【正文】 析和檢測(cè)IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。Snort遵循GPL，所以任何企業(yè)、個(gè)人、組織都可以免費(fèi)使用它作為自己的NIDS。一個(gè)網(wǎng)絡(luò)嗅探器使應(yīng)用程序或者硬件設(shè)備能夠監(jiān)聽(tīng)網(wǎng)絡(luò)上的數(shù)據(jù)流。 當(dāng)數(shù)據(jù)通過(guò)檢測(cè)引擎后，Snort會(huì)對(duì)其數(shù)據(jù)進(jìn)行不同的處理。這些規(guī)則集按照不同的類別進(jìn)行分類，如木馬、緩沖區(qū)溢出、訪問(wèn)不同的應(yīng)用程序等，并進(jìn)行定期的更新。其語(yǔ)義如下： ①alert：使用設(shè)定的警告方法生成警告信息，并記錄這個(gè)報(bào)文。 ⑶方向操作符（Direction）：指示規(guī)則所適用的流量方向。2。一些子網(wǎng)掩碼： ①如果子網(wǎng)掩碼是24位，它是一個(gè)C類網(wǎng)絡(luò)。選項(xiàng)關(guān)鍵字2:選項(xiàng)參數(shù)。 ipoption 檢查ip頭的option域。 contentlist – 在數(shù)據(jù)包中搜索多種可能匹配。 icmp_seq 檢查ICMP ECHO 順序號(hào)的值。 priority 規(guī)則的優(yōu)先級(jí)。1。同時(shí)，snort規(guī)則庫(kù)文件中的不同規(guī)則可以認(rèn)為組成了一個(gè)大的邏輯或（OR）語(yǔ)句。這個(gè)過(guò)程相對(duì)復(fù)雜，尤其要注意的是命令的輸入，有時(shí)因?yàn)橐粋€(gè)空格的缺失就要反復(fù)進(jìn)行配置。Snort。設(shè)置代碼如下：var EXTERNAL_NET anyvar EXTERNAL_NET !$HOME_NET ⑷定義哪些服務(wù)器上運(yùn)行了哪些服務(wù)程序。同前面定義服務(wù)類似，命令將使Snort只關(guān)注對(duì)這個(gè)端口的攻擊。下面一段是允許為資源有限的系統(tǒng)配置偵測(cè)引擎，在本實(shí)驗(yàn)中無(wú)需改動(dòng)。這里有些規(guī)則默認(rèn)為不起作用，如chat。0。數(shù)據(jù)包內(nèi)部信息用ASCII顯示出，對(duì)于數(shù)據(jù)包內(nèi)容的分析可用專門(mén)的分析軟件進(jìn)行，在本實(shí)例中使用了wireshark對(duì)已知數(shù)據(jù)包進(jìn)行分析。使用Wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析，包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。所有的異常檢測(cè)方法應(yīng)用于實(shí)際都不可能捕獲到所發(fā)生的每次異常，也不可能完全阻止異常的發(fā)生，任何一種異常檢測(cè)系統(tǒng)都有局限性。任何一種偵聽(tīng)服務(wù)都可能成為被攻擊的對(duì)象，一些驅(qū)動(dòng)攻擊甚至可以針對(duì)某個(gè)并沒(méi)有開(kāi)啟相應(yīng)服務(wù)的端口發(fā)起攻擊。杜老師一絲不茍的作風(fēng)，嚴(yán)謹(jǐn)求實(shí)的態(tài)度，踏踏實(shí)實(shí)的精神，不僅授我以文，而且教我做人，雖歷時(shí)數(shù)月，卻給以終生受益無(wú)窮之道。參考文獻(xiàn)[1] ：電子工業(yè)出版社，2009.[2] Roy A E Feather A Case Study of Ethernet Anomalies in Distributed Computing Environment 1990(04) ．[3] 鄒柏賢．網(wǎng)絡(luò)流量異常檢測(cè)與預(yù)測(cè)方法研究．．[4] 盧泉．IP網(wǎng)絡(luò)性能的測(cè)量與分析．廣東通信技術(shù)．