第6章入侵检测系统

1、信息安全技术与应用第第6章章 入侵检测系统入侵检测系统信息安全技术与应用6.1 入侵检测原理与分类入侵检测原理与分类 入侵检测技术可以归结为安全审计数据的分析与处理；入侵检测技术可以归结为安全审计数据的分析与处理； 核心问题是获取描述行为特征的数据；核心问题是获取描述行为特征的数据； 利用特征数据精确地判断行为的性质；利用特征数据精确地判断行为的性质； 按照预定策略实施响应；按照预定策略实施响应； IDS至少包括数据采集、入侵检测分析引擎和响应处理至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。三部分功能模块。信息安全技术与应用当前系统或当前系统或网络行为网络行为入侵检测入侵检测分

2、析引擎分析引擎入侵入侵？数据采集数据采集否否是是证据记录证据记录响应处理响应处理模式知识库模式知识库安全策略安全策略入侵行为模式入侵行为模式正常行为模式正常行为模式IDS工作原理工作原理信息安全技术与应用IDS分类分类根据数据采集位置、分析引擎采用的分析方法、分析数据的根据数据采集位置、分析引擎采用的分析方法、分析数据的时间和响应处理的方式进行分类时间和响应处理的方式进行分类;根据数据采集的位置，分为基于主机（根据数据采集的位置，分为基于主机（host-based）、基于）、基于网络（网络（network-based）、基于应用（）、基于应用（application-based）和）和基于目标

3、（基于目标（target-based）等）等;依据分析引擎采用的分析方法，分为异常检测（依据分析引擎采用的分析方法，分为异常检测（anomaly detection）和误用检测（）和误用检测（misuse detection）;按照分析数据的时间不同，分为实时检测和离线检测按照分析数据的时间不同，分为实时检测和离线检测;信息安全技术与应用主机入侵检测系统主机入侵检测系统 当入侵检测监视的对象为主机审计数据源时，称为主当入侵检测监视的对象为主机审计数据源时，称为主机入侵检测系统机入侵检测系统HIDS; HIDS利用数据分析算法对操作系统审计记录、系统日利用数据分析算法对操作系统审计记录、系统日志

4、、应用程序日志或系统调用序列等主机数据源进行志、应用程序日志或系统调用序列等主机数据源进行分析分析; 归纳出主机系统活动的特征或模式，作为对正常和异归纳出主机系统活动的特征或模式，作为对正常和异常行为进行判断的基准，主要用于保护提供关键应用常行为进行判断的基准，主要用于保护提供关键应用服务的服务器。服务的服务器。 信息安全技术与应用HIDS 优点优点 检测精度高检测精度高 监控的对象明确与集中监控的对象明确与集中; ; 不受加密和交换设备影响不受加密和交换设备影响 只关注主机发生的事件，不关心网络事件，检测性能只关注主机发生的事件，不关心网络事件，检测性能不受数据加密、隧道和交换设备影响。不受

5、数据加密、隧道和交换设备影响。 不受网络流量影响不受网络流量影响 不采集网络分组，不会因为网络流量增加而丢失对系不采集网络分组，不会因为网络流量增加而丢失对系统行为的监视。统行为的监视。 信息安全技术与应用HIDS 缺点缺点 安装在需要保护的主机上，占用主机系统资源安装在需要保护的主机上，占用主机系统资源; 完全依赖操作系统固有的审计机制，必须与操作系统完全依赖操作系统固有的审计机制，必须与操作系统紧密集成，导致平台的可移植性差紧密集成，导致平台的可移植性差; 本身的健壮性受到主机操作系统安全性的限制本身的健壮性受到主机操作系统安全性的限制; 只能检测针对本机的攻击，不能检测基于网络协议的只能

