【正文】 tc\ 其中， 文件保存的是和規(guī)則的警報級別相關(guān)的配置， 文件保存了提供更對警報相關(guān)信息的鏈接。如本地 IP 為，則將 Any 改為 HOME_NET 的值改為本地網(wǎng)絡的標識，即 。在局域網(wǎng)段中的另一臺主機（ ）上使用的 Ping指令，探測運行 Snort 的主機。 圖 42 Snort 安裝選項對話框 “開始”菜單，選擇“運行”命令，輸入 cmd 并按 Enter 鍵，在命令行方式下輸入如下命令： C:\〉 cd D:\Snort\bin D:\Snort\bin〉 snortW （ 1）如果 Snort 安裝成功，系統(tǒng)將顯示兩個物理網(wǎng)卡正在工作及網(wǎng)卡的詳細信息。 ? Msg 在報警和包日志中打印一條消息 ? dsize檢查包的數(shù)據(jù)部分大小 ? content在包的數(shù)據(jù)部分中搜索指定的樣式 ? nocase指定對 Content 字符串大小寫不敏感 ? Content— list在數(shù)據(jù)包中搜索多種可能匹配 ? Flags檢查 TCP Flags 的 值 ? ack檢查 TCP 應答的值 ? session記錄指定回話的應用層信息的內(nèi)容 ? sidSnort 的規(guī)則標石 例如下面的一條規(guī)則： Alert tcp any any〉 ∕ 24 111（ content：＂ |00 01 86 a5|＂； msg：＂mountd access＂； ) 可以解釋為：對于到達網(wǎng)段 ∕ 24 上任一臺主機 111 端口的 TCP數(shù)據(jù)包，如果內(nèi)容中包含形如“ |00 01 86 a5|”的字段，則將字 符串“ mountd access”作為報警信息輸出。接下來，規(guī)則頭部需要一組遵循給定格式的 IP 地址和端口號信息，通常要分別指出源發(fā)方和目的放的IP 地址和端口號，并且指明信息流動的方向。如果許多選項組合在一起，他們它們之間是“邏輯關(guān)系”的關(guān)系。 Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項。另外，報警信息也可以記入 SQL 數(shù)據(jù)庫。 （ 3） 檢測模塊 該模塊是 Snort 的核心模塊。 Snort 能夠 檢測不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務攻擊等，并進行實時報警。數(shù)據(jù)挖掘異常檢測技術(shù)從各種審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)流中提取相關(guān)的入侵知識， IDS 利用這些知識檢測入侵。 神經(jīng)網(wǎng)絡異常檢測 的有點是不需要對數(shù)據(jù)進行統(tǒng)計假設，能夠較好地處理原始數(shù)據(jù)的隨機性，并且能夠較好的處理干擾數(shù)據(jù)。為了檢測的準確性，必須考慮 Ai 之間的獨立性。 （ 3） 對行為的檢測結(jié)果要么是異常的，要么是正常的，攻擊者可以利用這個弱點躲避 IDS 的檢測。 IDS 通過將當前采集到的行為輪廓與正常行為輪廓相比較，以檢測是否存在入侵行為。目前，基于異常的入侵檢測系統(tǒng)主要采用的技術(shù)有統(tǒng)計分析、貝葉斯推理 、神經(jīng)網(wǎng)絡和數(shù)據(jù)挖掘等方法。 異常 檢測的優(yōu)點是與系統(tǒng)相對無關(guān)，通用性較強，易于實現(xiàn)，模型易于自動更新，不需要為設定限制值而掌握政策活動的知識，可檢測出一些未知攻擊方法。 圖 32 異常檢測模型 異常檢測方法通過異常檢測器觀察主體的活動，然后產(chǎn)生刻畫這些活動行為的輪廓。異常檢測基于一個假設，即入侵行為在于偏離系統(tǒng)正常使用的事件中，而異常檢測就是要找出偏離正常行為的事件并從中發(fā)現(xiàn)入侵。 因此，目前 主要有兩種方法用來解決入侵檢測問題：誤用檢測技術(shù)和異常檢測技術(shù)。分析引擎以事件產(chǎn)生器獲取的主機或網(wǎng)絡事件為輸入，通過分析事件或先驗知識建立判斷入侵的模型。分析引擎使用何種技術(shù)也是區(qū)分不同入侵檢測產(chǎn)品的重要依據(jù)。不同的入侵檢測系統(tǒng) 間需要收集的信息由于分析方法的不同而有所區(qū)別。響應單元對分析結(jié)果做出反應，控制網(wǎng)絡或系統(tǒng)產(chǎn)生和分析結(jié)果相應的動作。 入侵檢測的模型 為了提高 IDS 產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研 究計劃署和 Inter 工程任組的入侵檢測工作組（ IDWG）發(fā)起并制定了一系列建議草案，從體系結(jié)構(gòu)、 API、通信機制、語言格式等方面規(guī)范 IDS 的標準。 ? 識別已知的攻擊行為并報警。作為對防火墻極其有益的補充，位于其后的第二道安全閘門 IDS 能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，有效擴展系統(tǒng)管理員的安全管理能力及提高信息安全基礎結(jié)構(gòu)的完整性。被動式防范策略主要包括隱藏 IP 地址、關(guān)閉端口、更換管理員賬戶等，本文只對以上 兩 種進行分析。這種技術(shù)彌補了誤用檢測技術(shù)的不足，它能夠檢測到未知的入侵。對已知的攻擊，誤用入侵檢測技術(shù)檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。對于生物 識別技術(shù)而言，其核心就是如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息、存儲于計算機中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進行的。 對于身份認證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術(shù)指標。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識別。如果對互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對上網(wǎng)計算機的安全進行強化；如果在防范內(nèi)部局域網(wǎng)病毒時需要一個具有服務器操作系統(tǒng)平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡內(nèi)部使用電子郵件進行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務器平臺的郵件防病毒軟件。