2002,22(6):2125．[5] 蔡偉祥，張凌，寧國(guó)寧．流量采集在網(wǎng)絡(luò)性能監(jiān)測(cè)與分析系統(tǒng)中的改進(jìn)和實(shí)現(xiàn)．計(jì)算機(jī)工程．2003，29(15)：58—59．[6] 羅守山. ：北京郵電大學(xué)出版社，2003．[7] 胡昌振. ：北京理工大學(xué)出版社， 2006．[8] 斯托林斯(Stallings．w)．密碼編碼學(xué)與網(wǎng)絡(luò)安全．北京：電子工業(yè)出版社，2006．[9] 孫建華．Linux網(wǎng)絡(luò)技術(shù)基礎(chǔ) ．北京：機(jī)械工業(yè)出版社, 2008．[10] 阮耀平，易江波，趙戰(zhàn)生．計(jì)算機(jī)入侵檢測(cè)系統(tǒng)模型與方法．計(jì)算機(jī)工程,1999(9):6365．[11] Miller．M著．曾國(guó)平等譯 ．Linux教程：Windows用戶轉(zhuǎn)向Linux的12個(gè)步驟．北京：機(jī)械工業(yè)出版社，2002．[12] 張國(guó)權(quán)．基于模式匹配和協(xié)議分析的NIDS研究和設(shè)計(jì)．大連：大連理工大學(xué)，2006．12．[13] 楊策，張永智，龐正社．網(wǎng)絡(luò)流量監(jiān)測(cè)技術(shù)及性能分析．空軍工程大學(xué)學(xué)報(bào)．2003．[14] Debar H,Curry D,Feinstein B．The intrusion detection message exchange format[OL]. January 2005,expires July 31,2005．[15] Lee W, Sal Stolfo, Kui Mok．A data mining framework for building intrusion detection models: proceedings of the 1999 IEEE Symposium on Security and Privacy[C],Oakland,CA,1999．[16] 王超．計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)．成都：電子科技大學(xué)，2007．4．[17] 胡華平，陳海濤，黃辰林等．入侵檢測(cè)系統(tǒng)研究現(xiàn)狀及發(fā)展趨勢(shì)．計(jì)算機(jī)工程與科學(xué)，2001．致謝在本文即將完稿之時(shí)，我要感謝很多直接或者間接幫助過(guò)我的人。大多數(shù)情況下，異常檢測(cè)系統(tǒng)并不能阻止持續(xù)的異常發(fā)生，其功能主要是檢測(cè)和預(yù)警．而大多數(shù)情況下異常檢測(cè)系統(tǒng)也不會(huì)自動(dòng)解決網(wǎng)絡(luò)異常情況，這也是之前提到的，網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)只能是網(wǎng)絡(luò)防御系統(tǒng)，如防火墻、反病毒軟件等產(chǎn)品的一個(gè)補(bǔ)充，而不能完全取代他們的重要原因。6 總結(jié)雖然網(wǎng)絡(luò)異常檢測(cè)系統(tǒng)能夠監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析，并在匹配到可疑的特征時(shí)進(jìn)行報(bào)警。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。在下面的界面中可以看到發(fā)出攻擊的大概情況。5．2 測(cè)試Snort 前面對(duì)Snort的配置做的修改，有些配置的修改可能會(huì)影響到Snort的正常啟動(dòng)，在將Snort作為入侵檢測(cè)工具正式啟用前，首先要測(cè)試Snort工作是否正常。info警告。 ⑹在本地打開(kāi)Snort規(guī)則：snort –c/etc/snort/rules ⑺配置RULE_PATH變量，指示規(guī)則的存儲(chǔ)位置，規(guī)則用于觸發(fā)事件。