《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH5 開源入侵檢測(cè)系統(tǒng)Snort3_第1頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH5 開源入侵檢測(cè)系統(tǒng)Snort3_第2頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH5 開源入侵檢測(cè)系統(tǒng)Snort3_第3頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH5 開源入侵檢測(cè)系統(tǒng)Snort3_第4頁(yè)
《入侵檢測(cè)與防御原理及實(shí)踐(微課版)》 課件 CH5 開源入侵檢測(cè)系統(tǒng)Snort3_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

開源入侵檢測(cè)系統(tǒng)Snort3目錄Snort3概述Snort3的安裝Snort3的配置Snort3功能組件的安裝及配置Snort3的檢查器Snort3概述1Snort3,也稱為Snort++,是Cisco(思科)團(tuán)隊(duì)歷經(jīng)7年的時(shí)間,用C++重新設(shè)計(jì)的下一代IPS。它采用了一種全新的設(shè)計(jì),具有更高的性能、更快的處理速度、更好的可擴(kuò)展性和可用性,是保護(hù)用戶網(wǎng)絡(luò)免受不必要流量、惡意軟件、垃圾郵件和網(wǎng)絡(luò)釣魚文檔等影響首選的開源IPS。Snort3主要的新功能和改進(jìn)包括:(1)新的進(jìn)程架構(gòu),使Snort3可以有效處理Snort2規(guī)避的現(xiàn)代架構(gòu)。(2)全新的C++設(shè)計(jì),使代碼庫(kù)更加模塊化,可擴(kuò)展性更好,更易于在網(wǎng)絡(luò)上進(jìn)行維護(hù)。(3)多線程、共享內(nèi)存和Hyperscan等的使用,使Snort3處理數(shù)據(jù)包所需的資源更少,內(nèi)存利用率更高,可以更輕松地?cái)U(kuò)展到網(wǎng)絡(luò),啟動(dòng)和處理速度也更快,性能顯著提高。(4)Luajit插件允許用戶編寫自己的插件,更容易根據(jù)自己的需要進(jìn)行定制,比如完成自定義規(guī)則選項(xiàng)、深入文件處理等任務(wù)。Snort3的新功能Snort3主要的新功能和改進(jìn)包括:(5)Snort3的規(guī)則可以采用LUA格式,規(guī)則語(yǔ)法也更簡(jiǎn)潔,方便用戶創(chuàng)建規(guī)則,減少規(guī)則冗余,同時(shí)也使規(guī)則更易于編寫和理解、運(yùn)行也更快。比如,規(guī)則頭中的協(xié)議、源目地址、端口和方向操作符都是可選的,若省略則表示匹配任意(相當(dāng)于關(guān)鍵詞any的作用)。(6)Snort3使用了超過(guò)200個(gè)插件的完整插件系統(tǒng)(Snort2僅在預(yù)處理和輸出模塊中使用插件),用戶可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行自定義設(shè)置。(7)重寫了TCP處理。(8)改進(jìn)了共享對(duì)象規(guī)則,包括為零日漏洞添加規(guī)則的能力。(9)使用了新的性能監(jiān)視器和新的時(shí)間和空間分析方法。Snort3的新功能最顯著的區(qū)別是進(jìn)程架構(gòu)Snort2與Snort3的區(qū)別特性Snort2Snort3多線程支持每個(gè)進(jìn)程一個(gè)每個(gè)進(jìn)程任意多個(gè)插件僅限于預(yù)處理和輸出具有超過(guò)200個(gè)插件的完整插件系統(tǒng)與端口無(wú)關(guān)的協(xié)議檢查不支持支持IPS加速器/支持Hyperscan不支持支持模塊化不支持支持可擴(kuò)展內(nèi)存分配不支持支持下一代TALOS規(guī)則-比如正則表達(dá)式/規(guī)則選項(xiàng)/粘性緩沖區(qū)不支持支持新的和改進(jìn)的HTTP檢查器-比如支持HTTP/2不支持支持TALOS提供的輕量級(jí)內(nèi)容更新不支持支持Snort3的安裝2Snort3目前只有源碼版(.tar.gz的源碼包),可以手動(dòng)編譯安裝在Kali、CentOS、FreeBSD、Ubuntu、OracleLinux等基于Linux的操作系統(tǒng)上。Snort3的安裝Snort3-.tar.gz:Snort3的源碼安裝包。libdaq-3.0.10.tar.gz:Snort3的數(shù)據(jù)采集器。snortrules-snapshot-31470.tar.gz:Snort3的訂閱規(guī)則集。pulledpork3-main.zip:用來(lái)下載和合并Snort規(guī)則集的腳本。snort-openappid.tar.gz:使Snort能識(shí)別、控制和測(cè)量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。gperftools-2.9.1.tar.gz:GooglePerfTools工具集,可以提高Snort性能、減少內(nèi)存使用,可在/gperftools/gperftools下載最新版。