例如，假冒攻擊可以成為所有基本威脅的基礎，同時假冒攻擊本身也存在信息泄露的潛在威脅（因為信息泄露可能暴露某個口令，而用此口令可以實施假冒攻擊）。 潛在威脅 在某個特定的環(huán)境中，如果對任何一個基本威脅或者主要的可實現(xiàn)威脅進行分析，就能夠發(fā)現(xiàn)某些特定的潛在威脅，而任意一種潛在威脅都可能導致一些更基本的威脅的發(fā)生。例如一個表面上具有合法目的的應用程序軟件，如文件編輯軟件，它具有一個暗藏的目的，就是將用戶的文件復制到一個隱藏的秘密文件中，這種應用程序就稱為特洛伊木馬。 一個授權(quán)以既定目的使用某個系統(tǒng)或資源的人，卻將其權(quán)限用于其他非授權(quán)的目的。黑客大多采取這種假冒攻擊方式來實施攻擊。只要的可實現(xiàn)威脅包括侵入威脅和植入威脅。拒絕服務也可能是因為系統(tǒng)在物理上或邏輯上受到破壞而終端服務。這種威脅來自諸如竊聽、搭線或其他更加錯綜復雜的信息探測攻擊。然而，為了解釋網(wǎng)絡安全服務的作用，人們對現(xiàn)代計算機網(wǎng)絡以及通信過程中常遇到的一些威脅匯編成一些圖表。主動攻擊卻對信息進行故意的修改（如改動某次金融會話過程中貨幣的數(shù)量）。風險分析能夠提供定量的方法，以確定是否應保證防護措施方面的資金投入。 所謂 防護措施，是指保護資源免受威脅的一些物理的控制、機制、策略和過程。但是信息在公共通信網(wǎng)絡上存儲、共享和傳輸，可能面臨的威脅包括被非法竊聽、截取、篡改或毀壞等，這些威脅可能給網(wǎng)絡用戶帶來不可估量的損失，使其喪失對網(wǎng)絡的信心。廣義上的網(wǎng)絡安全還應該包括如何保護內(nèi)部網(wǎng)絡的信息不從內(nèi)部泄露、如何抵制文化侵略、如何防止不良信息的泛濫等。利用計算機通過 Inter 竊取軍事機密的事例，在國外也是屢見不鮮。大量事實表明，確保網(wǎng)絡安全已經(jīng)是一件刻不容緩的大事。據(jù)美國聯(lián)邦調(diào)查局的報告，計算機犯罪是商業(yè)犯罪中所占比例最大的犯罪類型之一。信息網(wǎng)絡涉及到國家的政治、軍事、文教等諸多領(lǐng)域，其中存儲、傳輸和處理的信息有許多是政府文件、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重 要信息，還有很多是敏第 3 頁（共 23 頁） 感信息，甚至是國家機密。 可用性指可被授權(quán)實體訪問并按需求使用的特性。 本書中所講的網(wǎng)絡安全是指通過各種計算機、網(wǎng)絡、密碼技術(shù)和信息安全技術(shù)，保證在公有通信網(wǎng)絡中傳輸、交換和存儲信息的機密性、完整性和真實性，并對信息的傳播及內(nèi)容具有控制能力，不涉及網(wǎng)絡可靠性、信息的可控性、可用性和互操作性等領(lǐng)域。本質(zhì)上是保護用戶的利益和隱私。 2. 網(wǎng)絡上系統(tǒng)信息的安全 包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計、安全問題跟蹤、計算機病毒防治和數(shù)據(jù)加密等。 從社會教育和意識形態(tài)角度來講，網(wǎng)絡上不健康的內(nèi)容，會對社會的穩(wěn)定和發(fā)展造 成阻礙，必須對其進行控制。 網(wǎng)絡安全的一個通用定義是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)、可靠、正常地運行，服務不中斷。 網(wǎng)絡安全基礎知識 網(wǎng)絡安全的定義 “安全”一詞在字典中被定義為“遠離危險的狀態(tài)或特性”和“為防范間諜活動或蓄意破壞、犯罪、攻擊或逃跑而采取的措施。網(wǎng)絡的用戶涵蓋了社會的方方面面，大量在網(wǎng)絡中存儲和傳輸?shù)臄?shù)據(jù)承載著社會的虛擬財富，這對計算機網(wǎng)絡的安全性提出了嚴格的要求。為確保信息的安全與網(wǎng)絡暢通，研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫 3）畢業(yè)論文須用 A4 單面打印，論文 50 頁以上的雙面打印 4）圖表應繪制于無格子的頁面上 5）軟件工程類課題應有程序清單，并提供電子文檔 1）設計（論文） 2）附件：按照任務書、開題報告、外文譯文、譯文原文（復印件）次序裝訂 V 摘要 由于計算機技術(shù)的飛速發(fā)展，計算機網(wǎng)絡的應用也越來越廣泛。 涉密論文按學校規(guī)定處理。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構(gòu)的學位或?qū)W歷而使用過的材料。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。本人授權(quán) 大學可以將本學位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。 、圖表要求： 1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫 2）工程設計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應符合 國家技術(shù)標準規(guī)范。 近年來，隨著計算機網(wǎng)絡技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，計算機網(wǎng)絡的安全性變得日益重要起來，由于計算機網(wǎng)絡聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡的開放性和網(wǎng)絡資源的共享性等因素，致使計算機網(wǎng)絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊。 第 4 章 Snort 介紹 ..................................................................................................... 13 Snort 體系結(jié)構(gòu) .......................................................................................... 13 Snort 規(guī)則 ......................