信息安全05-入侵检测技术

1、第5章 入侵检测技术内容提要：入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结2022/10/131入侵检测测技术研研究最早早可追溯溯到1980年JamesP.Aderson所写的一一份技术术报告，他首先先提出了了入侵检检测的概概念。1987年Dorothy Denning提出了入入侵检测测系统（IDS，IntrusionDetection System）的抽象象模型（如图5-1所示），首次提提出了入入侵检测测可作为为一种计计算机系系统安全全防御措措施的概概念与传统的的加密和和访问控控制技术术相比，IDS是全新的的计算机机安全措措施。返回本章章首页入侵检测

2、测发展历历史2020-03-022返回本章章首页入侵检测测发展历历史2020-03-0231988年TeresaLunt等人进一一步改进进了Denning提出的入入侵检测测模型，并创建建了IDES（IntrusionDetection ExpertSystem）该系统用用于检测测单一主主机的入入侵尝试试，提出出了与系系统平台台无关的的实时检检测思想想1995年开发的的NIDES（Next-GenerationIntrusion DetectionExpertSystem）作为IDES完善后的的版本可可以检测测出多个个主机上上的入侵侵。返回本章章首页入侵检测测发展历历史2020-03-02419

3、90年，Heberlein等人提出出了一个个具有里里程碑意意义的新新型概念念：基于于网络的的入侵检检测网络安全全监视器器NSM（Network Security Monitor）。1991年,NADIR（Network AnomalyDetection andIntrusionReporter）与DIDS（Distribute IntrusionDetectionSystem）提出了了通过收收集和合合并处理理来自多多个主机机的审计计信息可可以检测测出一系系列针对对主机的的协同攻攻击。返回本章章首页入侵检测测发展历历史2020-03-0251994年，Mark Crosbie和Gene Spaf

4、ford建议使用用自治代代理（autonomous agents）以提高高IDS的可伸缩缩性、可可维护性性、效率率和容错错性，该该理念非非常符合合计算机机科学其其他领域域（如软软件代理理，softwareagent）正在进进行的相相关研究究。另一个致致力于解解决当代代绝大多多数入侵侵检测系系统伸缩缩性不足足的方法法于1996年提出，这就是是GrIDS（Graph-basedIntrusionDetection System）的设计计和实现现，该系系统可以以方便地地检测大大规模自自动或协协同方式式的网络络攻击。返回本章章首页入侵检测测发展历历史2020-03-026入侵检测测技术研研究的主主要创

5、新新有：Forrest等将免疫疫学原理理运用于于分布式式入侵检检测领域域；1998年Ross Anderson和AbidaKhattak将信息检检索技术术引进入入侵检测测；以及采用用状态转转换分析析、数据据挖掘和和遗传算算法等进进行误用用和异常常检测。返回本章章首页入侵检测测发展历历史2020-03-0275.1.1入侵检测测原理入侵检测测入侵检测测是用于检测任何损害或企企图损害害系统的保密性、完整性或或可用性性的一种网络安全全技术。它通过监监视受保保护系统统的状态态和活动动，采用误用用检测（MisuseDetection）或异常检测测（Anomaly Detection）的方式式，发现现非授

6、权的的或恶意意的系统及网网络行为，为为防范入侵侵行为提提供有效效的手段段。返回本章章首页2020-03-028图5-2入侵检测测原理框框图返回本章章首页2020-03-029入侵检测测系统执行入侵检测测任务的的硬件或或软件产产品入侵检测测提供了了用于发发现入侵侵攻击与与合法用用户滥用用特权的的一种方方法。其应用前前提是入入侵行为为和合法法行为是是可区分分的，也也即可以以通过提提取行为为的模式式特征来来判断该该行为的的性质。一般地，入侵检检测系统统需要解解决两个个问题：如何充分分并可靠靠地提取取描述行行为特征征的数据据；如何根据据特征数数据，高高效并准准确地判判定行为为的性质质。返回本章章首页2

