall memcap sense_levelmedium logfileportscan。其中，proto指定了需要檢測(cè)的協(xié)議類(lèi)型，包括TCP、UDP、ICMP和IP，all表示檢測(cè)所有的協(xié)議；sense_level指定檢測(cè)的靈敏度，靈敏度高可以增加檢測(cè)率， 但有可能會(huì)同時(shí)增加誤報(bào)率，Snort的默認(rèn)選項(xiàng)是Low；logfile指定檢測(cè)結(jié)果的輸出文件名，該文件將創(chuàng)建在Log目錄下。(5)在局域網(wǎng)的另一臺(tái)主機(jī)上運(yùn)行Nmap，對(duì)目標(biāo)主機(jī)進(jìn)行SYN掃描，在命令行方式下輸入如下命令：nmap -sS 00如圖所示，掃描探測(cè)到了兩個(gè)開(kāi)

20、放端口139和455。(6)在目標(biāo)主機(jī)上查看記錄端口掃描檢測(cè)結(jié)果的文件Portscan。可以看出，Snort準(zhǔn)確識(shí)別并分析記錄了端口掃描攻擊相關(guān)的信息，如攻擊者的IP地址，掃描的范圍從21號(hào)端口到38037號(hào)端口，攻擊者掃描到2個(gè)開(kāi)放的端口：139和455。 Portscan文件中記錄的并不是單條的網(wǎng)絡(luò)數(shù)據(jù)包記錄，而是Snort的端口模塊對(duì)數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時(shí)間內(nèi)來(lái)自同一IP的警報(bào)信息或TCP數(shù)據(jù)包的統(tǒng)計(jì)特征等。(7)打開(kāi)Alarm文件。發(fā)現(xiàn)在Alarm文件里增加了與端口掃描相關(guān)的警告。Alarm文件中記錄的是單個(gè)數(shù)據(jù)包和規(guī)則匹配的結(jié)果；在Rules文件夾中打開(kāi)檢測(cè)端口掃

21、描的規(guī)則集，可以找到與端口掃描警報(bào)相對(duì)應(yīng)的規(guī)則：alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN XMAS"flow:stateless; flags:SRAFPU,12;reference:arachnids,144;classtype:attempted-recon;sid:625;rev:7)實(shí)驗(yàn)內(nèi)容三：編寫(xiě)Snort規(guī)則1. snort使用一種簡(jiǎn)單的，輕量級(jí)的規(guī)則描述語(yǔ)言，這種語(yǔ)言靈活而強(qiáng)大。在開(kāi)發(fā)snort規(guī)則時(shí)要雇幾個(gè)簡(jiǎn)單的原則：(1)大多數(shù)snort規(guī)則都寫(xiě)在一個(gè)單行上，或都在多行之間的行尾用

22、/分隔。(2)snort被分成兩個(gè)邏輯部分：規(guī)則頭和規(guī)則項(xiàng)。規(guī)則頭包含規(guī)則的動(dòng)作、協(xié)議、源和目標(biāo)IP地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息；規(guī)則選項(xiàng)部分包含報(bào)警消息內(nèi)容和要檢查的包的部分。(3)例如：alert tcp any any -> /24 111(content:"|00 01 86 a5|"msg:"mountd access")。第一個(gè)括號(hào)前的部分是規(guī)則頭(rule header)，包含的括號(hào)內(nèi)的部分是規(guī)則選項(xiàng)(rule options)。規(guī)則選項(xiàng)部分中冒號(hào)前的單詞稱(chēng)為選項(xiàng)關(guān)鍵字(option keywords)。

23、 注意，不是所有規(guī)則都必須包含規(guī)則選項(xiàng)部分，選項(xiàng)部分只是為了使對(duì)要悼念或報(bào)警，或丟棄的包的定義更加嚴(yán)格。組成一個(gè)規(guī)則的所有元素對(duì)于指定的要采取的行動(dòng)都必須是真的。當(dāng)多個(gè)元素放在一起時(shí)，可以認(rèn)為它們組成一個(gè)邏輯與語(yǔ)句。同時(shí)，snort規(guī)則庫(kù)文件中的不同規(guī)則可以認(rèn)為組成一個(gè)大的邏輯或語(yǔ)句。2. 編寫(xiě)一個(gè)規(guī)則，通過(guò)捕捉關(guān)鍵字Search記錄打開(kāi)Google網(wǎng)頁(yè)的動(dòng)作，并將符合規(guī)則的數(shù)據(jù)包輸出到Alert文件中。(1)在Snort的Rules文件夾下創(chuàng)建Myrule文件，在Myrule文件中輸入如下內(nèi)容：alert tcp $EXTERNAL_NET any -> any 80(content:

