【正文】 第 23 頁（共 23 頁） 參考文獻 [1] 崔寶江．信息安全實驗指導(dǎo)．北京：國防工業(yè)出版社， 2020 [2] 蔡紅柳，何新華，信息安全技術(shù)及應(yīng)用實驗．北京：科學(xué) 出版社， 2020 [3] 荊繼武，信息安全技術(shù)教程 . 北京：中國人民公安大學(xué)出版社， 2020 年 [4]龐南，信息安全管理教程 . 北京：中國人民公安大學(xué)出版社， 2020 年 [5] 楊永川，信息安全 .北京： 中國人民公安大學(xué)出版社， 2020 年 [6] 李冬靜，信息對抗 . 北京： 中國人民公安大學(xué)出版社， 2020 年 [7]蔣平，電子數(shù)據(jù) . 北京： 中國人民公安大學(xué)出版社， 2020 年 [8]閆強，電子商務(wù)安全管理 .北京：機械工業(yè)出版社， 2020 年 [9]石淑華，計算機網(wǎng)絡(luò)安全 . 北京：人民郵電出版社， 2020 年 [10]邵波，計算機安全技術(shù)及應(yīng)用 . 北京：電子工業(yè)出版社， 2020 年 [11]石志國，信息安全概論 .北京：清華大學(xué)出版社， 2020 年 [12]信息對抗與網(wǎng)絡(luò)安全賀雪晨編著，清華大學(xué)出版社， 2020 年 [13]朱建軍，網(wǎng)絡(luò)安全防范手冊 .北京：人民郵電出版社， 2020 年 [14]閆宏生，計算機網(wǎng)絡(luò)安全與防護 .北京：電子工業(yè)出版社， 2020 年 。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。rev:7。 classtype: attemptedrecon。 flags ： SRAFPU,12。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。 Alarm 文件中記錄的是單個數(shù)據(jù)包和規(guī)則匹配的結(jié)果。 圖 48 Snort 端口掃描檢測結(jié)果 第 21 頁（共 23 頁） (8)打開 Alarm 文件。 第 20 頁（共 23 頁） 圖 47配置 Snort端口掃描選項 (6)在 上運行 Nmap，對目標(biāo)主機（ ）進行 SYN 掃描，在命令行方式下輸入如下命令： nmap sS (7)在目標(biāo)主機上查看記錄端口掃描檢測結(jié)果的文件 Portscan，如圖 48 所示。 Conf 文件中相應(yīng)端口配置部分的內(nèi)容修改為如圖 47 所示的值。) (5)執(zhí)行端口掃描的檢測。 sid:499。 reference:arachnids,246。 第 19 頁（共 23 頁） 圖 45 Snort 記錄的 ICMP報警 (4)在 Snort 的安裝目錄下打開 Rules 文件夾，用 Notepad 打開 文件，可以發(fā)現(xiàn)和該攻擊對應(yīng)的規(guī)則如圖 46 所示，完整的內(nèi)容如下： 圖 46 ICMP數(shù)據(jù)包對應(yīng)的檢測規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。 Snort 警報中記錄了剛才發(fā)送的 ICMP 長數(shù)據(jù)包，其中每條記錄包括警報的類型和數(shù)據(jù)包的包頭。 (2)在局域網(wǎng)的另一臺主機（ ）上向目標(biāo)主機發(fā)送數(shù)據(jù)包，輸入下面的命令： Ping 1 45678 (3)在目標(biāo)主機中打開 Log 文件夾，此時可以發(fā)現(xiàn) Log 的根目錄下自動生成了一個名為 Alert 的文件。 第 18 頁（共 23 頁） 圖 44 Snort數(shù)據(jù)包記錄器模式下日志內(nèi)容 ICMP 長數(shù)據(jù)包是有潛在危險的，一般會被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具 Nmap 對目標(biāo)主機進行掃描，觀察 Snort 的檢測情況。 下面將通過對運行了 Snort 的目標(biāo)主機進行有意攻擊，來觀察 Snort 檢測入侵的能力。 Conf 中規(guī)則集文件。 Snort 最重要的用途還是昨晚基于誤用檢測技術(shù)的 NIDS。