freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

第四章入侵檢測(cè)技術(shù)(編輯修改稿)

2024-11-16 11:33 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 用作入侵檢測(cè)系統(tǒng),還可以用作嗅探器和包記錄器。 ?基于 libpcap的輕量級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) ?可支持多種操作系統(tǒng)平臺(tái): Windows、 Linux、 Solaris、 FreeBSD等 使用 Snort搭建 NIDS——Snort簡(jiǎn)介( 2) 解碼器: 負(fù)責(zé)從網(wǎng)絡(luò)接口上獲取數(shù)據(jù)包。 檢測(cè)引擎: 該子系統(tǒng)是 Snort工作在入侵檢測(cè)模式下的核心部分,它使用基于規(guī)則匹配的方式來(lái)檢測(cè)每個(gè)數(shù)據(jù)包。一旦發(fā)現(xiàn)數(shù)據(jù)包的特征符合某個(gè)規(guī)則定義,則觸發(fā)相應(yīng)的處理操作。 日志警報(bào)子系統(tǒng): 規(guī)則中定義了數(shù)據(jù)包的處理方式,包括 alter(報(bào)警)、 log(記錄)和 pass(忽略)等,但具體的 alter和 log操作則是由日志 /警報(bào)子系統(tǒng)完成的。日志子系統(tǒng)將解碼得到的信息以 ASCII碼的格式或以 tcpdump的格式記錄下來(lái),報(bào)警子系統(tǒng)將報(bào)警信息發(fā)送到 syslog、 socket或數(shù)據(jù)庫(kù)中。 預(yù)處理器: 可選部件,用于提供除規(guī)則匹配外的檢測(cè)機(jī)制。 輸出插件: 可選部件。用來(lái)格式化警報(bào)信息。使得管理員可以按照公司環(huán)境來(lái)配置容易理解、使用和查看的報(bào)警和日志方法。 解碼器 預(yù)處理器 檢測(cè)引擎 輸出插件 日志 /警報(bào)子系統(tǒng) Snort的組成結(jié)構(gòu) 使用 Snort搭建 NIDS——Snort簡(jiǎn)介( 3) Snort入侵檢測(cè)流程 ? Snort利用 libpcap進(jìn)行抓包; ? 由解碼器將捕獲的數(shù)據(jù)包信息填入包結(jié)構(gòu)體,并將其送到各式各樣的預(yù)處理器中; ? 對(duì)于那些用于檢測(cè)入侵的預(yù)處理器來(lái)說(shuō),一旦發(fā)現(xiàn)入侵行為,將直接調(diào)用輸出插件或者日志 /警報(bào)子系統(tǒng)進(jìn)行輸出; ? 對(duì)于那些用于包重組和協(xié)議解碼的預(yù)處理器來(lái)說(shuō),它們會(huì)將處理后的信息送往檢測(cè)引擎; ? 檢測(cè)引擎對(duì)數(shù)據(jù)包的特征及內(nèi)容進(jìn)行檢查,一旦檢測(cè)到與已知規(guī)則匹配的數(shù)據(jù)包,或者利用輸出插件進(jìn)行輸出,或者利用日志 /警報(bào)子系統(tǒng)進(jìn)行報(bào)警和記錄。 Snort的使用 嗅探模式 : /usr/local/snort/bin/snort –vde 包記錄模式: ./snort dev l /var/log/snort ./snort dev r /var/log/snort/ icmp 入侵檢測(cè)模式 ./snort dev l /var/log/snort c /path/to/ ./snort d h /path/to/ 使用 Snort搭建 NIDS——Snort的安裝與配置 僅安裝 Snort ?捕獲到的入侵檢測(cè)數(shù)據(jù)以文本或者二進(jìn)制的形式保存在文件中,用戶在審計(jì)階段不得不面對(duì)大量的日志和警報(bào)信息 與其它軟件配合使用 ?允許用戶把捕獲到的入侵檢測(cè)數(shù)據(jù)保存到數(shù)據(jù)庫(kù)中,以及使用工具軟件來(lái)對(duì)入侵檢測(cè)數(shù)據(jù)進(jìn)行分析 ?可配合使用的軟件包括: MySQL、 Apache、 PHP、 ACID、GD函數(shù)庫(kù)、 PHPLOT和 ADODB 使用 Snort搭建 NIDS——編寫(xiě)自己的規(guī)則( 1) Snort的規(guī)則在邏輯上可分為 規(guī)則頭 和 規(guī)則體 ?規(guī) 則頭定義了基本的檢測(cè)條件。其檢測(cè)對(duì)象包括數(shù)據(jù)包的協(xié)議類型、源 /目的端口和源 /目的 IP,同時(shí)還定義了出現(xiàn)匹配情況時(shí)將要采取的動(dòng)作。 ?規(guī)則體作為一個(gè)可選部分,通常定義了額外的檢測(cè)條件和警報(bào)信息。 alter tcp any any (msg: “ssh access”。) 規(guī)則頭 規(guī)則體 使用 Snort搭建 NIDS——編寫(xiě)自己的規(guī)則( 2) 規(guī)則頭的組成 規(guī)則行為 協(xié)議 IP地址 端口 方向操作符 IP地址 端口 規(guī)則示例 alter tcp any any (content:”|00 01 86 a5|”。 msg:”mounted access”。) 使用 Snort搭建 NIDS——編寫(xiě)自己的規(guī)則( 3) 規(guī)則頭 —— 規(guī)則行為 規(guī)則行為 協(xié)議 IP地址 端口 方向操作符 IP地址 端口 ?五種預(yù)定義規(guī)則 ? log – 記錄當(dāng)前數(shù)據(jù)包的信息 ? alter – 產(chǎn)生一個(gè)警報(bào),同時(shí)記錄該數(shù)據(jù)包的信息 ? pass – 忽略當(dāng)前數(shù)據(jù)包 ? activate – 產(chǎn)生一個(gè)警報(bào),并啟動(dòng)相關(guān)的 dynamic規(guī)則 ? dynamic – 這類規(guī)則在通常情況下保持空閑狀態(tài),直到相關(guān)的activate規(guī)則將它激活為止。激活之后,其工作方式與 log相同 ?自定義規(guī)則類型 ? 使用輸出插件來(lái)輸出檢測(cè)結(jié)果: rul et y pe m y al t er
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1