7、020-03-02105.1.2系统结构构由于网络络环境和和系统安安全策略略的差异异，入侵侵检测系系统在具具体实现现上也有有所不同同。从系统构构成上看看，入侵侵检测系系统应包包括事件提取取、入侵分析析、入侵响应应和远程管理理四大部分分，另外外还可能能结合安全知识识库、数据存储储等功能模模块，提提供更为为完善的的安全检测测及数据据分析功功能（如图5-3所示）。返回本章章首页2020-03-0211图5-3 入侵侵检测系系统结构构返回本章章首页2020-03-0212入侵检测测的思想想源于传传统的系系统审计计，但拓拓宽了传传统审计计的概念念，它以以近乎不不间断的的方式进进行安全全检测，从而可可形成

8、一一个连续续的检测测过程。这通常是是通过执执行下列列任务来来实现的的：监视、分分析用户户及系统统活动；系统构造造和弱点点的审计计；识别分析析知名攻攻击的行行为特征征并告警警；异常行为为特征的的统计分分析；评估重要要系统和和数据文文件的完完整性；操作系统统的审计计跟踪管管理，并并识别用用户违反反安全策策略的行行为。返回本章章首页2020-03-02135.1.3系统分类类由于功能能和体系系结构的的复杂性性，入侵侵检测按按照不同同的标准准有多种种分类方方法。可分别从从数据源、检测理理论、检检测时效效三个方面面来描述述入侵检检测系统统的类型型。返回本章章首页2020-03-02145.1.3系统分类

9、类1基于数数据源的的分类通常可以以把入侵侵检测系系统分为为五类，即：基于主机机、基于网络络、混合入侵侵检测、基于网关关基于文件件完整性性检测返回本章章首页2020-03-02152基于检检测理论论的分类类从具体的的检测理理论上来来说，入入侵检测测又可分分为异常常检测和和误用检检测。异常检测测（Anomaly Detection）指根据据使用者者的行为为或资源源使用状状况的正正常程度度来判断断是否入入侵，而而不依赖赖于具体体行为是是否出现现来检测测。误用检测测（MisuseDetection）指运用用已知攻攻击方法法，根据据已定义义好的入入侵模式式，通过过判断这这些入侵侵模式是是否出现现来检测测

10、。返回本章章首页2020-03-02163基于检检测时效效的分类类IDS在处理数数据的时时候可以以采用实时在线线检测方方式，也可以以采用批批处理方方式，定定时对处处理原始始数据进进行离线检测测，这两种种方法各各有特点点（如图图5-5所示）。离线检测测方式将将一段时时间内的的数据存存储起来来，然后后定时发发给数据据处理单单元进行行分析，如果在在这段时时间内有有攻击发发生就报报警。在线检测测方式的的实时处处理是大大多数IDS所采用的的办法，由于计计算机硬硬件速度度的提高高，使得得对攻击击的实时时检测和和响应成成为可能能。返回本章章首页2020-03-0217返回本章章首页2020-03-02185

11、.2入侵检测测的技术术实现对于入侵侵检测的的研究，从早期期的审计跟踪踪数据分分析，到实时入侵侵检测系系统，到目前前应用于于大型网网络的分布式检检测系统统，基本上上已发展展成为具具有一定定规模和和相应理理论的研研究领域域。入侵检测测的核心问题题在于如何何对安全全审计数数据进行行分析，以检测测其中是是否包含含入侵或或异常行行为的迹迹象。这里，我我们先从从误用检测测和异常检测测两个方面面介绍当当前关于于入侵检检测技术术的主流流技术实实现，然然后对其其它类型型的检测测技术作作简要介介绍。返回本章章首页2020-03-02195.2.1入侵检测测分析模模型分析是入入侵检测测的核心心功能，它既能能简单到到

12、像一个个已熟悉悉日志情情况的管管理员去去建立决决策表，也能复复杂得像像一个集集成了几几百万个个处理的的非参数数系统。入侵检测测的分析析处理过过程可分分为三个个阶段：构建分析析器，对对实际现现场数据据进行分分析，反反馈和提提炼过程程。其中，前前两个阶阶段都包包含三个个功能：数据处处理、数数据分类类（数据据可分为为入侵指指示、非非入侵指指示或不不确定）和后处处理。返回本章章首页2020-03-02205.2.2误用检测测（MisuseDetection）误用检测测是按照预定模式式搜寻事件件数据的的，最适适用于对对已知模式式的可靠靠检测。执行误用用检测，主要依赖于可靠的用用户活动动记录和和分析事事件