6、检测针对本机的攻击，不能检测基于网络协议的攻击。攻击。信息安全技术与应用当入侵检测监视的对象为网络分组时，称为网络入侵检测系当入侵检测监视的对象为网络分组时，称为网络入侵检测系统统NIDS；局域网通常采用基于广播机制的以太网协议局域网通常采用基于广播机制的以太网协议,以太网协议能以太网协议能够使主机接收同一网段内的所有广播数据包。够使主机接收同一网段内的所有广播数据包。以太网络适配器有正常和混杂两种工作模式，正常模式只接以太网络适配器有正常和混杂两种工作模式，正常模式只接收本机地址和广播地址的分组，混杂模式则接收本网段内的收本机地址和广播地址的分组，混杂模式则接收本网段内的所有分组数据。所有分

7、组数据。NIDS利用了网络适配器的混杂工作模式来实时采集通过网利用了网络适配器的混杂工作模式来实时采集通过网络的所有分组，通过网络协议解析与模式匹配实现入侵行为络的所有分组，通过网络协议解析与模式匹配实现入侵行为检测。检测。 网络入侵检测系统网络入侵检测系统信息安全技术与应用NIDS的优点的优点 检测与响应速度快检测与响应速度快 在成功入侵之前发现攻击和可疑意图，目标遭受破坏之前即可执行在成功入侵之前发现攻击和可疑意图，目标遭受破坏之前即可执行快速响应中止攻击过程；快速响应中止攻击过程；入侵监视范围大入侵监视范围大 只在网络关键路径上安装网络传感器，可以监视整个网络通信；只在网络关键路径上安装

8、网络传感器，可以监视整个网络通信；入侵取证可靠入侵取证可靠 通过捕获分组收集入侵证据，攻击者无法转移证据；通过捕获分组收集入侵证据，攻击者无法转移证据；能够检测协议漏洞攻击能够检测协议漏洞攻击 诸如同步洪流（诸如同步洪流（SYN flood）、）、Smurf攻击和泪滴攻击（攻击和泪滴攻击（teardrop）等只有通过查看分组首部或有效负载才能识别。等只有通过查看分组首部或有效负载才能识别。信息安全技术与应用NIDS的缺点的缺点 在交换以太网环境中监测范围受到限制；在交换以太网环境中监测范围受到限制； 在高速网络流量环境下检测精度下降；在高速网络流量环境下检测精度下降； 不能检测加密数据、隧道数

9、据和加密数据攻击；不能检测加密数据、隧道数据和加密数据攻击； 网络传感器向控制台回传数据量大。网络传感器向控制台回传数据量大。 信息安全技术与应用异常检测异常检测 异常检测根据用户行为或资源使用的正常模式判定当异常检测根据用户行为或资源使用的正常模式判定当前活动是否偏离了正常或期望的活动规律前活动是否偏离了正常或期望的活动规律; 如果发现用户或系统状态偏离了正常行为模式，表示如果发现用户或系统状态偏离了正常行为模式，表示有攻击或企图攻击行为发生；有攻击或企图攻击行为发生； 任何不符合历史活动规律的行为都被认为是入侵行为，任何不符合历史活动规律的行为都被认为是入侵行为，能够发现未知的攻击模式；能

10、够发现未知的攻击模式； 缺点是误报率较高。缺点是误报率较高。信息安全技术与应用 误用检测依据特征库进行判断；误用检测依据特征库进行判断； 具有很高的检出率和很低的误报率；具有很高的检出率和很低的误报率； 检测全部入侵行为的能力取决于特征库的更新；检测全部入侵行为的能力取决于特征库的更新； 主要缺陷是只能检测已知攻击；主要缺陷是只能检测已知攻击； 新攻击的特征模式添加到误用模式库中；新攻击的特征模式添加到误用模式库中； 才能使系统具备检测新攻击手段的能力。才能使系统具备检测新攻击手段的能力。误用检测误用检测信息安全技术与应用实时检测实时检测 实时检测是指实时检测是指IDS能够实时分析审计数据；能

