【正文】 tc\ 其中， 文件保存的是和規(guī)則的警報(bào)級(jí)別相關(guān)的配置， 文件保存了提供更對(duì)警報(bào)相關(guān)信息的鏈接。如本地 IP 為，則將 Any 改為 HOME_NET 的值改為本地網(wǎng)絡(luò)的標(biāo)識(shí)，即 。在局域網(wǎng)段中的另一臺(tái)主機(jī)（ ）上使用的 Ping指令，探測(cè)運(yùn)行 Snort 的主機(jī)。 圖 42 Snort 安裝選項(xiàng)對(duì)話框 “開(kāi)始”菜單，選擇“運(yùn)行”命令，輸入 cmd 并按 Enter 鍵，在命令行方式下輸入如下命令： C:\〉 cd D:\Snort\bin D:\Snort\bin〉 snortW （ 1）如果 Snort 安裝成功，系統(tǒng)將顯示兩個(gè)物理網(wǎng)卡正在工作及網(wǎng)卡的詳細(xì)信息。 ? Msg 在報(bào)警和包日志中打印一條消息 ? dsize檢查包的數(shù)據(jù)部分大小 ? content在包的數(shù)據(jù)部分中搜索指定的樣式 ? nocase指定對(duì) Content 字符串大小寫(xiě)不敏感 ? Content— list在數(shù)據(jù)包中搜索多種可能匹配 ? Flags檢查 TCP Flags 的 值 ? ack檢查 TCP 應(yīng)答的值 ? session記錄指定回話的應(yīng)用層信息的內(nèi)容 ? sidSnort 的規(guī)則標(biāo)石 例如下面的一條規(guī)則： Alert tcp any any〉 ∕ 24 111（ content：＂ |00 01 86 a5|＂； msg：＂mountd access＂； ) 可以解釋為：對(duì)于到達(dá)網(wǎng)段 ∕ 24 上任一臺(tái)主機(jī) 111 端口的 TCP數(shù)據(jù)包，如果內(nèi)容中包含形如“ |00 01 86 a5|”的字段，則將字 符串“ mountd access”作為報(bào)警信息輸出。接下來(lái)，規(guī)則頭部需要一組遵循給定格式的 IP 地址和端口號(hào)信息，通常要分別指出源發(fā)方和目的放的IP 地址和端口號(hào)，并且指明信息流動(dòng)的方向。如果許多選項(xiàng)組合在一起，他們它們之間是“邏輯關(guān)系”的關(guān)系。 Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項(xiàng)。另外，報(bào)警信息也可以記入 SQL 數(shù)據(jù)庫(kù)。 （ 3） 檢測(cè)模塊 該模塊是 Snort 的核心模塊。 Snort 能夠 檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務(wù)攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警。數(shù)據(jù)挖掘異常檢測(cè)技術(shù)從各種審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)流中提取相關(guān)的入侵知識(shí)， IDS 利用這些知識(shí)檢測(cè)入侵。 神經(jīng)網(wǎng)絡(luò)異常檢測(cè) 的有點(diǎn)是不需要對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機(jī)性，并且能夠較好的處理干擾數(shù)據(jù)。為了檢測(cè)的準(zhǔn)確性，必須考慮 Ai 之間的獨(dú)立性。 （ 3） 對(duì)行為的檢測(cè)結(jié)果要么是異常的，要么是正常的，攻擊者可以利用這個(gè)弱點(diǎn)躲避 IDS 的檢測(cè)。 IDS 通過(guò)將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，以檢測(cè)是否存在入侵行為。目前，基于異常的入侵檢測(cè)系統(tǒng)主要采用的技術(shù)有統(tǒng)計(jì)分析、貝葉斯推理 、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等方法。 異常 檢測(cè)的優(yōu)點(diǎn)是與系統(tǒng)相對(duì)無(wú)關(guān)，通用性較強(qiáng)，易于實(shí)現(xiàn)，模型易于自動(dòng)更新，不需要為設(shè)定限制值而掌握政策活動(dòng)的知識(shí)，可檢測(cè)出一些未知攻擊方法。 圖 32 異常檢測(cè)模型 異常檢測(cè)方法通過(guò)異常檢測(cè)器觀察主體的活動(dòng)，然后產(chǎn)生刻畫(huà)這些活動(dòng)行為的輪廓。異常檢測(cè)基于一個(gè)假設(shè)，即入侵行為在于偏離系統(tǒng)正常使用的事件中，而異常檢測(cè)就是要找出偏離正常行為的事件并從中發(fā)現(xiàn)入侵。 因此，目前 主要有兩種方法用來(lái)解決入侵檢測(cè)問(wèn)題：誤用檢測(cè)技術(shù)和異常檢測(cè)技術(shù)。分析引擎以事件產(chǎn)生器獲取的主機(jī)或網(wǎng)絡(luò)事件為輸入，通過(guò)分析事件或先驗(yàn)知識(shí)建立判斷入侵的模型。分析引擎使用何種技術(shù)也是區(qū)分不同入侵檢測(cè)產(chǎn)品的重要依據(jù)。不同的入侵檢測(cè)系統(tǒng) 間需要收集的信息由于分析方法的不同而有所區(qū)別。響應(yīng)單元對(duì)分析結(jié)果做出反應(yīng)，控制網(wǎng)絡(luò)或系統(tǒng)產(chǎn)生和分析結(jié)果相應(yīng)的動(dòng)作。 