13、的方方法。1条件概概率预测测法条件概率率预测法法是基于统统计理论论来量化化全部外外部网络络事件序列中存在入侵侵事件的可能程度度。2020-03-02212产生式式/专家系统统用专家系统统对入侵进进行检测测，主要要是检测基于于特征的的入侵行行为。专家系统统的建立立依赖于于知识库的的完备性性，而知识识库的完完备性又又取决于审审计记录录的完备备性与实实时性。产生式/专家系统统是误用用检测早早期的方方案之一一，在MIDAS、IDES、NIDES、DIDS和CMDS中都使用用了这种种方法。返回本章章首页2020-03-02223状态转转换方法法状态转换换方法使使用系统状态态和状态转换换表达式式来描述和和

14、检测入入侵，采采用最优模式式匹配技技巧来结构化化误用检检测，增增强了检检测的速速度和灵灵活性。目前，主主要有三三种实现现方法：状态转换换分析、有色Petri-Net和语言/应用编程程接口（API）。返回本章章首页2020-03-0223返回本章章首页2020-03-02245KeystrokeMonitor和基于模模型的方方法KeystrokeMonitor是一种简简单的入入侵检测测方法，它通过过分析用户击键键序列的的模式来检测入入侵行为为，常用用于对主主机的入入侵检测测。该方法具具有明显显的缺点点，首先，批批处理或或Shell程序可以以不通过过击键而而直接调调用系统统攻击命命令序列列；其次，

15、操操作系统统通常不不提供统统一的击击键检测测接口，需通过过额外的的钩子函函数（Hook）来监测测击键。返回本章章首页2020-03-02255.2.3异常检测测（Anomaly Detection）异常检测测基于一一个假定定：用户的行行为是可可预测的的、遵循循一致性性模式的的，且随随着用户户事件的的增加异异常检测测会适应应用户行行为的变变化。用户行为为的特征征轮廓在在异常检检测中是是由度量（measure）集来描述，度量是是特定网网络行为为的定量量表示，通常与与某个检检测阀值值或某个个域相联联系。异常检测测可发现现未知的的攻击方方法，体体现了强强健的保保护机制制，但对于给定的度度量集能否完备备

16、到表示所有有的异常常行为？仍需要深深入研究究。返回本章章首页2020-03-02261Denning的原始模模型Dorothy Denning于1986年给出了了入侵检检测的IDES模型，她她认为在在一个系系统中可可以包括括四个统计计模型，每个模模型适合合于一个个特定类型型的系统统度量。（1）可操作作模型（2）平均和和标准偏偏差模型型（3）多变量量模型（4）Markov处理模型型返回本章章首页2020-03-02272量化分分析异常检测测最常用用的方法法就是将检验规规则和属属性以数数值形式式表示的的量化分分析，这种度度量方法法在Denning的可操作作模型中中有所涉涉及。量化分析析通过采采用从

17、简单的加加法到比比较复杂杂的密码码学计算算得到的结结果作为为误用检检测和异异常检测测统计模模型的基基础。常用量化化方法（1）阀值检检验（2）基于目目标的集集成检查查（3）量化分分析和数数据精简简返回本章章首页2020-03-02283统计度量量统计度量量方法是产品化化的入侵侵检测系系统中常常用的方方法，常常见于异异常检测测。运用统计计方法，有效地地解决了了四个问问题：（1）选取有有效的统统计数据据测量点点，生成成能够反反映主体体特征的的会话向向量；（2）根据主主体活动动产生的的审计记记录，不不断更新新当前主主体活动动的会话话向量；（3）采用统统计方法法分析数数据，判判断当前前活动是是否符合合主

18、体的的历史行行为特征征；（4）随着时时间推移移，学习习主体的的行为特特征，更更新历史史记录。返回本章章首页2020-03-02294非参数统统计度量量非参数统统计方法法通过使使用非数据区区分技术术，尤其是是群集分析析技术来分析参参数方法法无法考考虑的系系统度量量。群集分析析的基本本思想是是，根据据评估标标准（也也称为特特性）将将收集到的的大量历历史数据据（一个个样本集集）组织织成群，通过预预处理过过程，将将与具体事件件流（经常映映射为一一个具体体用户）相关的的特性转转化为向量表示，再再采用群集算法法将彼此比比较相近近的向量量成员组组织成一一个行为类这样使用用该分析析技术的的实验结结果将会会表明

