《入侵检测与防御原理及实践（微课版）》 课件 CH5 开源入侵检测系统Snort3

开源入侵检测系统Snort3目录Snort3概述Snort3的安装Snort3的配置Snort3功能组件的安装及配置Snort3的检查器Snort3概述1Snort3，也称为Snort++，是Cisco（思科）团队历经7年的时间，用C++重新设计的下一代IPS。它采用了一种全新的设计，具有更高的性能、更快的处理速度、更好的可扩展性和可用性，是保护用户网络免受不必要流量、恶意软件、垃圾邮件和网络钓鱼文档等影响首选的开源IPS。Snort3主要的新功能和改进包括：（1）新的进程架构，使Snort3可以有效处理Snort2规避的现代架构。（2）全新的C++设计，使代码库更加模块化，可扩展性更好，更易于在网络上进行维护。（3）多线程、共享内存和Hyperscan等的使用，使Snort3处理数据包所需的资源更少，内存利用率更高，可以更轻松地扩展到网络，启动和处理速度也更快，性能显著提高。（4）Luajit插件允许用户编写自己的插件，更容易根据自己的需要进行定制，比如完成自定义规则选项、深入文件处理等任务。Snort3的新功能Snort3主要的新功能和改进包括：（5）Snort3的规则可以采用LUA格式，规则语法也更简洁，方便用户创建规则，减少规则冗余，同时也使规则更易于编写和理解、运行也更快。比如，规则头中的协议、源目地址、端口和方向操作符都是可选的，若省略则表示匹配任意（相当于关键词any的作用）。（6）Snort3使用了超过200个插件的完整插件系统（Snort2仅在预处理和输出模块中使用插件），用户可以根据网络情况进行自定义设置。（7）重写了TCP处理。（8）改进了共享对象规则，包括为零日漏洞添加规则的能力。（9）使用了新的性能监视器和新的时间和空间分析方法。Snort3的新功能最显著的区别是进程架构Snort2与Snort3的区别特性Snort2Snort3多线程支持每个进程一个每个进程任意多个插件仅限于预处理和输出具有超过200个插件的完整插件系统与端口无关的协议检查不支持支持IPS加速器/支持Hyperscan不支持支持模块化不支持支持可扩展内存分配不支持支持下一代TALOS规则-比如正则表达式/规则选项/粘性缓冲区不支持支持新的和改进的HTTP检查器-比如支持HTTP/2不支持支持TALOS提供的轻量级内容更新不支持支持Snort3的安装2Snort3目前只有源码版（.tar.gz的源码包），可以手动编译安装在Kali、CentOS、FreeBSD、Ubuntu、OracleLinux等基于Linux的操作系统上。Snort3的安装Snort3-.tar.gz：Snort3的源码安装包。libdaq-3.0.10.tar.gz：Snort3的数据采集器。snortrules-snapshot-31470.tar.gz：Snort3的订阅规则集。pulledpork3-main.zip：用来下载和合并Snort规则集的脚本。snort-openappid.tar.gz：使Snort能识别、控制和测量网络上正在使用的应用程序。gperftools-2.9.1.tar.gz：GooglePerfTools工具集，可以提高Snort性能、减少内存使用，可在/gperftools/gperftools下载最新版。splunk-9.0.4-de405f4a7979-linux-2.6-amd64.deb：一个安全信息和事件管理（SIEM）系统，它收集、存储并允许轻松地进行分析以及可视化数据，包括Snort创建的警报。主要安装包及其功能主要路径/usr/localbinetcvarlogsnort.exesnort2lua.exesnortrulessnortgcc :编译器,如果报错,apt-getinstallg++flex :DAQ所需的解析器bison :DAQ所需的解析器zlib1g-dev :Snort所需的压缩库libpcap-dev :Snort所需的网络流量捕获头文件库libdnet-dev :不是必要的，为几个网络历程提供了简化的可移植接口luajit :lua的头文件库headersbuild-essential :提供编译软件的构建工具libpcre3-dev :Snort所需的pcre3的头文件libdumbnet-dev :同libdnetopenssllibssl-dev :ssl的加密组件,提供SHA和MD5文件签名部分依赖包的功能安装编译环境及依赖包安装snort的数据采集库DAQ安装TCMalloc（Google开发的内存管理工具）安装snort3网卡的配置将下载snort3规则复制到规则目录中修改snort3的配置文件新增测试规则文件启动snort3验证效果安装和配置OpenAppID安装和配置pulledpork3安装和配置splunk安装流程Snort3的配置3Snort3也有免费版（Community）、注册版（Registered）、收费版（Subscription）三类规则。可以分解为下载规则、修改配置文件和运行Snort三个部分。使用注册规则集用户也可以根据需要创建自定义的规则文件，再在自定义的规则文件中创建用户自定义的规则，在对Snort进行配置让自定义的规则生效。1.创建自定义的规则文件和规则sudovi/usr/local/etc/snort/rules/test.rules alerticmpanyany->anyany(msg:"ICMPTrafficDetected";sid:10000001;metadata:policysecurity-ipsalert;)2.使用自定义的规则文件和规则1）sudosnort-c/usr/local/etc/snort/snort.lua-R/usr/local/etc/snort/rules/test.rules-ieth0-Aalert_fast2）sudovi/usr/local/etc/snort/snort.luainclude$RULE_PATH/test.rulessudosnort-c/usr/local/etc/snort/snort.lua-ieth0-Aalert_fast使用自定义规则启用JSON输出插件，可以将Snort3的告警信息写入JSON格式的文本文件，以便导入到安全信息和事件管理系统SIEM中（如Splunk）。启用JSON输出插件Snort3功能组件的安装及配置4处理前面介绍的Snort3的基本功能之外，Snort3还有很多可选的功能组件或第三方的软件，可以增强Snort3的功能。OpenAppID：使Snort能够识别、控制和测量网络上正在使用的应用程序。PulledWork：管理Snort规则集的工具。Snort3自启动脚本：系统启动时Snort3能自动运行Splunk：SIEM（SecurityInformationandEventManagement）工具，可对信息进行统一、实时的监控、历史分析，对外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，以实现资源合规性管理的目标，同时提升企业的安全运营、威胁管理和应急响应的能力。Snort3功能组件的安装及配置Snort3的检查器Inspector5功能相当于Snort2的预处理器，用于对解码后的数据包进行错误检测和预处理，方便检测引擎的检测。Snort3也内置了一些常用的检查器，如normalize、st