入侵檢測(cè)的模型 為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國(guó)國(guó)防高級(jí)研 究計(jì)劃署和 Inter 工程任組的入侵檢測(cè)工作組（ IDWG）發(fā)起并制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機(jī)制、語(yǔ)言格式等方面規(guī)范 IDS 的標(biāo)準(zhǔn)。 ? 識(shí)別已知的攻擊行為并報(bào)警。作為對(duì)防火墻極其有益的補(bǔ)充，位于其后的第二道安全閘門(mén) IDS 能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，有效擴(kuò)展系統(tǒng)管理員的安全管理能力及提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。被動(dòng)式防范策略主要包括隱藏 IP 地址、關(guān)閉端口、更換管理員賬戶等，本文只對(duì)以上 兩 種進(jìn)行分析。這種技術(shù)彌補(bǔ)了誤用檢測(cè)技術(shù)的不足，它能夠檢測(cè)到未知的入侵。對(duì)已知的攻擊，誤用入侵檢測(cè)技術(shù)檢測(cè)準(zhǔn)確度較高，但是對(duì)已知攻擊的變體或者是一些新型的攻擊的檢測(cè)準(zhǔn)確度則不高。對(duì)于生物 識(shí)別技術(shù)而言，其核心就是如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息、存儲(chǔ)于計(jì)算機(jī)中，并且完成驗(yàn)證與識(shí)別個(gè)人身份是需要利用可靠的匹配算法來(lái)進(jìn)行的。 對(duì)于身份認(rèn)證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術(shù)指標(biāo)。用戶向系統(tǒng)出示自己的身份證明的過(guò)程就是所謂的身份識(shí)別。如果對(duì)互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對(duì)上網(wǎng)計(jì)算機(jī)的安全進(jìn)行強(qiáng)化；如果在防范內(nèi)部局域網(wǎng)病毒時(shí)需要一個(gè)具有服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件，這是遠(yuǎn)遠(yuǎn)不夠的，還需要針對(duì)各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換時(shí)，為了識(shí)別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件。例如，假冒攻擊可以成為所有基本威脅的基礎(chǔ)，同時(shí)假冒攻擊本身也存在信息泄露的潛在威脅（因?yàn)樾畔⑿孤犊赡鼙┞赌硞€(gè)口令，而用此口令可以實(shí)施假冒攻擊）。 潛在威脅 在某個(gè)特定的環(huán)境中，如果對(duì)任何一個(gè)基本威脅或者主要的可實(shí)現(xiàn)威脅進(jìn)行分析，就能夠發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導(dǎo)致一些更基本的威脅的發(fā)生。例如一個(gè)表面上具有合法目的的應(yīng)用程序軟件，如文件編輯軟件，它具有一個(gè)暗藏的目的，就是將用戶的文件復(fù)制到一個(gè)隱藏的秘密文件中，這種應(yīng)用程序就稱(chēng)為特洛伊木馬。 一個(gè)授權(quán)以既定目的使用某個(gè)系統(tǒng)或資源的人，卻將其權(quán)限用于其他非授權(quán)的目的。黑客大多采取這種假冒攻擊方式來(lái)實(shí)施攻擊。只要的可實(shí)現(xiàn)威脅包括侵入威脅和植入威脅。拒絕服務(wù)也可能是因?yàn)橄到y(tǒng)在物理上或邏輯上受到破壞而終端服務(wù)。這種威脅來(lái)自諸如竊聽(tīng)、搭線或其他更加錯(cuò)綜復(fù)雜的信息探測(cè)攻擊。然而，為了解釋網(wǎng)絡(luò)安全服務(wù)的作用，人們對(duì)現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)以及通信過(guò)程中常遇到的一些威脅匯編成一些圖表。主動(dòng)攻擊卻對(duì)信息進(jìn)行故意的修改（如改動(dòng)某次金融會(huì)話過(guò)程中貨幣的數(shù)量）。風(fēng)險(xiǎn)分析能夠提供定量的方法，以確定是否應(yīng)保證防護(hù)措施方面的資金投入。 所謂 防護(hù)措施，是指保護(hù)資源免受威脅的一些物理的控制、機(jī)制、策略和過(guò)程。但是信息在公共通信網(wǎng)絡(luò)上存儲(chǔ)、共享和傳輸，可能面臨的威脅包括被非法竊聽(tīng)、截取、篡改或毀壞等，這些威脅可能給網(wǎng)絡(luò)用戶帶來(lái)不可估量的損失，使其喪失對(duì)網(wǎng)絡(luò)的信心。廣義上的網(wǎng)絡(luò)安全還應(yīng)該包括如何保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不從內(nèi)部泄露、如何抵制文化侵略、如何防止不良信息的泛濫等。利用計(jì)算機(jī)通過(guò) Inter 竊取軍事機(jī)密的事例，在國(guó)外也是屢見(jiàn)不鮮。大量事實(shí)表明，確保網(wǎng)絡(luò)安全已經(jīng)是一件刻不容緩的大事。據(jù)美國(guó)聯(lián)邦調(diào)查局的報(bào)告，計(jì)算機(jī)犯罪是商業(yè)犯罪中所占比例最大的犯罪類(lèi)型之一。