【正文】 行匹配 。 ? 然后與 RTN 結點依次進行匹配 。 當與一個頭結點相匹配時 ， 向下與 OTN 結點進行匹配 。 ? 每個 OTN 結點包含一條規(guī)則所對應的全部選項 ， 同時包含一組函數(shù)指針 ， 用來實現(xiàn)對這些選項的匹配操作 。 ? 當數(shù)據包與某個 OTN 結點相匹配時 ， 即判斷此數(shù)據包為攻擊數(shù)據包 。 具體流程見圖 518所示 。 返回本章首頁 59 第五章 入侵檢測技術 頁 2023/2/25 頁頁NY圖 5 1 8 S n o r t 規(guī) 則 匹 配 流 程 圖開 始開 始 R u l e L i s t N o d e 下一 個 節(jié) 點獲 取 R u l e L i s t s 頭NY鏈 表 中 有記 錄根 據 協(xié) 議 類 型 選擇 規(guī) 則 鏈 表 頭順 序 查 找 規(guī) 則 鏈 表 頭直 至 找 到 匹 配 的 項找 到 匹 配 項查 找 規(guī) 則 鏈 表 選 項 直至 找 到 相 匹 配 的 項找 到 匹 配 項Y調 用 相 應 函 數(shù) 處 理根 據 T a g 信 息 進 行 記 錄結 束N匹 配 剩 余規(guī) 則 頭返回本章首頁 60 第五章 入侵檢測技術 頁 2023/2/25 頁頁3． 日志及報警子系統(tǒng) ? 一個好的 NIDS， 更應該提供友好的輸出界面或發(fā)聲報警等 。 ? Snort是一個輕量級的 NIDS， 它的另外一個重要功能就是 數(shù)據包記錄器 ， 它主要采取用 TCPDUMP的格式記錄信息 、 向 syslog 發(fā)送報警信息 和以 明文形式記錄報警信息 三種方式 。 ?值得提出的是 ， Snort 在網絡數(shù)據流量非常大時 ， 可以將數(shù)據包信息壓縮從而實現(xiàn)快速報警 。 返回本章首頁 61 第五章 入侵檢測技術 頁 2023/2/25 頁頁 Snort的 安裝與使用 Snort可簡單安裝為 守護進程模式 ，也可安裝為 包括很多其他工具的完整的入侵檢測系統(tǒng) 。 ?簡單方式安裝時，可以得到入侵數(shù)據的文本文件或二進制文件，然后用文本編輯器等工具進行查看。 ?Snort若與其它工具一起安裝，則可以支持更為復雜的操作。 ?例如，將 Snort數(shù)據發(fā)送給數(shù)據庫系統(tǒng)，從而支持通過 Web界面進行數(shù)據分析，以增強對 Snort捕獲數(shù)據的直觀認識，避免耗費大量時間查閱晦澀的日志文件。 返回本章首頁 62 第五章 入侵檢測技術 頁 2023/2/25 頁頁返回本章首頁 63 第五章 入侵檢測技術 頁 2023/2/25 頁頁（ 2） 更新 Snort規(guī)則 下載最新的規(guī)則文件 。其中 ， CURRENT表示最新的版本號 。 [rootmail snort] mkdir /etc/snort [rootmail snort] cd /etc/snort [rootmail snort] tar zxvf /path/to/ 返回本章首頁 64 第五章 入侵檢測技術 頁 2023/2/25 頁頁（ 3） 配置 Snort 建立 config文件目錄： [rootmail ] mkdir /etc/snort 復制 Snort配置文件 Snort配置目錄： [rootmail ] cp ./etc/ /etc/snort/ 編輯 ： [rootmail ] vi /etc/snort/ 修改后 ， 一些關鍵設置如下： var HOME_NET yourwork var RULE_PATH /etc/snort/rules preprocessor _inspect: global \ iis_unicode_map /etc/snort/rules/ 1252 include /etc/snort/rules/ include /etc/snort/rules/ 返回本章首頁 65 第五章 入侵檢測技術 頁 2023/2/25 頁頁（ 4） 測試 Snort /usr/local/bin/snort A fast b d D l /var/log/snort c /etc/snort/ 查看文件 /var/log/messages， 若沒有錯誤信息 ，則表示安裝成功 。 