11、够实时分析审计数据； 在入侵行为造成危害之前及时发现和拦截入侵事件；在入侵行为造成危害之前及时发现和拦截入侵事件； 入侵检测速度的快慢取决于数据采集、数据分析算法、入侵检测速度的快慢取决于数据采集、数据分析算法、攻击特征提取和模式比较等多个因素，攻击特征提取和模式比较等多个因素， 实时检测主要依赖于攻击特征提取的难易程度。实时检测主要依赖于攻击特征提取的难易程度。 信息安全技术与应用 先将采集的审计数据暂时保存起来，采用批处理分析先将采集的审计数据暂时保存起来，采用批处理分析方式定时发给入侵检测分析引擎；方式定时发给入侵检测分析引擎； 离线检测不能及时防范和响应攻击事件；离线检测不能及时防范和

12、响应攻击事件； 采用离线检测可以降低系统负担；采用离线检测可以降低系统负担； 在在捕获攻击特征需要较长时间或高速网络环境下，可捕获攻击特征需要较长时间或高速网络环境下，可以获得高的以获得高的检测精度。检测精度。离线检测离线检测信息安全技术与应用检测率和误报率检测率和误报率检测率和误报率之间的关系误报率误报率100%100%检测率检测率100%100%检测阈值检测阈值信息安全技术与应用0.10.2 0.5 125102040125102040ROC1ROC2ROC3DET

13、1DET2DET3三个不同系统的ROC曲线三个不同系统的DET曲线ROC曲线和曲线和DET曲线曲线信息安全技术与应用 系统资源占用率系统资源占用率HIDS的开销主要消耗在审计记录格式化和入侵分析上，精的开销主要消耗在审计记录格式化和入侵分析上，精简审计记录和提高入侵分析算法是降低简审计记录和提高入侵分析算法是降低HIDS资源占用率的资源占用率的关键；关键；NIDS的开销主要消耗在网络分组协议解析与特征匹配上，特的开销主要消耗在网络分组协议解析与特征匹配上，特别在高速网络环境下，系统资源占用率将显著增大；别在高速网络环境下，系统资源占用率将显著增大； 系统资源占用率与系统资源占用率与IDS的检测

14、率和误报率常常是相互矛盾的；的检测率和误报率常常是相互矛盾的；降低系统资源占用率需要用检测率和误报率作为代价。降低系统资源占用率需要用检测率和误报率作为代价。信息安全技术与应用 系统扩展性系统扩展性 时间上的可扩展性时间上的可扩展性 将多个独立事件在时间上关联起来，才能识别出攻击行将多个独立事件在时间上关联起来，才能识别出攻击行为；为； 空间上的可扩展性空间上的可扩展性 如果监测的规模扩大后，如果监测的规模扩大后，IDS仍然能够准确地检测各种仍然能够准确地检测各种攻击行为；攻击行为； 则表明具有良好的空间可扩展性。则表明具有良好的空间可扩展性。信息安全技术与应用最大数据处理能力最大数据处理能力

15、 NIDS最大数据处理能力包括最大网络流量、最大采集最大数据处理能力包括最大网络流量、最大采集分组数、最大网络连接数和最大事件数等；分组数、最大网络连接数和最大事件数等； 最大网络流量是指最大网络流量是指NIDS的网络传感器单位时间内能够的网络传感器单位时间内能够处理的最大数据流量，一般用每秒兆位（处理的最大数据流量，一般用每秒兆位（Mbps）表示）表示最大网络流量；最大网络流量； 最大采集分组数是指最大采集分组数是指NIDS的网络传感器单位时间内能的网络传感器单位时间内能够采集的最大网络分组数，一般用每秒分组数够采集的最大网络分组数，一般用每秒分组数（pps）表示最大采集分组数。表示最大采集