信息網(wǎng)絡(luò)涉及到國(guó)家的政治、軍事、文教等諸多領(lǐng)域，其中存儲(chǔ)、傳輸和處理的信息有許多是政府文件、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重 要信息，還有很多是敏第 3 頁(yè)（共 23 頁(yè)） 感信息，甚至是國(guó)家機(jī)密。 可用性指可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性。 本書(shū)中所講的網(wǎng)絡(luò)安全是指通過(guò)各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，保證在公有通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)信息的機(jī)密性、完整性和真實(shí)性，并對(duì)信息的傳播及內(nèi)容具有控制能力，不涉及網(wǎng)絡(luò)可靠性、信息的可控性、可用性和互操作性等領(lǐng)域。本質(zhì)上是保護(hù)用戶的利益和隱私。 2. 網(wǎng)絡(luò)上系統(tǒng)信息的安全 包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問(wèn)題跟蹤、計(jì)算機(jī)病毒防治和數(shù)據(jù)加密等。 從社會(huì)教育和意識(shí)形態(tài)角度來(lái)講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和發(fā)展造 成阻礙，必須對(duì)其進(jìn)行控制。 網(wǎng)絡(luò)安全的一個(gè)通用定義是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)、可靠、正常地運(yùn)行，服務(wù)不中斷。 網(wǎng)絡(luò)安全基礎(chǔ)知識(shí) 網(wǎng)絡(luò)安全的定義 “安全”一詞在字典中被定義為“遠(yuǎn)離危險(xiǎn)的狀態(tài)或特性”和“為防范間諜活動(dòng)或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。網(wǎng)絡(luò)的用戶涵蓋了社會(huì)的方方面面，大量在網(wǎng)絡(luò)中存儲(chǔ)和傳輸?shù)臄?shù)據(jù)承載著社會(huì)的虛擬財(cái)富，這對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全性提出了嚴(yán)格的要求。為確保信息的安全與網(wǎng)絡(luò)暢通，研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷。圖表整潔，布局合理，文字注釋必須使用工程字書(shū)寫(xiě)，不準(zhǔn)用徒手畫(huà) 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁(yè)以上的雙面打印 4）圖表應(yīng)繪制于無(wú)格子的頁(yè)面上 5）軟件工程類(lèi)課題應(yīng)有程序清單，并提供電子文檔 1）設(shè)計(jì)（論文） 2）附件：按照任務(wù)書(shū)、開(kāi)題報(bào)告、外文譯文、譯文原文（復(fù)印件）次序裝訂 V 摘要 由于計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用也越來(lái)越廣泛。 涉密論文按學(xué)校規(guī)定處理。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式標(biāo)明。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得 及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫(xiě)的成果作品。本人授權(quán) 大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫(kù)進(jìn)行檢索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 、圖表要求： 1）文字通順，語(yǔ)言流暢，書(shū)寫(xiě)字跡工整，打印字體及大小符合要求，無(wú)錯(cuò)別字，不準(zhǔn)請(qǐng)他人代寫(xiě) 2）工程設(shè)計(jì)類(lèi)題目的圖紙，要求部分用尺規(guī)繪制，部分用計(jì)算機(jī)繪制，所有圖紙應(yīng)符合 國(guó)家技術(shù)標(biāo)準(zhǔn)規(guī)范。 近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來(lái)，由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開(kāi)放性和網(wǎng)絡(luò)資源的共享性等因素，致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。 第 4 章 Snort 介紹 ..................................................................................................... 13 Snort 體系結(jié)構(gòu) .......................................................................................... 13 Snort 規(guī)則 ......................