【正文】 在報警和包日志中打印一條消息u dsize檢查包的數(shù)據(jù)部分大小u content在包的數(shù)據(jù)部分中搜索指定的樣式u nocase指定對Content字符串大小寫不敏感u Content—list在數(shù)據(jù)包中搜索多種可能匹配u Flags檢查TCP Flags 的值u ack檢查TCP應答的值u session記錄指定回話的應用層信息的內(nèi)容u sidSnort的規(guī)則標石 例如下面的一條規(guī)則： Alert tcp any any〉∕24 111（content：＂|00 01 86 a5|＂；msg：＂mountd access＂；)可以解釋為：∕24上任一臺主機111端口的TCP數(shù)據(jù)包，如果內(nèi)容中包含形如“|00 01 86 a5|”的字段，則將字符串“mountd access”作為報警信息輸出。接下來，規(guī)則頭部需要一組遵循給定格式的IP地址和端口號信息，通常要分別指出源發(fā)方和目的放的IP地址和端口號，并且指明信息流動的方向。如果許多選項組合在一起，他們它們之間是“邏輯關系”的關系。Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項。另外，報警信息也可以記入SQL數(shù)據(jù)庫。（3）檢測模塊該模塊是Snort 的核心模塊。Snort 能夠檢測不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務攻擊等，并進行實時報警。數(shù)據(jù)挖掘異常檢測技術從各種審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)流中提取相關的入侵知識，IDS利用這些知識檢測入侵。神經(jīng)網(wǎng)絡異常檢測的有點是不需要對數(shù)據(jù)進行統(tǒng)計假設，能夠較好地處理原始數(shù)據(jù)的隨機性，并且能夠較好的處理干擾數(shù)據(jù)。為了檢測的準確性，必須考慮Ai之間的獨立性。（3）對行為的檢測結果要么是異常的，要么是正常的，攻擊者可以利用這個弱點躲避IDS的檢測。IDS通過將當前采集到的行為輪廓與正常行為輪廓相比較，以檢測是否存在入侵行為。目前，基于異常的入侵檢測系統(tǒng)主要采用的技術有統(tǒng)計分析、貝葉斯推理、神經(jīng)網(wǎng)絡和數(shù)據(jù)挖掘等方法。 異常檢測的優(yōu)點是與系統(tǒng)相對無關，通用性較強，易于實現(xiàn)，模型易于自動更新，不需要為設定限制值而掌握政策活動的知識，可檢測出一些未知攻擊方法。 正常行為描述庫日志數(shù)據(jù)入侵行為網(wǎng)絡數(shù)據(jù) 異常檢測規(guī)則匹配動態(tài)產(chǎn)生新描述動態(tài)更新描述 圖32 異常檢測模型 異常檢測方法通過異常檢測器觀察主體的活動，然后產(chǎn)生刻畫這些活動行為的輪廓。異常檢測基于一個假設，即入侵行為在于偏離系統(tǒng)正常使用的事件中，而異常檢測就是要找出偏離正常行為的事件并從中發(fā)現(xiàn)入侵。 因此，目前主要有兩種方法用來解決入侵檢測問題：誤用檢測技術和異常檢測技術。分析引擎以事件產(chǎn)生器獲取的主機或網(wǎng)絡事件為輸入，通過分析事件或先驗知識建立判斷入侵的模型。分析引擎使用何種技術也是區(qū)分不同入侵檢測產(chǎn)品的重要依據(jù)。不同的入侵檢測系統(tǒng)間需要收集的信息由于分析方法的不同而有所區(qū)別。響應單元對分析結果做出反應，控制網(wǎng)絡或系統(tǒng)產(chǎn)生和分析結果相應的動作。為了提高IDS產(chǎn)品、組件及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署和Internet 工程任組的入侵檢測工作組（IDWG）發(fā)起并制定了一系列建議草案，從體系結構、API、通信機制、語言格式等方面規(guī)范IDS 的標準。u 識別已知的攻擊行為并報警。作為對防火墻極其有益的補充，位于其后的第二道安全閘門IDS能夠幫助網(wǎng)絡系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡攻擊的發(fā)生，有效擴展系統(tǒng)管理員的安全管理能力及提高信息安全基礎結構的完整性。被動式防范策略主要包括隱藏IP地址、關閉端口、更換管理員賬戶等，本文只對以上兩種進行分析。今后對入侵檢測技術的研究主要放在對異常監(jiān)測技術方面。目前，在絕大多數(shù)的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術構建。入侵檢測一般采用誤用檢測技術和異常監(jiān)測技術。由此可知，身份認證不僅是授權控制的基礎，而且還是整個信息安全體系的基礎。隨著黑客或木馬程序從網(wǎng)上截獲密碼的事件越來越多，用戶關鍵信息被竊情況越來越多，用戶已經(jīng)越來越認識到身份認證這一技術的重要性。另外，在管理方面，要打擊盜版，因為盜版軟件很容易染上病毒，訪問可靠的網(wǎng)站，在下載電子郵件附件時要先進行病毒掃描，確保無病毒后進行下載，最重要的是要對數(shù)據(jù)庫數(shù)據(jù)隨時進行備份。