【正文】 首先，我要特別感謝我的畢設(shè)導(dǎo)師杜老師，正是有了他的悉心指導(dǎo)本文最終得以圓滿完成。一個(gè)典型的Snort安裝非常容易受到攻擊，攻擊對(duì)象包括Snort本身或其所在的操作系統(tǒng)。盡管異常檢測(cè)系統(tǒng)可以從一個(gè)網(wǎng)段內(nèi)的多臺(tái)設(shè)備上收集數(shù)據(jù)，但它并不知道攻擊是如何在各個(gè)機(jī)器之間擴(kuò)散的或網(wǎng)絡(luò)上各臺(tái)服務(wù)器的重要性。首先將數(shù)據(jù)包文件導(dǎo)入，如圖5．1。5．3．2 Snort運(yùn)行過程 在啟動(dòng)Snort后，入侵檢測(cè)的過程就開始了。conf 如果出現(xiàn)一個(gè)用ASCII字符畫出的小豬，那么Snort工作就正常了，可以使用Ctrl+C退出；如果Snort異常退出，就需要查明安裝軟件和修改配置的正確性了。比如在本實(shí)驗(yàn)中，運(yùn)行Snort時(shí)遇到錯(cuò)誤，提示了“Unknown rule type:dynamicpreprocessor directory”，經(jīng)查發(fā)現(xiàn)是是由于Snort未配置使用動(dòng)態(tài)加載處理機(jī)，只需用“”注釋掉加載處理機(jī)相關(guān)兩行就可以了。/rules ⑻接下來一段內(nèi)容被注釋掉了，是對(duì)一些不常見的通信的監(jiān)測(cè)。148。152/16 ⑶設(shè)置EXTERNAL_NET變量。HOME_NET變量定義了哪些網(wǎng)絡(luò)是受信的內(nèi)部網(wǎng)絡(luò)。要安裝的不僅有Snort，還有Snort規(guī)則集。rules文件中。4．3．4 一個(gè)簡(jiǎn)單的規(guī)則范例 alert tcp any any 192。 rev 規(guī)則的修正號(hào)。 session 記錄指定會(huì)話的應(yīng)用層信息的內(nèi)容。 depth content選項(xiàng)的修飾符，設(shè)定搜索的最大深度。 tos 檢查ip頭的tos域的值。雖然規(guī)則選項(xiàng)對(duì)于Snort規(guī)則定義而言不是必需的，但實(shí)際上規(guī)則選項(xiàng)是Snort檢測(cè)規(guī)則的核心部分，其設(shè)計(jì)將易用性和檢測(cè)性能以及靈活性結(jié)合了起來。255。比如192。當(dāng)某種攻擊發(fā)生后需要記錄兩個(gè)或多個(gè)包時(shí)，activate規(guī)則激活對(duì)應(yīng)的dynamic規(guī)則記錄后繼的若干個(gè)包。4．3．2 規(guī)則頭 規(guī)則頭定義了規(guī)則的行為（Action）、所匹配網(wǎng)絡(luò)包的協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口等信息，其作用主要是定義網(wǎng)絡(luò)數(shù)據(jù)包分組中的報(bào)頭路由特征。另外，Snort報(bào)警可以通過系統(tǒng)日志工具如SWATCH發(fā)送電子郵件及時(shí)通知系統(tǒng)管理員，是系統(tǒng)不需要由專人24小時(shí)監(jiān)控[11]。 檢測(cè)引擎接收預(yù)處理器及其插件穿送來的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對(duì)數(shù)據(jù)進(jìn)行檢測(cè)。插件就是符合Snort接口定義的程序，這些程序曾經(jīng)是Snort內(nèi)核代碼的一部分，現(xiàn)在獨(dú)立出來使內(nèi)核部分的修改變得簡(jiǎn)單可靠。 ⑺Snort的可移植性好，它有極佳的跨平臺(tái)性，支持Linux, Solaris, BSD, IRIX, HPUX, Windows系列，ScoOpenserver, Unixware等[9]。另外，它也可以用來截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。 ⑵基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：主要用戶保護(hù)整個(gè)網(wǎng)絡(luò)不被破壞。 3）評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。E。通常來說入侵檢測(cè)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的過程，具有智能監(jiān)控、實(shí)時(shí)探測(cè)、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)。