19、用用何种方方式构成成的群可可以可靠靠地对用用户的行行为进行行分组并并识别。返回本章章首页2020-03-02305基于规则则的方法法上面讨论论的异常常检测主主要基于于统计方法法，异常检检测的另另一个变变种就是是基于规则则的方法。与统计方方法不同同的是基基于规则则的检测测使用规则集来表示和存存储使用用模式。（1）Wisdom&Sense方法（2）基于时时间的引引导机（TIM）返回本章章首页2020-03-02315.2.4其它检测测技术这些技术术不能简简单地归归类为误误用检测测或是异异常检测测，而是是提供了了一种有有别于传传统入侵侵检测视视角的技技术层次次，例如免疫疫系统、基因算算法、数数据挖掘

20、掘、基于于代理（Agent）的检测测等它们或者者提供了更更具普遍遍意义的的分析技技术，或者提出了新新的检测测系统架架构，因此无无论对于于误用检检测还是是异常检检测来说说，都可可以得到到很好的的应用。返回本章章首页2020-03-02321神经网网络（NeuralNetwork）作为人工工智能（AI）的一个个重要分分支，神神经网络络（NeuralNetwork）在入侵侵检测领领域得到到了很好好的应用用它使用自适应学学习技术术来提取异异常行为为的特征征，需要要对训练数据据集进行行学习以以得出正正常的行行为模式式。这种方法法要求保保证用于于学习正正常模式式的训练数据据的纯洁洁性，即不包包含任何何入侵

21、或或异常的的用户行行为。返回本章章首页2020-03-02332免疫学方方法NewMexico大学的StephanieForrest提出了将将生物免免疫机制制引入计计算机系系统的安安全保护护框架中中。免疫系统统中最基基本也是是最重要要的能力力是识别“自我/非自我”（self/nonself），换句句话讲，它能够够识别哪哪些组织织是属于于正常机机体的，不属于于正常的的就认为为是异常常，这个个概念和和入侵检检测中异异常检测测的概念念非常相相似。返回本章章首页2020-03-02343数据挖掘掘方法Columbia大学的WenkeLee在其博士士论文中中，提出出了将数数据挖掘掘（Data Minin

22、g,DM）技术应应用到入入侵检测测中，通通过对网网络数据据和主机机系统调调用数据据的分析析挖掘，发现误误用检测测规则或或异常检检测模型型。具体的工工作包括括利用数据挖掘掘中的关关联算法法和序列列挖掘算算法提取取用户的的行为模模式，利用分类算法法对用户户行为和和特权程程序的系系统调用用进行分分类预测测。实验结果果表明，这种方方法在入入侵检测测领域有有很好的的应用前前景。返回本章章首页2020-03-02354基因算法法基因算法法是进化化算法（evolutionaryalgorithms）的一种种，引入入了达尔尔文在进进化论中中提出的的自然选选择的概概念（优优胜劣汰汰、适者者生存）对系统统进行优优

23、化。该该算法对对于处理理多维系系统的优优化是非非常有效效的。在基因算算法的研研究人员员看来，入侵检检测的过过程可以以抽象为为：为审计事事件记录录定义一一种向量量表示形形式，这这种向量量或者对对应于攻攻击行为为，或者者代表正正常行为为。返回本章章首页2020-03-02365基于代理理的检测测近年来，一种基基于Agent的检测技技术（Agent-BasedDetection）逐渐引引起研究究者的重重视。所谓Agent，实际上上可以看看作是在在执行某项项特定监监视任务务的软件件实体。基于Agent的入侵检检测系统统的灵活活性保证证它可以以为保障障系统的的安全提提供混合合式的架架构，综综合运用用误用

24、检检测和异异常检测测，从而而弥补两两者各自自的缺陷陷。返回本章章首页2020-03-02375.3分布式入入侵检测测分布式入入侵检测测（DistributedIntrusionDetection）是目前前入侵检检测乃至至整个网网络安全全领域的的热点之之一。到目前为为止，还没有有严格意义义上的分分布式入入侵检测测的商业业化产品品，但研研究人员员已经提提出并完完成了多多个原型型系统。通常采用用的方法法中，一一种是对现有的的IDS进行规模模上的扩扩展，另一种种则通过过IDS之间的信信息共享享来实现。具体的处处理方法法上也分分为两种种：分布式信信息收集集、集中中式处理理；分布式信信息收集集、分布布式处