除了采用密碼技術的防護措施之外，還有其他類型的安全防護措施：注意，圖中的路徑可以交錯。 流量分析（traffic analysis）；178。例如，一個用戶登錄子系統(tǒng)，如果設置有陷阱門，當攻擊者輸入一個特別的用戶身份號時，就可以繞過通常的口令檢測。當他被執(zhí)行時，會破壞用戶的安全性。攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)內(nèi)部。這個非授權的實體提示某個防線的守衛(wèi)者，使其相信他是一個合法的實體，此后便取了此合法的權利和特權。在安全威脅中，主要的可實現(xiàn)威脅應該引起高度關注，因為這類威脅一旦成功實施就會直接導致其他任何威脅的實施。這可能是由以下攻擊所致：攻擊者通過對系統(tǒng)進行非法的、根本無法成功的訪問嘗試而使系統(tǒng)產(chǎn)生過量的負荷，從而導致系統(tǒng)的資源在合法用戶看來是不可用的。信息被泄露或透漏給某個非授權的人或?qū)嶓w。不同威脅的存在及其嚴重性隨著環(huán)境的變化而變化。被動攻擊只對信息進行監(jiān)聽（如搭線竊聽），而不對其進行修改。當某個脆弱的資源的價值越高，且成功攻擊的概率越大時，風險就越高；反之，當某個脆弱資源的價值越低，且成功攻擊的概率越小時，風險就越低。攻擊就是安全威脅的具體實施。計算機網(wǎng)絡的發(fā)展，使信息的共享應用日益廣泛與深入。在短短的幾年里，發(fā)生了多起危害計算機網(wǎng)絡的安全事件，必須采取有力的措施來保護計算機網(wǎng)絡的安全。近幾年國內(nèi)外很多著名站點被黑客惡意修改，在社會上造成許多不良的影響，也給這些站點的運維者帶來了巨大的經(jīng)濟損失。計算機犯罪率的迅速增加，使各國的計算機系統(tǒng)特別是網(wǎng)絡系統(tǒng)面臨著很大的威脅，并成為嚴重的社會問題之一。近年來，計算機犯罪案件也急劇上升，計算機犯罪已經(jīng)成為普遍的國際性問題?？煽匦灾笇π畔⒌膫鞑ゼ皟?nèi)容具有控制能力隨著網(wǎng)絡的快速普及，網(wǎng)絡以其開放、共享的特性對社會的影響也越來越大，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。網(wǎng)絡安全、信息安全和系統(tǒng)安全的研究領域是相互交叉和緊密相連的。避免攻擊者利用系統(tǒng)的安全漏洞進行竊聽、冒充和詐騙等有損于合法用戶的行為。它側(cè)重于保證系統(tǒng)正常的運行，避免因為系統(tǒng)的崩潰和損壞而對系統(tǒng)存儲、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄露產(chǎn)生信息泄露，干擾他人（或受他人干擾），本質(zhì)上是保護系統(tǒng)的合法操作和正常運行。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免其通過網(wǎng)絡泄露，避免由于這類信息的泄密對社會產(chǎn)生危害，對國家造成巨大的經(jīng)濟損失，甚至威脅到國家安全。從廣義上來說，凡是涉及網(wǎng)絡上的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網(wǎng)絡安全所要研究的領域。本章首先從網(wǎng)絡安全的基礎知識出發(fā)，介紹了網(wǎng)絡安全的定義和特征；接著總結了威脅網(wǎng)絡安全的主要因素。第4章 Snort 介紹 13 Snort 體系結構 13 Snort 規(guī)則 14 實驗內(nèi)容與步驟 14 Windows 平臺下Snort 的安裝與配置 14 Windows 平臺下Snort的使用 16總結 22參考文獻 23第1章 網(wǎng)絡安全概述 隨著計算機網(wǎng)絡技術在各領域的普遍應用，現(xiàn)代社會的人們對于信息網(wǎng)絡的依賴性正與日俱增。為確保信息的安全與網(wǎng)絡暢通，研究計算機網(wǎng)絡的安全與防護措施已迫在眉捷。圖表整潔，布局合理，文字注釋必須使用工程字書寫，不準用徒手畫3）畢業(yè)論文須用A4單面打印，論文50頁以上的雙面打印4）圖表應繪制于無格子的頁面上5）軟件工程類課題應有程序清單，并提供電子文檔1）設計（論文）2）附件：按照任務書、開題報告、外文譯文、譯文原文（復印件）次序裝訂摘要由于計算機技術的飛速發(fā)展，計算機網(wǎng)絡的應用也越來越廣泛。涉密論文按學校規(guī)定處理。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構的學位或?qū)W歷而使用過的材料。除了文中特別加以標注引用的內(nèi)容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。本人授權　　 　 　大學可以將本學位論文的全部或部分內(nèi)容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。、圖表要求：1）文字通順，語言流暢，書寫字跡工整，打印字體及大小符合要求，無錯別字，不準請他人代寫2）工程設計類題目的圖紙，要求部分用尺規(guī)繪制，部分用計算機繪制，所有圖紙應符合國家技術標準規(guī)范。 　　近