但開放的源代碼也為黑客攻擊提供了方便，攻擊者可以利用Linux系統(tǒng)的安全漏洞而獲得超級(jí)用戶權(quán)限，從而達(dá)到控制root 系統(tǒng)的目的，這些攻擊者利用系統(tǒng)的漏洞侵入以后，通常都是通過非法執(zhí)行一些敏感的系統(tǒng)調(diào)用來完成攻擊[9]。由此可看出，作為對(duì)防火墻技術(shù)的補(bǔ)充，入侵檢測(cè)的動(dòng)態(tài)防護(hù)特點(diǎn)足以成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的新的解決策略。而我們常見的多是針對(duì)于電子商務(wù)、網(wǎng)上銀行、企業(yè)協(xié)作、交易管理等網(wǎng)站的黑客攻擊，但目前絕大多數(shù)企業(yè)并沒有為自己的應(yīng)用程序、網(wǎng)站和服務(wù)器采取更加深入且有效的安全措施，如防火墻、入侵檢測(cè)等功能。 4）拒絕服務(wù)攻擊：惡意造成拒絕服務(wù)，造成目標(biāo)系統(tǒng)無法正常工作或癱瘓，或造成網(wǎng)絡(luò)阻塞。網(wǎng)絡(luò)信息安全主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。只有加深對(duì)入侵檢測(cè)方法的研究才能使入侵檢測(cè)技術(shù)及相關(guān)領(lǐng)域有更快更好的發(fā)展，研究核心的入侵檢測(cè)方法將是十分有意義和效果的。作為一種積極主動(dòng)的安全防護(hù)方式，入侵檢測(cè)系統(tǒng)不僅是防火墻有效的補(bǔ)充，還可以使系統(tǒng)管理員實(shí)時(shí)的了解網(wǎng)絡(luò)系統(tǒng)中的各種變化，并根據(jù)記錄的各種監(jiān)控?cái)?shù)據(jù)（如日志文件等）做出分析，為網(wǎng)絡(luò)安全策略的制定提供指南?，F(xiàn)有的網(wǎng)絡(luò)安全策略主要有物理隔離、數(shù)據(jù)加密、信息隱藏、防火墻、身份識(shí)別和認(rèn)證、入侵檢測(cè)等?；诒O(jiān)聽的方式指在共享介質(zhì)網(wǎng)絡(luò)中，流經(jīng)這網(wǎng)絡(luò)的任何數(shù)據(jù)包均可以由這一網(wǎng)段監(jiān)聽并接收下來，服務(wù)器的硬件配置要求應(yīng)高一些，以避免不能及時(shí)處理監(jiān)聽到的數(shù)據(jù)包。流量數(shù)據(jù)的采集是整個(gè)系統(tǒng)的基礎(chǔ)，目前流量數(shù)據(jù)的獲取一般有三種方式：基于路由器的方式、基于代理機(jī)制方式和基于監(jiān)聽方式。采集SNMP MIB中的數(shù)據(jù)，可以得到網(wǎng)絡(luò)設(shè)備的各種統(tǒng)計(jì)信息。Sniffer通過把網(wǎng)卡設(shè)成混雜模式，使主機(jī)接收所有到達(dá)的信息包。這種方法的監(jiān)測(cè)不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行造成影響。因?yàn)門CP是面向連接的，所以測(cè)試TCP的性能能夠反映發(fā)送端與接收端的端與端之間的性能參數(shù)，如重傳個(gè)數(shù)、建立和關(guān)閉TCP連接的時(shí)間、平均段大小、吞吐率等。被動(dòng)方式實(shí)時(shí)性差，但測(cè)量準(zhǔn)確，且不會(huì)對(duì)網(wǎng)絡(luò)性能造成影響。這些數(shù)據(jù)對(duì)網(wǎng)絡(luò)的資源分布、容量規(guī)劃、服務(wù)質(zhì)量分析、錯(cuò)誤監(jiān)測(cè)與隔離、安全管理都十分重要。 第二章：對(duì)網(wǎng)絡(luò)異常檢測(cè)的一個(gè)方面——網(wǎng)絡(luò)流量異常檢測(cè)做了詳細(xì)的探究，討論了現(xiàn)在網(wǎng)絡(luò)流量異常檢測(cè)方法的主要方向，并分析了各方法所用的部分軟件。2)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，違反安全策略的行為有入侵和濫用。網(wǎng)絡(luò)異常監(jiān)測(cè)的目的是通過對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)運(yùn)行狀況的連續(xù)監(jiān)測(cè)，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，并發(fā)出報(bào)警通知，以提醒網(wǎng)管人員采取必要的措施。