snort入侵检测系统DOC.pdf
《snort入侵检测系统DOC.pdf》由会员分享,可在线阅读,更多相关《snort入侵检测系统DOC.pdf(32页珍藏版)》请在三一文库上搜索。
1、甘肃政法学院 入侵检测课程设计 题目 snort入侵检测系统 学院专业 2011 级班 学号: 姓名: 指导教师: 成绩:_ 完成时间: 2013 年 12 月 Snort 入侵检测系统 一、课程设计目的 (1)通过实验深入理解入侵检测系统的原理和工作方式。 (2)熟悉入侵检测工具snort 在 Windows 操作系统中的安装和配置方法 二课程设计的原理 入侵检测系统 (Intrusion Detection System ,简称 IDS) 是一种从计算机网络或计算机系 统中的若干关键点收集入侵者攻击时所留下的痕迹,如异常网络数据包与试图登录的失败记 录等信息,通过分析发现是否有来自于外部或
2、内部的违反安全策略的行为或被攻击的迹象。 全国的很多企业或团体都很重视自己内部保密文件的泄露与盗取,但网络传输方式有的就存 在着漏洞,很多的黑客就是通过一个企业或团体的所拥有的网站通过这些漏洞来拿到这个企 业的服务器, 竟而获得它的内部保密文件,但是安全部门也通过电脑审计功能或其它的各种 方式来对于入侵公司的“人员”获得他们入侵的记录,做出相应的法律措施,来保证每一个 企业或团体的文件安全。 随着网络技术的快速发展,网络入侵行为也越来越严重,本论文主要讨论snort 入侵检 测系统。 Snort 是一个免费的IDS( 入侵监测系统 )软件。它的一些源代码是从著名tcpdump 软件发展而来的。
3、它是一个基于libpcap 包的网络监控软件,可以作为一个十分有效的网络 入侵监测系统。 Snort 首先根据远端的ip 地址建立目录,然后将检测到的包以tcpdump 的二进 制格式记录或者以自身的解码形式存储到这些目录中.这样一来 ,你就可以使用snort 来监测 或过滤你所需要的包. 三、入侵检测系统的起源和发展 随着网络的普及,每个人都通过不同的方式来访问网络,尤其是在B/S 模式的网络结构 中,比如很多的公司机密资料、广大人群的购物交易、安全部门为人们了解国家所发布的文 章都是通过网络来传输,有很多的“不良分子”在利益的驱使下,通过攻击web 的漏洞, 来获取的自己所要的东西,已达到
4、自己不可告人的目的。Snort 是一个轻量级的入侵检测系 统,它具有截取网络数据报文,进行网络数据实时分析、报警,以及日志的能力。snort 的报 文截取代码是基于libpcap 库的, 继承了 libpcap 库的平台兼容性。它能够进行协议分析,内 容搜索 /匹配,能够用来检测各种攻击和探测,例如:缓冲区溢出、隐秘端口扫描、CGI 攻 击、 SMB 探测、 OS 指纹特征检测等等。snort 使用一种灵活的规则语言来描述网络数据报 文,因此可以对新的攻击作出快速地翻译。snort 具有实时报警能力。可以将报警信息写到 syslog、指定的文件、UNIX 套接字或者使用WinPopup 消息。
5、 snort 具有良好的扩展能力。 它支持插件体系,可以通过其定义的接口,很方便地加入新的功能。snort 还能够记录网络 数据,其日志文件可以是tcpdump 格式,也可以是解码的ASCII 格式。而且, Snort 对硬件 没有特殊的要求,对Snort 来说,硬件系统的处理器频率越高越好,不同网络使用的网卡和 硬盘空间大小会制约Snort 捕捉数据包和存储数据包的功能。主要来说,Snort 作为一个基 于网络的入侵检测系统(NIDS) ,在基于共享网络上检测原始的网络传输数据,通过分析捕获 的数据包, 匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警 或记录。从检测模
6、式而言,Snort 属于是误用检测,即对已知攻击的特征模式进行匹配。从 本质上来说, Snort 是基于规则检测的入侵检测工具,即针对每一种入侵行为,都提炼出它 的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次将捕获得数据包按照规 则库逐一匹配,若匹配成功,则认为该入侵行为成立。同时snort 还是一个自由、简洁、快 速、易于扩展的入侵检测系统,已经被移植到了各种UNIX 平台和 Win98,Win2000 上。它 也是目前安全领域中,最活跃的开放源码工程之一。在Snort.org 上几乎每天都提供了最新 的规则库以供下载, 由于 snort 本身是自由的源码开放工程所以在使用sn
7、ort 时除了必要的硬 件外软件上基本上不需要有任何额外的开销。这相对于少则上千多则上万的商业入侵检测系 统来说,无疑是最好的替代产品之一。 Snort 入侵系统概述 Snort 作为一个基于网络的入侵检测系统(NIDS) ,在基于共享网络上检测原始的网络传 输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为, 进而采取入侵的告警或记录。从检测模式而言,Snort 属于是误用检测,即对已知攻击的特 征模式进行匹配。从本质上来说,Snort 是基于规则检测的入侵检测工具,即针对每一种入 侵行为, 都提炼出它的特征值并按照规范写成检验规则,从而形成一个规则数据库。其次
8、将 捕获得数据包按照规则库逐一匹配,若匹配成功,则认为该入侵行为成立。 Snort系统的特点 1)Snort 是一个轻量级的入侵检测系统它虽然功能强大,但是代码却极为简洁、短小, 其源代码压缩包不到2 兆。 2)Snort 的可移植性很好 Snort 的跨平台性能极佳,目前已经支持Linux ,Solaris,BSD ,IRIX , HP-UX,windows 等系统。 采用插入式检测引擎,可以作为标准的网络入侵检测系统、主机入侵检测系统使用; 与 Netfilter结合使用,可以作为网关IDS (Gateway IDS)等系统指纹识别工具结合使用, 可以作为基于目标的IDS(Target b