設(shè)置代碼如下：var DNS_SERVERS $HOME_NETvar HTTP_SERVERS 172。18。刪除HOME_NET行前的“”，設(shè)置HOME_NET變量。 由于Ubuntu是Debian系的Linux，安裝軟件非常簡(jiǎn)單。只有組成規(guī)則的各個(gè)元素都為真時(shí)才能觸發(fā)相應(yīng)的操作，規(guī)則內(nèi)部限制數(shù)據(jù)包的各元素的關(guān)系是邏輯與；同時(shí)規(guī)則庫(kù)中的各條規(guī)則之間的關(guān)系可以被認(rèn)為一個(gè)大的邏輯或，只要有一條規(guī)則被匹配，即認(rèn)為發(fā)生了入侵。 stateless 無(wú)狀態(tài)連接。 reference 外部參考id。 itype 檢查icmp type的值。如同病毒，入侵者的行為也通常會(huì)在數(shù)據(jù)包中表現(xiàn)某種特征，關(guān)鍵字content就使用來(lái)發(fā)現(xiàn)這些特征的。 logto 把包記錄到用戶指定的文件中而不是記錄到標(biāo)準(zhǔn)輸出。 根據(jù)CIDR的支持，可以用任何位數(shù)的掩碼。0，其子網(wǎng)掩碼是255。目的地址必須用CIDR表示法表示。 ⑤dynamic：等待被一個(gè)對(duì)應(yīng)的activate規(guī)則激活，然后進(jìn)行l(wèi)og。Snort使用特定的語(yǔ)法來(lái)定義這些規(guī)則。日志可以存儲(chǔ)在文本文件中。一旦數(shù)據(jù)包被確認(rèn)具有某些特定行為，就會(huì)被送到檢測(cè)模塊。而Snort架構(gòu)由以下4個(gè)基本模塊構(gòu)成： ⑴嗅探器 ⑵預(yù)處理器 ⑶檢測(cè)引擎 ⑷輸出模塊 Snort的最簡(jiǎn)單形式就是包嗅探器，但當(dāng)Snort獲取到數(shù)據(jù)包后會(huì)將數(shù)據(jù)包傳送到與處理模塊，然后通過(guò)檢測(cè)引擎判斷這些數(shù)據(jù)包是否違反了某些預(yù)定義規(guī)則[9]。 ⑸Snort有很好的擴(kuò)展性，由于其規(guī)則描述語(yǔ)言簡(jiǎn)單，能夠快速對(duì)新的網(wǎng)絡(luò)攻擊作出反應(yīng)。事件數(shù)據(jù)庫(kù)存放各種中間和最終數(shù)據(jù)，響應(yīng)單元根據(jù)警告信息做出反應(yīng)，是入侵檢測(cè)系統(tǒng)中的主動(dòng)武器。從功能邏輯上講，入侵檢測(cè)系統(tǒng)由探測(cè)器（Sensor）、分析器(Analyzer)、用戶接口（User Interface）組成。具體來(lái)說(shuō)入侵檢測(cè)系統(tǒng)的主要功能可分為： 1）檢測(cè)并分析用戶和系統(tǒng)活動(dòng)。入侵檢測(cè)系統(tǒng)在功能結(jié)構(gòu)上基本一致，由數(shù)據(jù)采集、數(shù)據(jù)分析及用戶界面等組成，不同的入侵檢測(cè)系統(tǒng)只是在分析采集數(shù)據(jù)方法及數(shù)據(jù)類型等方面有所不同。美國(guó)國(guó)際計(jì)算機(jī)安全協(xié)會(huì)（ICSA）將入侵檢測(cè)定義為：通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。 開(kāi)放的源代碼為實(shí)現(xiàn)Linux 主機(jī)安全系統(tǒng)提供了極大的方便———能夠獲得系統(tǒng)調(diào)用的充分信息。雖然防火墻提供了較強(qiáng)的防護(hù)能力，但它仍有著局限性。常用的口令破解手段有暴力破解、利用協(xié)議或命令的漏洞、植入木馬等。 2）特洛伊木馬：該黑客軟件能把程序的服務(wù)器端植入目標(biāo)主機(jī)中，通過(guò)目標(biāo)主機(jī)上的客戶端程序徹底控制目標(biāo)主機(jī)。