報(bào)告中的數(shù)據(jù)說明，網(wǎng)絡(luò)正滲透到人們生活、工作和學(xué)習(xí)的各個(gè)方面，起著越來越重要的作用。 network traffic anomalies。隨著而來的是各種網(wǎng)絡(luò)問題也相繼出現(xiàn)，給網(wǎng)絡(luò)檢測(cè)帶來更大的挑戰(zhàn)。在深入研究入侵檢測(cè)方法的基礎(chǔ)上，對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)Snort的特性、功能及規(guī)則進(jìn)行了全面詳細(xì)的研究，并在Linux系統(tǒng)環(huán)境下借助Snort搭建了一個(gè)典型的入侵檢測(cè)系統(tǒng)作為具體實(shí)例。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心(CNNIC)于2009年1月發(fā)布的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》[1]顯示：截止到2008年底，我國(guó)上網(wǎng)用戶總?cè)藬?shù)為2。小區(qū)網(wǎng)作為一種大型局域網(wǎng)，擁有大量的居民用戶，擔(dān)負(fù)著為他們提供各種服務(wù)的責(zé)任和義務(wù)。網(wǎng)絡(luò)異常通常意味著網(wǎng)絡(luò)的性能或流量等出現(xiàn)異常。通過上述分析， 本文將研究重點(diǎn)放在了第二種方法上。盡管相關(guān)的組網(wǎng)與管理技術(shù)在不斷地完善，但是互聯(lián)網(wǎng)絡(luò)體系結(jié)構(gòu)的不斷復(fù)雜化，也使得人們對(duì)它在局部和整體范圍內(nèi)所體現(xiàn)出的行為特征依然沒有一個(gè)正確和完整的認(rèn)識(shí)，并使得人們對(duì)網(wǎng)絡(luò)的運(yùn)行控制、管理維護(hù)、分析設(shè)計(jì)日趨困難，因此網(wǎng)絡(luò)行為研究應(yīng)運(yùn)而生。 2)被動(dòng)(Passive)方式。然而由于性能實(shí)際上受多種因素的影響(如流量模式，包長(zhǎng)分布、服務(wù)類型等)，所以這種測(cè)量并不準(zhǔn)確，不一定能反映實(shí)際網(wǎng)絡(luò)數(shù)據(jù)的性能，而且會(huì)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性能造成影響。網(wǎng)絡(luò)層性能測(cè)量，是通過發(fā)送探測(cè)包來探測(cè)發(fā)送端與接收端之間路徑上的性能參數(shù)。但是，很多應(yīng)用程序并沒有采用ARM API來編碼。 (2)SNMP MIB，它定義了一系列對(duì)象組。2．3 網(wǎng)絡(luò)性能參數(shù)的采集方法網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)主要涉及網(wǎng)絡(luò)性能的測(cè)量參數(shù)的選取、測(cè)量指標(biāo)的確定、具體參數(shù)的測(cè)量方法(包括測(cè)量點(diǎn)的布置，測(cè)量結(jié)果的采樣方法等)、網(wǎng)絡(luò)性能的評(píng)測(cè)方法、網(wǎng)絡(luò)性能的控制與調(diào)整策略等內(nèi)容。無論外界訪問內(nèi)部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)訪問外界，都必須在工作站上有相應(yīng)的代理進(jìn)程代理其活動(dòng)。傳統(tǒng)的加密和防火墻技術(shù)等被動(dòng)防范技術(shù)已經(jīng)不能完全滿足現(xiàn)今的安全需要，想要保證網(wǎng)絡(luò)信息和網(wǎng)絡(luò)秩序的安全，就必須要更強(qiáng)有力和更完善的安全保護(hù)技術(shù)。入侵檢測(cè)系統(tǒng)（IDS,Intrusion Detection System）可以識(shí)別針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或更廣泛意義上的信息系統(tǒng)的非法攻擊，包括檢測(cè)外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法行動(dòng)。Snort可以提供協(xié)議分析、內(nèi)容查找和匹配，可以用它來檢測(cè)各種攻擊和探測(cè)，如緩沖區(qū)溢出、隱蔽端口掃描、CGI攻擊、SMB探測(cè)、操作系統(tǒng)指紋識(shí)別常識(shí)等[7]。