25、理理。返回本章章首页2020-03-02385.3.1分布式入入侵检测测的优势势分布式入入侵检测测由于采采用了非非集中的的系统结结构和处处理方式式，相对对于传统统的单机机IDS具有一些些明显的的优势：（1）检测大大范围的的攻击行行为（2）提高检检测的准准确度（3）提高检检测效率率（4）协调响响应措施施返回本章章首页2020-03-02395.3.2分布式入入侵检测测的技术术难点与传统的的单机IDS相比较，分布式式入侵检检测系统统具有明明显的优优势。然然而，在实现分分布检测测组件的的信息共共享和协协作上，却存在在着一些些技术难难点。StanfordResearchInstitute（SRI）在对

26、EMERALD系统的研研究中，列举了了分布式式入侵检检测必须须关注的的关键问问题：事件产生生及存储储、状态空间间管理规则复杂杂度知识库管管理推理技术术。返回本章章首页2020-03-02405.3.3分布式入入侵检测测现状尽管分布布式入侵侵检测存存在技术术和其它它层面的的难点，但由于于其相对对于传统统的单机机IDS所具有的的优势，目前已已经成为为这一领领域的研研究热点点。1Snortnet它通过对对传统的的单机IDS进行规模模上的扩扩展，使系统统具备分分布式检检测的能能力，是是基于模式式匹配的分布式式入侵检检测系统统的一个个具体实实现。主要包括括三个组组件：网络感应应器、代代理守护护程序和监视

27、控制制台。返回本章章首页2020-03-02412Agent-Based基于Agent的IDS由于其良良好的灵灵活性和和扩展性性，是分分布式入入侵检测测的一个个重要研研究方向向。国外一些些研究机机构在这这方面已已经做了了大量工工作，其其中Purdue大学的入入侵检测测自治代代理（AAFID）和SRI的EMERALD最具代表表性。AAFID的体系结结构如图图5-10所示，其其特点是是形成了了一个基于代理理的分层层顺序控控制和报报告结构构。返回本章章首页2020-03-0242返回本章章首页2020-03-02433DIDSDIDS(Distributed IntrusionDetectionSy

28、stem)是由UCDavis的SecurityLab完成的，它集成成了两种种已有的的入侵检检测系统统，Haystack和NSM。Haystack由TracorAppliedSciencesandHaystack实验室针针对多用用户主机机的检测测任务而而开发，数据源源来自主主机的系系统日志志。NSM则是由UCDavis开发的网网络安全全监视器器，通过过对数据据包、连连接记录录、应用用层会话话的分析析，结合合入侵特特征库和和正常的的网络流流或会话话记录的的模式库库，判断断当前的的网络行行为是否否包含入入侵或异异常。返回本章章首页2020-03-02444GrIDSGrIDS（Graph-based

29、IntrusionDetection System）同样由由UCDavis提出并实实现该系统实实现了一一种在大大规模网网络中使使用图形形化表示示的方法法来描述述网络行行为的途途径，其其设计目目标主要要针对大大范围的的网络攻攻击，例例如扫描描、协同同攻击、网络蠕蠕虫等。GrIDS的缺陷在在于只是是给出了了网络连连接的图图形化表表示，具具体的入入侵判断断仍然需需要人工工完成，而且系系统的有有效性和和效率都都有待验验证和提提高。返回本章章首页2020-03-02455IntrusionStrategyBoeing公司的Ming-YuhHuang提出从入侵者的的目的（IntrusionIntentio

30、n），或者者是入侵侵策略（IntrusionStrategy）入手，确定如如何在不不同的IDS组件之间间进行协协作检测测。通过对入入侵策略略的分析析调整审计计策略和和参数，构成自适应的的审计检检测系统统。返回本章章首页2020-03-02466数据融融合（Data Fusion）Timm Bass提出将数数据融合合（Data Fusion）的概念念应用到到入侵检检测中，从而将将分布式式入侵检检测任务务理解为为在层次化化模型下下对多个感应应器的数数据综合合问题。在这个层层次化模模型中，入侵检检测的数数据源经经历了从从数据（Data）到信息（Information）再到知识（Knowledge）三