16、分组数。信息安全技术与应用 最大网络连接数是指最大网络连接数是指NIDS单位时间内能够监控的最大单位时间内能够监控的最大网络连接数，反映了网络连接数，反映了IDS在应用层检测入侵的能力；在应用层检测入侵的能力； 最大事件数是指最大事件数是指NIDS单位时间内能够处理的最大报警单位时间内能够处理的最大报警事件数，反映了处理攻击事件和事件日志记录的能力；事件数，反映了处理攻击事件和事件日志记录的能力；最大数据处理能力最大数据处理能力( (续续) )信息安全技术与应用小规模小规模HIDS典型部署典型部署 引擎C 引擎B 引擎A 引擎D中心控制台信息安全技术与应用大规模大规模HIDS部署部署 引擎C引

17、擎B引擎A引擎D引擎F引擎E引擎G引擎H子控制台中心控制台信息安全技术与应用集线器共享网络部署集线器共享网络部署网络传感器服务器工作站集线器中心控制台信息安全技术与应用交换网络转换部署交换网络转换部署 工作站交换机服务器网络传感器中心控制台集线器信息安全技术与应用交换网络镜像端口部署交换网络镜像端口部署 工作站交换机服务器网络传感器中心控制台镜像端口信息安全技术与应用交换网络交换网络TAP部署部署 交换机网络传感器中心控制台网络传感器网络TAP服务器信息安全技术与应用网络传感器中心控制台服务器工作站DNS服务WWW服务E-mail服务二级交换机主干交换机DMZ交换机防火墙路由器网络传感器防火墙

18、和非军事区部署防火墙和非军事区部署信息安全技术与应用6.2 入侵检测审计数据源入侵检测审计数据源 IDS是典型的审计数据驱动分析系统是典型的审计数据驱动分析系统; 入侵检测的基础是利用审计数据区分合法与非入侵检测的基础是利用审计数据区分合法与非法行为法行为; 从大量审计数据中获取行为模式特征从大量审计数据中获取行为模式特征; 利用模式特征发现入侵证据。利用模式特征发现入侵证据。信息安全技术与应用操作系统审计记录特点操作系统审计记录特点数据源可靠性高数据源可靠性高; ;审计事件划分粒度小审计事件划分粒度小; ;审计记录具有连续性与完备性审计记录具有连续性与完备性; ;不同操作系统审计记录数据格式

19、不兼容不同操作系统审计记录数据格式不兼容; ;数据格式不适应机器学习数据格式不适应机器学习; ; 审计记录数量庞大。审计记录数量庞大。 信息安全技术与应用Sun Solaris操作系统审计记录简介操作系统审计记录简介 Sun Solaris操作系统审计机制由基础安全模操作系统审计机制由基础安全模块块BSM（basic security module）审计子系统提）审计子系统提供，可对内核系统调用事件、供，可对内核系统调用事件、Solaris应用程序事件应用程序事件和第三方用户程序事件进行安全审计和第三方用户程序事件进行安全审计BSM采用分层采用分层结构化方式组织审计记录文件，审计记录文件也称结

20、构化方式组织审计记录文件，审计记录文件也称为审计跟踪（为审计跟踪（audit trail）。）。信息安全技术与应用Solaris BSM审计记录结构审计记录结构审计记录文件审计记录文件审计文件审计文件 审计文件审计文件审计文件审计文件审计记录审计记录前审计文件前审计文件审计记录审计记录后审计文件后审计文件审计标记审计标记审计标记审计标记审计标记审计标记事件属性事件属性审计文件审计文件审计记录审计记录信息安全技术与应用Windows 操作系统审计结构操作系统审计结构事件日志事件日志用户模式用户模式核心模式核心模式审计策略审计策略审计记录审计记录安全账户库安全账户库事件记录器事件记录器ELEL 安

21、全参考安全参考 监视器监视器 SRMSRM对象访问对象访问进程跟踪进程跟踪特权使用特权使用文件系统文件系统审计日志审计日志审计策略库审计策略库 策略更改策略更改登录事件登录事件账户登录账户登录审计线程审计线程本地安全认证本地安全认证LSALSA安全账户安全账户管理管理SAMSAM信息安全技术与应用Windows 操作系统操作系统事件日志事件日志Windows事件日志事件日志 安全事件日志安全事件日志 操作系统事件日志操作系统事件日志 应用事件日志应用事件日志记录用户登录、系统资源使用等与系记录用户登录、系统资源使用等与系统安全相关的事件，对用户不开放统安全相关的事件，对用户不开放记录操作系统组