打開其中任一個，使用記事本查看日志文件，會發(fā)現(xiàn)文件的內(nèi)容和嗅探器模式下的屏幕輸出類似，如圖 44 所示。在命令行窗口運行了該指令后，將打開保存日志的目錄。上面的命令只是在屏幕上輸出，如果要記錄在 LOG 文件上，需要預(yù)先建立一個 Log 目錄。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令： Snort vdi2 第 17 頁（共 23 頁） 如果需要輸出更詳細(xì)的信息，輸入命令： Snort vdei2 可以顯示數(shù)據(jù)鏈路層的信息。檢測 Snort 安裝是否成功時，用到的就是 Snort 嗅探器模式。 (5) 在 文件中，修改配置文件 和 的路徑： Include D:\Snort\etc\ Include D:\Snort\etc\ 其中， 文件保存的是和規(guī)則的警報級別相關(guān)的配置， 文件保存了提供更對警報相關(guān)信息的鏈接。 （ 4）修改設(shè)置檢測包含的規(guī)則。如本地 IP 為，則將 Any 改為 HOME_NET 的值改為本地網(wǎng)絡(luò)的標(biāo)識，即 。 （ 2）打開 D:\Snort\etc\，設(shè)置 Snort 的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)檢測范圍。在局域網(wǎng)段中的另一臺主機（ ）上使用的 Ping指令，探測運行 Snort 的主機。其中， v 表示使用 Verbose 模式，把信息包打印在屏幕上； i2 表示監(jiān)聽第二個網(wǎng)卡。 圖 42 Snort 安裝選項對話框 “開始”菜單，選擇“運行”命令，輸入 cmd 并按 Enter 鍵，在命令行方式下輸入如下命令： C:\〉 cd D:\Snort\bin D:\Snort\bin〉 snortW （ 1）如果 Snort 安裝成功，系統(tǒng)將顯示兩個物理網(wǎng)卡正在工作及網(wǎng)卡的詳細(xì)信息。 WinPcap 的下載地址為 網(wǎng)站下載 Windows 平臺下的 Snort 安裝程序，雙擊安裝程序進行安裝，選擇安裝目錄為 D： \Snort。 ? Msg 在報警和包日志中打印一條消息 ? dsize檢查包的數(shù)據(jù)部分大小 ? content在包的數(shù)據(jù)部分中搜索指定的樣式 ? nocase指定對 Content 字符串大小寫不敏感 ? Content— list在數(shù)據(jù)包中搜索多種可能匹配 ? Flags檢查 TCP Flags 的 值 ? ack檢查 TCP 應(yīng)答的值 ? session記錄指定回話的應(yīng)用層信息的內(nèi)容 ? sidSnort 的規(guī)則標(biāo)石 例如下面的一條規(guī)則： Alert tcp any any〉 ∕ 24 111（ content：＂ |00 01 86 a5|＂； msg：＂mountd access＂； ) 可以解釋為：對于到達網(wǎng)段 ∕ 24 上任一臺主機 111 端口的 TCP數(shù)據(jù)包，如果內(nèi)容中包含形如“ |00 01 86 a5|”的字段，則將字 符串“ mountd access”作為報警信息輸出。 規(guī)則選項組成了 Snort 入侵檢測引擎的核心，所有的 Snort 規(guī)則選項用分號“；”隔開，規(guī)則選項關(guān)鍵字和它們的參數(shù)用冒號“：”分開。接下來，規(guī)則頭部需要一組遵循給定格式的 IP 地址和端口號信息，通常要分別指出源發(fā)方和目的放的IP 地址和端口號，并且指明信息流動的方向。規(guī)則頭部的下一部分指明規(guī)則關(guān)注的協(xié)議。如果許多選項組合在一起，他們它們之間是“邏輯關(guān)系”的關(guān)系。對于每條規(guī)則來說，規(guī)則選項不是必須的，只是為了更加詳細(xì)地定義應(yīng)該收集或者報警的數(shù)據(jù)包。 Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項。 