9、ased IDS) 。 3 ) Snort的功能非常强大 Snort 具有实时流量分析和日志IP 网络数据包的能力。能够快速地检测网络攻击,及 时地发出报警。Snort 的报警机制很丰富,例如:syslog 、用户指定的文件、一个UNIX套 接字, 还有使用 SAMBA 协议向 Windows 客户程序发出WinPopup消息。 利用 XML插件, Snort 可以使用SNML( 简单网络标记语言, simple network markup language)把日志存放到一个 文件或者适时报警。Snort 能够进行协议分析,内容的搜索/匹配。现在Snort 能够分析的 协议有 TCP ,UD
10、P ,ICMP等。将来,可能提供对ARP 、ICRP、GRE 、OSPF 、 RIP 、IPXIPX 等协 议的支持。它能够检测多种方式的攻击和探测,例如:缓冲区溢出、秘密端口扫描、CGI 攻 击、 SMB探测、探测操作系统指纹特征的企图等等。 Snort 的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCH 字符形式, 更加便于用户尤其是新手检查。使用数据库输出插件,Snort 可以把日志记入数据库,当前 支持的数据库包括: Postagresql、MySQL 、oraCle 、任何 UNIXODBC 数据库等。使用TCP流 插件 (TcpStream) ,Snort 可以对
11、 TCP包进行重组。 Snort 能够对 IP 包的内容进行匹配,但 是对于 TCP攻击, 如果攻击者使用一个程序,每次发送只有一个字节的TCP包,完全可以避 开 Snort 的模式匹配。 而被攻击的主机的TCP协议栈会重组这些数据,将其送给在目标端口 上监听的进程, 从而使攻击包逃过Snort 的监视。使用 TCP流插件, 可以对 TCP包进行缓冲, 然后进行匹配, 使 Snort 具备了对付上面这种攻击的能力。使用 SPADE(Statistical Packet Anomaly Detection Engine)插件, Snort 能够报告非正常的可疑包,从而对端口扫描进行 有效的检测。
12、 4) 扩展性能较好,对于新的攻击威胁反应迅速 作为一个轻量级的网络入侵检测系统, Snort有足够的扩展能力。它使用一种简单的 规则描述语言。最基本的规则只是包含四个域:处理动作、协议、方向、注意的端口。还有 一些功能选项可以组合使用,实现更为复杂的功能。Snort 支持插件,可以使用具有特定功 能的报告、检测子系统插件对其功能进行扩展。Snort 当前支持的插件包括:数据库日志输 出插件、碎数据包检测插件、端口扫描检测插件、HTTP URI Normalization插件、 XML插件 等。同时,它支持多种格式的特征码规则输入方式,如数据库、XML等。 Snort 的规则语言 非常简单,
13、能够对新的网络攻击做出很快的反应。发现新的攻击后, 可以很快根据其特征码, 写出检测规则。因为其规则语言简单,所以很容易上手,节省人员的培训费用。 5) 多用途性 Snort 系统不但可以作为入侵检测系统,还可以作为数据包嗅探器、数据包记录器使用。 6) 遵循公共通用许可证GPL Snort 遵循 GPL ,所以任何企业、个人、组织都可以免费使用它作为自己的入侵检测系 统。但是, Snort 系统也有很大的局限性,其系统结构决定了其检测规则只能使用落后的简 单模式匹配技术,适应目前不断出现的新的攻击方式的能力有限: 并且它在网络数据流量很 大的时候容易产生漏报和误报,这对于目前的宽带潮流是一个
14、很大的缺点。 四、Windows下 Snort 的集成式安装 (一)安装Snort 和 Wincap 包 Snort 安装 1 Snort 安装 2 Snort 安装 3 Snort 安装 4 (2) Winpcap 的安装界面 Winpcap 安装 1 Winpcap 安装 2 Winpcap 安装 3 Winpcap 安装 4 2. 安装 AppServ 启动 AppServ 安装文件后,出现如图所示的设置服务器信息界面: 在 Server Name 中输入域名localhost:Administrators Email Address 中输入邮箱地址: 监听端口设为8080。 点击 n
15、ext,进入下一界面:在出现的界面中输入密码(123) :“Character Sets and Collations“ 选择 “GB 2312Simplified Chinese“, 先将 C:Appservphp5目录下的 php.ini-dist 文件改名为 php.Ini ,然后 启动 Apache和 MySql。点击 finish。 在控制面板管理服务中查看服务,确保Apache 和 MySql 已启动。 安装完成后可以查看Apache 和 MySql 是不是可以正常运行。 Mysql 正常运行 在浏览器中输入http:/localhost:8080/ Apache 运行成功 (2)
16、测试 AppServ 首先查看 “控制面板 “/“ 管理“/“服务“,确保 Apache和 MySQL 已经启动,然后,在 浏览器中输入 http:/localhost:8080/phpinfo.php,(下图) 可以了解php 的一些信息。 最后打开浏览器,输入http:/localhost:8080/phpMyAdmin/index.php下图)输入用户名root 和密码,可以浏览数据库内容。 (3)配置 AppServ 第一步, 编辑 Apache 服务器配置文件。 打开 C:AppServApache2.2conf文件中的httpd.conf, 检查相应的一些值 进入 Apache 服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- snort 入侵 检测 系统 DOC
链接地址:https://www.31doc.com/p-4972575.html