22、件的事件，对所有用记录操作系统组件的事件，对所有用 户开放户开放 记录应用程序产生的事件，对所有用记录应用程序产生的事件，对所有用户开放户开放信息安全技术与应用网络审计数据网络审计数据 主机审计数据源：操作系统审计记录、系统主机审计数据源：操作系统审计记录、系统日志、应用日志和系统调用跟踪日志、应用日志和系统调用跟踪; ; 网络审计数据源指通过网络监听获取的数据网络审计数据源指通过网络监听获取的数据; 网络数据是网络入侵检测系统使用的主要审计网络数据是网络入侵检测系统使用的主要审计数据源。数据源。信息安全技术与应用网络数据协议解析过程网络数据协议解析过程 网络连接记录网络连接记录网络检测模型网

23、络检测模型工工作作站站工作工作站站集线器集线器服务服务器器服务服务器器局域局域网网通用网通用网关关数据包输出格式数据包输出格式机器学习机器学习10:35:41.504694 1.0.256.256.7000 2.0.256.256.7001: udp 14810:35:41.517993 2.0.256.256.1362 5.0.256.256.25: . ack 1 win 409610:35:41.583895 2.0.256.256.25 13.0.256.256.2845: . ack 46 win 409610:35:41 1.0.256.256 2.0.256.256 udp 14

24、8 SF10:35:41 2.0.256.256 5.0.256.256 smtp 88 SFInternet信息安全技术与应用网络入侵检测系统网络入侵检测系统 Snort Snort是基于误用检测的网络入侵检测系统开放源码软件；是基于误用检测的网络入侵检测系统开放源码软件； 采用规则匹配检测网络分组是否违反了事先配置的安全采用规则匹配检测网络分组是否违反了事先配置的安全策略；策略； 安装在一台主机上可以监测整个共享网段；安装在一台主机上可以监测整个共享网段； 发现入侵和探测行为，具有将报警信息发送到系统日志、发现入侵和探测行为，具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警

25、方式；报警文件或控制台屏幕等多种实时报警方式； Snort不仅能够检测各种网络攻击，还具有网络分组采集、不仅能够检测各种网络攻击，还具有网络分组采集、分析和日志记录功能。分析和日志记录功能。信息安全技术与应用Snort 系统组成系统组成 Snort主要由分组协议分析器、入侵检测引擎、日志记录主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成；和报警模块组成； 协议分析器的任务是对协议栈上的分组进行协议解析协议分析器的任务是对协议栈上的分组进行协议解析; 入侵检测引擎根据规则文件匹配分组特征入侵检测引擎根据规则文件匹配分组特征;日志记录将解析后的分组以文本或日志记录将解析后的分组以文本或

26、Tcpdump二进制格式二进制格式记录到日志文件记录到日志文件;文本格式便于分组分析文本格式便于分组分析;二进制格式提高记录速度。二进制格式提高记录速度。 信息安全技术与应用报警信息与报警文件报警信息与报警文件 报警信息可以发送到系统日志；报警信息可以发送到系统日志； 也可以采用文本或也可以采用文本或Tcpdump二进制格式发送到报警文二进制格式发送到报警文件；件； 也容许选择关闭报警操作；也容许选择关闭报警操作； 记录到报警文件的报警信息有完全和快速两种方式；记录到报警文件的报警信息有完全和快速两种方式； 完全报警记录分组首部所有字段信息和报警信息；完全报警记录分组首部所有字段信息和报警信息