31、个逻辑辑抽象层层次。返回本章章首页2020-03-02477基于抽抽象（Abstraction-based）的方法法GMU的Peng Ning在其博士士论文中中提出了了一种基基于抽象象（Abstraction-based）的分布布式入侵侵检测系系统，基基本思想想是：设立中间间层（systemview），提供与具具体系统统无关的的抽象信信息，用用于分布布式检测测系统中中的信息共享享抽象信息息的内容容包括事事件信息息（event）以及系系统实体体间的断断言（dynamic predicate）。中间层用用于表示示IDS间的共享享信息的的表示方方式：IDS检测到的的攻击或或者IDS无法处理理的事件件

32、信息作作为event，IDS或受IDS监控的系系统的状状态则作作为dynamic predicates。返回本章章首页2020-03-02485.4入侵检测测系统的的标准从20世纪90年代到现现在，入入侵检测测系统的的研发呈呈现出百百家争鸣鸣的繁荣荣局面，并在智能化和分布式两个方向向取得了了长足的的进展。为了提高高IDS产品、组组件及与与其他安安全产品品之间的的互操作作性，DARPA和IETF的入侵检检测工作作组（IDWG）分别发发起制订订了一系系列建议草案案，从体系结构构、API、通信机机制、语语言格式式等方面来来规范IDS的标准。DARPA提出了公公共入侵侵检测框框架CIDF，最早由由加州

33、大大学戴维维斯分校校的安全全实验室室起草；IDWG提出了三三项建议议草案IDMEF、IDXP、TunnelProfile返回本章章首页2020-03-02495.4.1IETF/IDWGIDWG定义了用用于入侵侵检测与与响应（IDR）系统之之间或与与需要交交互的管管理系统统之间的的信息共共享所需需要的数据格式式和交换规程程。IDWG提出了三三项建议议草案：入侵检测测消息交交换格式式（IDMEF）、入侵检测测交换协协议（IDXP）隧道轮廓廓（TunnelProfile）。返回本章章首页2020-03-02505.4.2CIDFCIDF的工作集集中体现现在四个个方面：IDS的体系结结构、通通信机制

34、制、描述述语言和应用编程程接口API。CIDF在IDES和NIDES的基础上上提出了了一个通通用模型型，将入入侵检测测系统分分为四个个基本组组件：事件产生生器、事事件分析析器、响响应单元元和事件件数据库库。其结构构如图5-15所示。返回本章章首页2020-03-0251返回本章章首页2020-03-02525.5入侵检测测系统示示例为了直观观地理解解入侵检检测的使使用、配配置等情情况，这这里我们们以Snort为例，对对构建以以Snort为基础的的入侵检检测系统统做概要要介绍。返回本章章首页2020-03-02535.5.1Snort简介Snort是一个开开放源代代码的免免费软件件，它基基于li

35、bpcap的数据包包嗅探器器，并可以以作为一一个轻量量级的网网络入侵侵检测系系统（NIDS）。Snort具有很多多优势：代码短小小、易于于安装、便于配配置。功能十分分强大和和丰富集成了多多种告警警机制支支持实时时告警功功能具有非常常好扩展展能力遵循GPL，可以免免费使用用返回本章章首页2020-03-02545.5.2Snort的体系结结构Snort在结构上上可分为为数据包捕捕获和解码子系系统、检测引擎擎，以及日志及报报警子系系统三个部分分。1数据包包捕获和和解码子子系统该子系统统的功能能是捕获获共享网网络的传传输数据据，并按按照TCP/ IP协议的不不同层次次将数据据包解析析。2检测引引擎检

36、测引擎擎是NIDS实现的核核心，准准确性和和快速性性是衡量量其性能能的重要要指标。返回本章章首页2020-03-0255为了能够够快速准准确地进进行检测测和处理理，Snort在检测规规则方面面做了较较为成熟熟的设计计。Snort将所有已已知的攻攻击方法法以规则则的形式式存放在在规则库库中每一条规规则由规则头和规则选项项两部分组组成。规则头对应于规规则树结结点RTN（Rule TreeNode），包含含动作、协协议、源源（目的的）地址址和端口口以及数数据流向向，这是所所有规则则共有的的部分。规则选项项对应于规规则选项项结点OTN（OptionalTree Node），包含含报警信息息（msg）、