圖 41 Snort 體系結(jié)構(gòu) 網(wǎng)絡(luò) 數(shù)據(jù)包 嗅探 預(yù)處理器 檢測引擎 報警 /日志 規(guī)則庫 /攻擊簽名 日志文件 /規(guī)則庫 數(shù)據(jù) 形成規(guī)則鏈 第 14 頁（共 23 頁） Snort 規(guī)則 Snort 的成功之處在于其高效的整體設(shè)計編碼、簡潔明了的規(guī)則描述設(shè)計以及已將形成一定規(guī)模的攻擊檢測規(guī)則集。另外，報警信息也可以記入 SQL 數(shù)據(jù)庫。 （ 4） 報警 /日志模塊 經(jīng)檢測引擎檢查后的 Snort 數(shù)據(jù)需要以某種方式輸出。 （ 3） 檢測模塊 該模塊是 Snort 的核心模塊。 （ 1） 數(shù)據(jù)包嗅探模塊 負(fù)責(zé) 監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)進行分析。 Snort 能夠 檢測不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務(wù)攻擊等，并進行實時報警。 第 13 頁（共 23 頁） 第 4 章 基于 Snort 的方案設(shè)計 Snort 體系結(jié)構(gòu) Snort 是一款免費的 NIDS，具有小巧靈便、易于配置、檢測效率高等特性，常被稱為較量級的 IDS。數(shù)據(jù)挖掘異常檢測技術(shù)從各種審計數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)流中提取相關(guān)的入侵知識， IDS 利用這些知識檢測入侵。 神經(jīng)網(wǎng)絡(luò)異常檢測的缺點是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)重難以確定，必須經(jīng)過多次嘗試。 神經(jīng)網(wǎng)絡(luò)異常檢測 的有點是不需要對數(shù)據(jù)進行統(tǒng)計假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機性，并且能夠較好的處理干擾數(shù)據(jù)。 神經(jīng)網(wǎng)絡(luò)異常檢測是神經(jīng)網(wǎng)絡(luò)技術(shù)用于對系統(tǒng)和用戶行為的學(xué)習(xí)，以檢測未知的攻擊。為了檢測的準(zhǔn)確性，必須考慮 Ai 之間的獨立性。系統(tǒng)的特征包括 CPU 利用率、磁盤 I/O 活動數(shù)量、系 統(tǒng)中頁面出錯的數(shù)量等，用異常變量 Ai 表示。 （ 3） 對行為的檢測結(jié)果要么是異常的，要么是正常的，攻擊者可以利用這個弱點躲避 IDS 的檢測。統(tǒng)計分析異常檢測方法的不足主要體現(xiàn)在一下 3 個方面： （ 1） 異常閾門值 ,難以確定 ,閾值設(shè)置得偏高會導(dǎo)致誤報率升高 ,偏低會導(dǎo)致漏報率升高 。 IDS 通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，以檢測是否存在入侵行為。對每次采集到的樣本進行計算，得出一系列的參數(shù)變量來對這些行為進行描述，從而產(chǎn)生行為輪廓。目前，基于異常的入侵檢測系統(tǒng)主要采用的技術(shù)有統(tǒng)計分析、貝葉斯推理 、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等方法。 正常行為描述庫 日志數(shù)據(jù) 入侵行為 網(wǎng)絡(luò)數(shù)據(jù) 異常檢測 規(guī)則匹配 動態(tài)產(chǎn)生新描述 動態(tài)更新描述 第 11 頁（共 23 頁） 一般來說，異常檢測的重點在于如何建立系統(tǒng)正常行為的軌跡。 異常 檢測的優(yōu)點是與系統(tǒng)相對無關(guān)，通用性較強，易于實現(xiàn)，模型易于自動更新，不需要為設(shè)定限制值而掌握政策活動的知識，可檢測出一些未知攻擊方法。通過比較當(dāng)前輪廓與以存儲的輪廓判斷異常行為，檢測網(wǎng)絡(luò)入侵。 圖 32 異常檢測模型 異常檢測方法通過異常檢測器觀察主體的活動，然后產(chǎn)生刻畫這些活動行為的輪廓。由于假 定所有入侵行為都是與正常行為不同的，因此，如果建立系統(tǒng)正常行為的軌跡，則理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視