24、"search"nocase;msg:"Google Search Query")1. 在Snort.conf文件中添加新建的規(guī)則文件。在Snort.conf的規(guī)則區(qū)域中（也可在文件末）添加下面的語(yǔ)句：include $RULE_PATH/myrule.rules(3)以IDS模式啟動(dòng)Snort，打開(kāi)瀏覽器，輸入到google頁(yè)面。到Log文件夾下查看Alert文件，如下圖所示，可以發(fā)現(xiàn)規(guī)則中的字符串已經(jīng)被記錄了下來(lái)，即Snort成功地檢測(cè)到載入Google網(wǎng)頁(yè)的動(dòng)作，所定義的規(guī)則起到了預(yù)想的作用。3. 嘗試定義幾個(gè)更為實(shí)用的規(guī)則，并在使用中檢驗(yàn)它們的效

25、果。(1)在Myrule中添加如下3條規(guī)則：alert icmp $EXTERNAL_NET any -> $HOME_NET any (dsize:0;itype:8;msg:"NMAP PING SCAN")alert tcp $EXTERNAL_NET any -> $HOME_NET any (flags:SF;msg:"NMAP SYN FIN SCAN")aler tcp $EXTERNAL_NET any -> $HOME_NET any (flags:A;ack:0;msg:"NMAP TCP PING&quo

26、t;)(2)運(yùn)行Snort，在局域網(wǎng)另一臺(tái)主機(jī)上運(yùn)行Nmap，對(duì)主機(jī)進(jìn)行端口掃描。首先使用Nmap的-sP選項(xiàng)進(jìn)行ping掃描，然后使用-sS選項(xiàng)的SYN掃描，最后使用-sA選項(xiàng)進(jìn)行ACK掃描。(3)掃描完成后，回到主機(jī)查看Alert文件。四、思考題 入侵檢測(cè)的作用是什么？入侵檢測(cè)系統(tǒng)與防火墻有什么區(qū)別？試分析兩者在防止端口掃描方法上的異同。1) 監(jiān)視、分析用戶及系統(tǒng)活動(dòng)2) 對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析，發(fā)行入侵行為規(guī)律3) 檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞4) 能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行響應(yīng)5) 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性6) 操作系統(tǒng)的審計(jì)跟蹤管理

27、，并識(shí)別用戶違反安全策略的行為總結(jié)：防火墻只是防御為主，通過(guò)防火墻的數(shù)據(jù)便不再進(jìn)行任何操作，IDS則進(jìn)行實(shí)時(shí)的檢測(cè)，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對(duì)防火墻弱點(diǎn)的修補(bǔ)；防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問(wèn)，IDS則沒(méi)有這些功能，只是監(jiān)視和分析用戶和系統(tǒng)活動(dòng)。1.IDS是繼防火墻之后的又一道防線，防火墻是防御，IDS是主動(dòng)檢測(cè)，兩者相結(jié)合有力的保證了內(nèi)部系統(tǒng)的安全；2.IDS實(shí)時(shí)檢測(cè)可以及時(shí)發(fā)現(xiàn)一些防火墻沒(méi)有發(fā)現(xiàn)的入侵行為，發(fā)行入侵行為的規(guī)律，這樣防火墻就可以將這些規(guī)律加入規(guī)則之中，提高防火墻的防護(hù)力度。思考題二： 入侵檢測(cè)的原理是什么？常用的入侵檢測(cè)技術(shù)有哪兩種？使用不同檢測(cè)方法的入侵檢測(cè)系統(tǒng)主要會(huì)在哪個(gè)模塊上有差別？根據(jù)入侵檢測(cè)模型，入侵檢測(cè)系統(tǒng)的原理可以分為以下兩種： 1）異常檢測(cè)原理 該原理根據(jù)系統(tǒng)或者用戶的非正常行為和使用計(jì)算機(jī)資源的非正常情況來(lái)檢測(cè)入侵行為。 異常檢測(cè)原理根據(jù)假設(shè)攻擊和正常的活動(dòng)的很大的差異來(lái)識(shí)別攻擊。首先收集一段正常操作的活動(dòng)記錄，然后建立代表用戶、主機(jī)或網(wǎng)絡(luò)連接的正常行為輪廓，再收集事件數(shù)據(jù)同時(shí)使用一些不同的方法來(lái)決定所檢測(cè)到的事件活動(dòng)是否正常。 2） 誤用檢測(cè)原理 誤用檢測(cè)，也稱(chēng)為基