37、匹配配内容（content）等选项，这些内内容需要要根据具具体规则则的性质质确定。返回本章章首页2020-03-0256检测规则则除了包包括上述述的关于于“要检测什什么”，还应应该定义义“检测到了了该做什什么”。Snort定义了三三种处理理方式：alert（发送报报警信息息）、log（记录该该数据包包）和pass（忽略该该数据包包），并定定义为规规则的第第一个匹匹配关键键字。这样设计计的目的的是为了了在程序序中可以以组织整整个规则则库，即将所有有的规则则按照处处理方式式组织成成三个链链表，以用于于更快速速准确地地进行匹匹配。如如图5-17所示。返回本章章首页2020-03-0257返回本章章首

38、页2020-03-0258当Snort捕获一个个数据包包时，首首先分析析该数据据包使用用哪个IP协议以决决定将与与某个规规则树进进行匹配配。然后与RTN结点依次次进行匹匹配。当当与一个个头结点点相匹配配时，向向下与OTN结点进行行匹配。每个OTN结点包含含一条规规则所对对应的全全部选项项，同时时包含一一组函数数指针，用来实实现对这这些选项项的匹配配操作。当数据包包与某个个OTN结点相匹匹配时，即判断断此数据据包为攻攻击数据据包。具体流程程见图5-18所示。返回本章章首页2020-03-0259返回本章章首页2020-03-02603日志及报报警子系系统一个好的的NIDS，更应该该提供友友好的输

39、输出界面面或发声声报警等等。Snort是一个轻轻量级的的NIDS，它的另另外一个个重要功功能就是是数据包记记录器，它主要要采取用用TCPDUMP的格式记记录信息息、向syslog发送报警警信息和以明文形式式记录报报警信息息三种方式式。值得提出出的是，Snort在网络数数据流量量非常大大时，可可以将数数据包信信息压缩缩从而实实现快速速报警。返回本章章首页2020-03-02615.5.3Snort的安装与使使用1.Snort安装模式式Snort可简单安安装为守护进程程模式，也可安安装为包括很多多其他工工具的完完整的入入侵检测测系统。简单方式式安装时时，可以以得到入入侵数据据的文本本文件或或二进制

40、制文件，然后用用文本编编辑器等等工具进进行查看看。Snort若与其它它工具一一起安装装，则可可以支持持更为复复杂的操操作。例如，将将Snort数据发送送给数据据库系统统，从而而支持通通过Web界面进行行数据分分析，以以增强对对Snort捕获数据据的直观观认识，避免耗耗费大量量时间查查阅晦涩涩的日志志文件。返回本章章首页2020-03-0262返回本章章首页2020-03-0263（2）更新Snort规则下载最新新的规则则文件snortrules-snapshot-CURRENT.tar.gz。其中，CURRENT表示最新新的版本本号。rootmail snort#mkdir/etc/snort

41、rootmail snort#cd/etc/snortrootmail snort#tar zxvf/path/to/snortrules-snapshot-CURRENT.tar.gz返回本章章首页2020-03-0264（3）配置Snort建立config文件目录录：rootmail snort-2.8.0#mkdir/etc/snort复制Snort配置文件件snort.conf到Snort配置目录录：rootmail snort-2.8.0#cp./etc/snort.conf/etc/snort/编辑snort.conf：rootmail snort-2.8.0#vi/etc/sno

42、rt/snort.conf修改后，一些关关键设置置如下：varHOME_NETyournetworkvarRULE_PATH /etc/snort/rulespreprocessorhttp_inspect:globaliis_unicode_map/etc/snort/rules/unicode.map1252include /etc/snort/rules/reference.configinclude /etc/snort/rules/classification.config返回本章章首页2020-03-0265（4）测试Snort# /usr/local/bin/snort -A fast-b-d-D-l/var/log/snort-c/etc/snort/snort.conf查看文件件/var/log/messages，若没有有错误信信息，则则表示安安装成功功。返回本章章首页2020-03-02663Snort的工作模模式Snort有三种工工作模式式，即嗅