27、； 而快速报警只记录分组首部部分字段信息。而快速报警只记录分组首部部分字段信息。信息安全技术与应用Win32 snort-2_0_0.exe安装安装 双击双击snort-2_0_0.exe在安装目录下将自动生成在安装目录下将自动生成snort文件夹；文件夹； 其中包含其中包含bin、etc、log、rules、doc、contrib文件夹和文件夹和snort-2_0_0.exe卸载程序卸载程序Uninstall.exe； bin文件夹保存文件夹保存snort.exe可执行程序；可执行程序； snort配置文件配置文件snort.conf位于位于etc； 日志文件和报警文件日志文件和报警文件位于

28、位于log； 各类规则检测文件位于各类规则检测文件位于rules；snort使用手册位于使用手册位于doc； contrib为为snort支持者提供的各种辅助应用文件。支持者提供的各种辅助应用文件。 信息安全技术与应用 Snort 配置配置 在使用在使用snort之前，需要根据保护网络环境和安全策略之前，需要根据保护网络环境和安全策略对对snort进行配置；进行配置； 主要包括网络变量、预处理器、输出插件及规则集配置，主要包括网络变量、预处理器、输出插件及规则集配置，位于位于etc的的snort配置文件配置文件snort.conf可用任意文本编辑器打可用任意文本编辑器打开；开； 用文本编辑器打

29、开用文本编辑器打开Snortetcsnort.conf文件；文件； 找到找到“var HOME_NET any”，将，将any更换成自己机器更换成自己机器所在子网的所在子网的CIDR地址地址.信息安全技术与应用Snort 配置配置 例如，假设本机例如，假设本机IP地址为地址为23； 将将“var HOME_NET any” 更换成更换成“var HOME_NET /24”或特定的本机地址或特定的本机地址“var HOME_NET 23/32”。 找到规则找到规则路径变量路径变量“var RULE_PATH .rules”，将其修

30、改为，将其修改为var RULE_PATH C:snortrules； 找到找到“include classification.config”，将，将classification.config文文件的路径修改为件的路径修改为 include C:snortetcclassification.config； 找到找到“include reference.config”，将，将reference.config文件的路文件的路径修改为径修改为 include C:snortetcreference.config。 信息安全技术与应用Snort 命令格式与帮助命令格式与帮助 Snort命令格式：命令格

31、式： C:snortbinsnort -Options Snort命令帮助：命令帮助： C: snortbinsnort -? 特别注意：特别注意： Snort在在Windows操作系统下要求给出命令执行的操作系统下要求给出命令执行的完整路径。完整路径。 信息安全技术与应用Snort 主要命令参数主要命令参数选项选项 （1）-A alert： 设置设置snort快速（快速（fast）、完全（）、完全（full）、控制台）、控制台（console）或无（）或无（none）报警模式；）报警模式； alert取值取值full、fast、console或或none其中之一；其中之一； -A fast：

32、快速报警模式仅记录时间戳、报警信息：快速报警模式仅记录时间戳、报警信息、源、源IP、目标、目标IP、源端口和目标端口；、源端口和目标端口； -A full：完全报警是：完全报警是snort默认的报警模式，记录分组默认的报警模式，记录分组或报文首部所有字段信息和报警信息；或报文首部所有字段信息和报警信息；信息安全技术与应用Snort 主要命令参数主要命令参数选项选项 -A console：控制台报警模式将分组或报文首部和报：控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕；警信息发送到控制台屏幕； -A none：关闭报警。：关闭报警。 （2）-c snort.conf：使用：使用sno

33、rt配置文件配置文件snort.conf；（3）-b：采用采用Tcpdump二进制格式将分组记录到日志二进制格式将分组记录到日志文件文件；（4）-d：显示应用数据；：显示应用数据； （5）-e：显示数据链路层的首部信息；显示数据链路层的首部信息；信息安全技术与应用Snort 主要命令参数主要命令参数选项选项 （7）-l ：将日志记录到指定的目录：将日志记录到指定的目录directory，默认，默认日志目录是日志目录是Snortlog；（8）-i ：在指定的网络接口在指定的网络接口上监听上监听；（9）-r ：从从Tcpdump文件文件中读取分组处理中读取分组处理，而而不监测网络分组不监测网络分组