為保證信息的安全可靠，除了運(yùn)用法律和管理等手段，更需要依靠技術(shù)方法實(shí)現(xiàn)，先進(jìn)的技術(shù)是實(shí)現(xiàn)信息安全的有力保障。 在一個(gè)實(shí)用的入侵檢測(cè)系統(tǒng)中, 最重要的部分是檢測(cè)方法,也就是采用什么技術(shù)進(jìn)行入侵行為檢測(cè)。通常來(lái)說(shuō)入侵檢測(cè)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的過(guò)程，具有智能監(jiān)控、實(shí)時(shí)探測(cè)、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)[6]。近年來(lái)，入侵檢測(cè)技術(shù)以其強(qiáng)有力的安全保護(hù)功能進(jìn)入了人們的視野，也在研究領(lǐng)域形成了熱點(diǎn)。其優(yōu)點(diǎn)是：可以進(jìn)行用戶認(rèn)證，方便地確認(rèn)用戶的訪問(wèn)權(quán)限，安全可靠。網(wǎng)絡(luò)流量測(cè)量有5個(gè)要素：測(cè)量時(shí)間、測(cè)量對(duì)象、測(cè)量目的、測(cè)量位置和測(cè)量方法。一些對(duì)象是網(wǎng)絡(luò)設(shè)備必須提供的，作為強(qiáng)制型對(duì)象組，另一些對(duì)象只在某些設(shè)備才用到。 另外，還有以下方法[5]： (1)Sniffer，Sniffer是局域網(wǎng)上的抓包技術(shù)。采用這種方式的工具有Ping ，Traceroute，Pathchar，Nettimer等。采用主動(dòng)方法監(jiān)測(cè)時(shí)可以從傳輸層和網(wǎng)絡(luò)層進(jìn)行。它是指監(jiān)測(cè)者被動(dòng)地采集網(wǎng)絡(luò)中現(xiàn)有的標(biāo)志性數(shù)據(jù)以了解網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。網(wǎng)絡(luò)流量檢測(cè)是一個(gè)從網(wǎng)絡(luò)設(shè)備上采集數(shù)據(jù)、解碼數(shù)據(jù)、分析數(shù)據(jù)的過(guò)程。1．4 本課題的研究?jī)?nèi)容 本文主要討論了對(duì)網(wǎng)絡(luò)流量異常和網(wǎng)絡(luò)入侵異常的檢測(cè)方法，著重于網(wǎng)絡(luò)入侵異常的檢測(cè)方法，最后利用Snort軟件在Linux系統(tǒng)中搭建了一個(gè)入侵檢測(cè)系統(tǒng)并分析其結(jié)果。1．3 網(wǎng)絡(luò)異常檢測(cè)的研究現(xiàn)狀 目前，在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)異常監(jiān)測(cè)方面，主要有兩種途徑： 1)網(wǎng)絡(luò)流量異常檢測(cè)技術(shù)，通過(guò)對(duì)網(wǎng)絡(luò)流量的規(guī)律進(jìn)行研究實(shí)現(xiàn)異常檢測(cè)。因此，做好校園網(wǎng)絡(luò)的管理工作具有非常重要的意義。98億人，較2007年增長(zhǎng)41。關(guān)鍵詞： 異常檢測(cè)；網(wǎng)絡(luò)流量異常；網(wǎng)絡(luò)入侵異常；SnortABSTRACTAlong with the ing of the information ages．the network began to developrapidly．Various new services have been increasing so continuously that the networkdetection is facing serious challenges．The process of network detection is to collect the data which indicate the running status of the network and dev