返回本章首頁 66 第五章 入侵檢測技術 頁 2023/2/25 頁頁 3． Snort的工作模式 Snort有三種工作模式 ， 即 嗅探器 、 數(shù)據包記錄器 、 網絡入侵檢測系統(tǒng) 。 （ 1） 嗅探器 所謂的嗅探器模式就是 Snort從網絡上獲取數(shù)據包然之后顯示在控制臺上 。 若只把 TCP/IP包頭信息打印在屏幕上 ，則只需要執(zhí)行下列命令： ./snort v 若顯示應用層數(shù)據 ， 則執(zhí)行： ./snort vd 若同時顯示數(shù)據鏈路層信息 ， 則執(zhí)行： ./snort vde 返回本章首頁 67 第五章 入侵檢測技術 頁 2023/2/25 頁頁 3． Snort的工作模式 （ 2） 數(shù)據包記錄器 如果要把所有的數(shù)據包記錄到硬盤上 ， 則需要指定一個日志目錄 ， Snort將會自動記錄數(shù)據包： ./snort dev l ./log 如果網絡速度很快 ， 或者希望日志更加緊湊以便事后分析 ， 則應該使用二進制日志文件格式 。 使用下面的命令可以把所有的數(shù)據包記錄到一個單一的二進制文件中： ./snort l ./log b 返回本章首頁 68 第五章 入侵檢測技術 頁 2023/2/25 頁頁 3． Snort的工作模式 （ 3） 網絡入侵檢測系統(tǒng) 通過下面命令行 ， 可以將 Snort啟動為網絡入侵檢測系統(tǒng)模式： ./snort dev l ./log h 。 Snort會將每個包和規(guī)則集進行匹配 ， 一旦匹配成功就會采取響應措施 。 若不指定輸出目錄 ， Snort就將日志輸出到 /var/log/snort目錄 。 返回本章首頁 69 第五章 入侵檢測技術 頁 2023/2/25 頁頁 Snort的安全防護 為保護 Snort系統(tǒng)的運行安全 ， 必須采取一些必要的安全防護措施 ， 主要包括： ?加固運行 Snort系統(tǒng)的主機 ?在隱秘端口上運行 Snort ?在不配置 IP地址的接口上運行 Snort 返回本章首頁 70 第五章 入侵檢測技術 頁 2023/2/25 頁頁 本章小結 ? 入侵檢測 （ Intrusion Detection） 是保障網絡系統(tǒng)安全的關鍵部件 ， 它通過 監(jiān)視受保護系統(tǒng)的狀態(tài)和活動 ， 采用誤用檢測 （ Misuse Detection） 或異常檢測 （ Anomaly Detection） 的方式 ， 發(fā)現(xiàn)非授權的或惡意的系統(tǒng)及網絡行為 ， 為防范入侵行為提供有效的手段 。 ? 入侵檢測按照不同的標準有 多種分類方法 。 分布式入侵檢測 （ Distributed Intrusion Detection） 對 信息的處理方法 分為兩種 ， 即 分布式信息收集 、 集中式處理 和 分布式信息收集 、 分布式處理 。 返回本章首頁 71 第五章 入侵檢測技術 頁 2023/2/25 頁頁? 為了提高 IDS產品 、 組件及與其他安全產品之間的互操作性 ， DARPA和 IETF的入侵檢測工作組 （ IDWG） 發(fā)起制訂了一系列建議草案 ， 從 體系結構 、 API、 通信機制 、 語言格式 等方面來規(guī)范 IDS的標準 ， 但草案或建議目前都處于逐步完善之中 ， 尚無被廣泛接受的國際標準 。 ? 在安全實踐中 ， 部署入侵檢測是一項繁瑣的工作 ， 需要從三個方面對入侵檢測進行改進 ， 即 ?突破檢測速度瓶頸制約 ， 適應網絡通信需求； ?降低漏報和誤報 ， 提高其安全性和準確度； ?提高系統(tǒng)互動性能 ， 增強全系統(tǒng)的安全性能 。 返回本章首頁 72 第五章 入侵檢測技術 頁 2023/2/25 頁頁本章到此結束，謝謝！ 73 第五章 入侵檢測技術 頁 2023/2/25 頁頁演講完畢，謝謝觀看！