34、；（10）-s：将报警信息发送到系统日志；将报警信息发送到系统日志；（11）-v：详细输出详细输出（Be verbose）；）； （12）-V：显示显示Snort版本号版本号；（13）-W：列出本机可用的网络接口列出本机可用的网络接口（仅在仅在Windows下下有效有效）；）； 信息安全技术与应用Snort 检测规则检测规则 Snort检测入侵的能力完全取决于规则文件是否包含了完检测入侵的能力完全取决于规则文件是否包含了完整的入侵标识整的入侵标识; 规则文件为文本文件，可以使用任意文本编辑器对规则规则文件为文本文件，可以使用任意文本编辑器对规则文件进行修改文件进行修改; Snort检测规则由规

35、则头和规则选项组成；检测规则由规则头和规则选项组成； 规则头定义了规则头定义了IP地址、端口、协议类型和满足规则条件地址、端口、协议类型和满足规则条件时执行的操作；时执行的操作； 规则选项定义了入侵标志和发送报警的方式。规则选项定义了入侵标志和发送报警的方式。信息安全技术与应用Snort检测规则检测规则的一般格式的一般格式alert tcp any any - /24 80 (content: /cgi-bin/phf; msg: PHF probe!)操作操作 协议协议源源IP地址地址源端口源端口数据数据流向流向目的目的 IP地址地址目的目的端口端口子网子网掩码掩码选项

36、选项关键字关键字选项选项关键字关键字选项变量选项变量选项变量选项变量规则头规则头规则选项规则选项信息安全技术与应用入侵检测系统实验内容入侵检测系统实验内容 本实验除安装本实验除安装snort-2_0_0.exe之外，还要求安装之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描网络探测和端口扫描软件；软件；Nmap用于扫描实验合作伙伴的主机，用于扫描实验合作伙伴的主机，Snort用于检测实验合作用于检测实验合作伙伴对本机的攻击；伙伴对本机的攻击； 用写字板用写字板打开打开Snortetcsnort.conf文件对文件对Snort进行配置；进行配置； 将规则将规则路径变量路径

37、变量RULE_PATH定义为定义为C:snortrules； 将 分 类 配 置 文 件 路 径 修 改 为将 分 类 配 置 文 件 路 径 修 改 为 i n c l u d e C:snortetcclassification.config； 将 引 用 配 置 文 件 路 径 修 改 为将 引 用 配 置 文 件 路 径 修 改 为 i n c l u d e C:snortetcreference.config。其余其余使用使用Snort配置文件中配置文件中的默认的默认设置设置。 信息安全技术与应用Snort 报警与日志功能测试报警与日志功能测试 打开打开C:Snortruleslo

38、cal.rules规则文件，添加报警与日志规则文件，添加报警与日志功能测试规则：功能测试规则：alert tcp any any - any any (msg:TCP traffic;)；执行命令：执行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog i 2 如果在如果在C:Snortlog目录中生成目录中生成alert.ids报警文件和报警文件和IP地址命地址命名的日志文件，表明名的日志文件，表明Snort配置正确；配置正确；测试测试Snort报警与日志功能以后，在该规则前加报警与日志功能以后，在该规则前加#号变为注释！号变为注释！否则

39、，随后的实验不能获得正确结果。否则，随后的实验不能获得正确结果。 信息安全技术与应用分组协议分析分组协议分析 （1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：首部信息输出到屏幕上： C: snortbinsnort v i 2；（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏首部信息和应用数据输出到屏幕上：幕上：C: snortbinsnort -vd i 2或或C: snortbinsnort -v d i 2；（命令；（命令选项选项可以任意结合，也可以分开）可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的）将捕获的首部信息记录到指定的Snortlog目录，目录，在在log目录下将自动生成以主机目录下将自动生成以主机IP地址命名的目录；地址命名的目录； C: snortbinsnort -v -l snortlog i 2； 信息安