splunk-9.0.4-de405f4a7979-linux-2.6-amd64.deb:一個(gè)安全信息和事件管理(SIEM)系統(tǒng),它收集、存儲(chǔ)并允許輕松地進(jìn)行分析以及可視化數(shù)據(jù),包括Snort創(chuàng)建的警報(bào)。主要安裝包及其功能主要路徑/usr/localbinetcvarlogsnort.exesnort2lua.exesnortrulessnortgcc :編譯器,如果報(bào)錯(cuò),apt-getinstallg++flex :DAQ所需的解析器bison :DAQ所需的解析器zlib1g-dev :Snort所需的壓縮庫(kù)libpcap-dev :Snort所需的網(wǎng)絡(luò)流量捕獲頭文件庫(kù)libdnet-dev :不是必要的,為幾個(gè)網(wǎng)絡(luò)歷程提供了簡(jiǎn)化的可移植接口luajit :lua的頭文件庫(kù)headersbuild-essential :提供編譯軟件的構(gòu)建工具libpcre3-dev :Snort所需的pcre3的頭文件libdumbnet-dev :同libdnetopenssllibssl-dev :ssl的加密組件,提供SHA和MD5文件簽名部分依賴包的功能安裝編譯環(huán)境及依賴包安裝snort的數(shù)據(jù)采集庫(kù)DAQ安裝TCMalloc(Google開發(fā)的內(nèi)存管理工具)安裝snort3網(wǎng)卡的配置將下載snort3規(guī)則復(fù)制到規(guī)則目錄中修改snort3的配置文件新增測(cè)試規(guī)則文件啟動(dòng)snort3驗(yàn)證效果安裝和配置OpenAppID安裝和配置pulledpork3安裝和配置splunk安裝流程Snort3的配置3Snort3也有免費(fèi)版(Community)、注冊(cè)版(Registered)、收費(fèi)版(Subscription)三類規(guī)則??梢苑纸鉃橄螺d規(guī)則、修改配置文件和運(yùn)行Snort三個(gè)部分。使用注冊(cè)規(guī)則集用戶也可以根據(jù)需要?jiǎng)?chuàng)建自定義的規(guī)則文件,再在自定義的規(guī)則文件中創(chuàng)建用戶自定義的規(guī)則,在對(duì)Snort進(jìn)行配置讓自定義的規(guī)則生效。1.創(chuàng)建自定義的規(guī)則文件和規(guī)則sudovi/usr/local/etc/snort/rules/test.rules alerticmpanyany->anyany(msg:"ICMPTrafficDetected";sid:10000001;metadata:policysecurity-ipsalert;)2.使用自定義的規(guī)則文件和規(guī)則1)sudosnort-c/usr/local/etc/snort/snort.lua-R/usr/local/etc/snort/rules/test.rules-ieth0-Aalert_fast2)sudovi/usr/local/etc/snort/snort.luainclude$RULE_PATH/test.rulessudosnort-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast使用自定義規(guī)則啟用JSON輸出插件,可以將Snort3的告警信息寫入JSON格式的文本文件,以便導(dǎo)入到安全信息和事件管理系統(tǒng)SIEM中(如Splunk)。啟用JSON輸出插件Snort3功能組件的安裝及配置4處理前面介紹的Snort3的基本功能之外,Snort3還有很多可選的功能組件或第三方的軟件,可以增強(qiáng)Snort3的功能。OpenAppID:使Snort能夠識(shí)別、控制和測(cè)量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。PulledWork:管理Snort規(guī)則集的工具。Snort3自啟動(dòng)腳本:系統(tǒng)啟動(dòng)時(shí)Snort3能自動(dòng)運(yùn)行Splunk:SIEM(SecurityInformationandEventManagement)工具,可對(duì)信息進(jìn)行統(tǒng)一、實(shí)時(shí)的監(jiān)控、歷史分析,對(duì)外部的入侵和內(nèi)部的違規(guī)、誤操作行為進(jìn)行監(jiān)控、審計(jì)分析、調(diào)查取證、出具各種報(bào)表報(bào)告,以實(shí)現(xiàn)資源合規(guī)性管理的目標(biāo),同時(shí)提升企業(yè)的安全運(yùn)營(yíng)、威脅管理和應(yīng)急響應(yīng)的能力。Snort3功能組件的安裝及配置Snort3的檢查器Inspector5功能相當(dāng)于Snort2的預(yù)處理器,用于對(duì)解碼后的數(shù)據(jù)包進(jìn)行錯(cuò)誤檢測(cè)和預(yù)處理,方便檢測(cè)引擎的檢測(cè)。Snort3也內(nèi)置了一些常用的檢查器,如normalize、st

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論