信息安全所導(dǎo)致的損失不僅是指信息自身價(jià)值所遭受的損失，更多的是其可能造成的其它方面的更大損失。目前網(wǎng)絡(luò)和計(jì)算機(jī)所面臨的主要安全威脅有： 1）病毒：可引起計(jì)算機(jī)或網(wǎng)絡(luò)故障，破壞計(jì)算機(jī)數(shù)據(jù)或影響網(wǎng)絡(luò)正常服務(wù)，如蠕蟲病毒、郵件病毒、病毒、手機(jī)病毒等。 9）口令破解：攻擊者若通過一定手段取得用戶口令，提升權(quán)限進(jìn)入目標(biāo)系統(tǒng)，對(duì)目標(biāo)主機(jī)進(jìn)行完全控制。而動(dòng)態(tài)的安全技術(shù)應(yīng)該是增強(qiáng)了主動(dòng)的檢測(cè)能力，在于其主動(dòng)性，目前采用的一些傳統(tǒng)的安全機(jī)制主要有： 1）數(shù)據(jù)加密技術(shù) 2）訪問控制技術(shù) 4）認(rèn)證技術(shù) 5）數(shù)據(jù)完整性控制技術(shù) 6）安全漏洞掃描技術(shù) 7）防火墻技術(shù) 其中的防火墻技術(shù)是防范網(wǎng)絡(luò)攻擊最常用的方法，即在用戶網(wǎng)絡(luò)和因特網(wǎng)之間插入了一個(gè)中間系統(tǒng)，形成了一個(gè)安全屏障，將用戶網(wǎng)絡(luò)和因特網(wǎng)分割開。由此，Linux系統(tǒng)的安全問題也日益成為人們關(guān)注的焦點(diǎn)。作為傳統(tǒng)安全機(jī)制的補(bǔ)充，入侵檢測(cè)技術(shù)不再是被動(dòng)的對(duì)入侵行為進(jìn)行識(shí)別和防護(hù)，而是能夠提出預(yù)警并實(shí)行相應(yīng)反應(yīng)動(dòng)作。一般來講就是通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測(cè)入侵活動(dòng)的系統(tǒng)。一個(gè)入侵檢測(cè)系統(tǒng)能夠完成監(jiān)控分析用戶和系統(tǒng)活動(dòng)，發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象，記錄、報(bào)警和響應(yīng)等。減少入侵攻擊過程帶來損失，在入侵后收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識(shí)加入知識(shí)庫(kù)，增強(qiáng)系統(tǒng)防范能力。事件分析器接收事件并進(jìn)行分析，判斷為入侵行為或異?，F(xiàn)象后轉(zhuǎn)換為警告信息。 ⑷Snort的日志格式可以是tcp dump式的二進(jìn)制格式，也可以解碼成ASCⅡ字符形式，便于用戶尤其是新手檢查。Snort的架構(gòu)決定了它的各種功能，構(gòu)架圖見圖41所示。 預(yù)處理器得到原始數(shù)據(jù)包，使用不同的插件檢測(cè)數(shù)據(jù)包，這些插件檢測(cè)數(shù)據(jù)包的某些特定行為。也可以使用Snort的一些附加工具來通過Web接口顯示日志內(nèi)容，包括一些perl、PHP和Web服務(wù)器的插件等。 ⑵規(guī)則可選項(xiàng)：可選項(xiàng)中指定了數(shù)據(jù)包中規(guī)則匹配的具體內(nèi)容。 ④activate：進(jìn)行alert，然后激活對(duì)應(yīng)的一個(gè)dynamic規(guī)則?？梢杂藐P(guān)鍵字any來指定所有的地址。2。 ④表示一個(gè)主機(jī)用32位掩碼。一些基本的選項(xiàng)類型如下： msg 在報(bào)警和包日志中打印一個(gè)消息。 content 在包的數(shù)據(jù)部分中搜索指定的樣式；Snort的一個(gè)重要特征就是它可以在包的里面發(fā)現(xiàn)數(shù)據(jù)特征，這些特征可能以ASCII字符的形式出現(xiàn)，也可能是16進(jìn)制字符所表示的二進(jìn)制數(shù)據(jù)。 ack 檢查tcp應(yīng)答（acknowledgement）的值。 resp 主動(dòng)反應(yīng)（切斷連接等）。 sameip 源地址和目標(biāo)地址相同。)上例中，括號(hào)左邊部分為規(guī)則頭，括號(hào)里面部分為規(guī)則選項(xiàng)，規(guī)則選項(xiàng)中冒號(hào)前的部分稱為選項(xiàng)關(guān)鍵字（Option Keyword），規(guī)則選項(xiàng)并不是任何規(guī)則都必需的，它只是用來明確地定義表示的是某種