【正文】 第24頁（共23頁）參考文獻(xiàn)[1] 崔寶江．信息安全實(shí)驗(yàn)指導(dǎo)．北京：國防工業(yè)出版社，2005[2] 蔡紅柳，何新華，信息安全技術(shù)及應(yīng)用實(shí)驗(yàn)．北京：科學(xué)出版社，2004[3] 荊繼武，信息安全技術(shù)教程. 北京：中國人民公安大學(xué)出版社， 2007 年 [4]龐南，信息安全管理教程. 北京：中國人民公安大學(xué)出版社， 2007 年 [5] 楊永川，： 中國人民公安大學(xué)出版社， 2007 年 [6] 李冬靜，信息對(duì)抗. 北京： 中國人民公安大學(xué)出版社， 2007 年 [7]蔣平，電子數(shù)據(jù). 北京： 中國人民公安大學(xué)出版社， 2007 年 [8]閆強(qiáng)，：機(jī)械工業(yè)出版社， 2007 年 [9]石淑華，計(jì)算機(jī)網(wǎng)絡(luò)安全. 北京：人民郵電出版社， 2005 年[10]邵波，計(jì)算機(jī)安全技術(shù)及應(yīng)用. 北京：電子工業(yè)出版社， 2005 年 [11]石志國，：清華大學(xué)出版社， 2007 年 [12]信息對(duì)抗與網(wǎng)絡(luò)安全賀雪晨編著，清華大學(xué)出版社， 2006 年 [13]朱建軍，：人民郵電出版社， 2007 年 [14]閆宏生，：電子工業(yè)出版社， 2007 年 。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。rev:7。 classtype: attemptedrecon。 flags：SRAFPU,12。 alert tcp $ EXTERNAL_NET any $ HOME_NET any (msg:SCAN XMAS。Alarm文件中記錄的是單個(gè)數(shù)據(jù)包和規(guī)則匹配的結(jié)果。 圖 48 Snort 端口掃描檢測(cè)結(jié)果 (8)打開Alarm文件。 圖47配置Snort端口掃描選項(xiàng) (6)，對(duì)目標(biāo)主機(jī)（）進(jìn)行SYN掃描，在命令行方式下輸入如下命令：nmap sS (7)在目標(biāo)主機(jī)上查看記錄端口掃描檢測(cè)結(jié)果的文件Portscan，如圖48所示。Conf文件中相應(yīng)端口配置部分的內(nèi)容修改為如圖47所示的值。)(5)執(zhí)行端口掃描的檢測(cè)。 sid:499。 reference:arachnids,246。 圖45 Snort 記錄的ICMP報(bào)警(4)在Snort的安裝目錄下打開Rules文件夾，可以發(fā)現(xiàn)和該攻擊對(duì)應(yīng)的規(guī)則如圖46所示，完整的內(nèi)容如下： 圖46 ICMP數(shù)據(jù)包對(duì)應(yīng)的檢測(cè)規(guī)則 alert icmp $ EXTERNA_NET any $ HOME_NET any (msg:ICMP Large ICMP Packet。Snort警報(bào)中記錄了剛才發(fā)送的ICMP長數(shù)據(jù)包，其中每條記錄包括警報(bào)的類型和數(shù)據(jù)包的包頭。(2)在局域網(wǎng)的另一臺(tái)主機(jī)（）上向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)包，輸入下面的命令：Ping 1 45678 (3)在目標(biāo)主機(jī)中打開Log文件夾，此時(shí)可以發(fā)現(xiàn)Log的根目錄下自動(dòng)生成了一個(gè)名為Alert的文件。 圖44 Snort數(shù)據(jù)包記錄器模式下日志內(nèi)容ICMP長數(shù)據(jù)包是有潛在危險(xiǎn)的，一般會(huì)被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具Nmap對(duì)目標(biāo)主機(jī)進(jìn)行掃描，觀察Snort的檢測(cè)情況。下面將通過對(duì)運(yùn)行了Snort的目標(biāo)主機(jī)進(jìn)行有意攻擊，來觀察Snort檢測(cè)入侵的能力。Conf中規(guī)則集文件。Snort最重要的用途還是昨晚基于誤用檢測(cè)技術(shù)的NIDS。打開其中任一個(gè)，使用記事本查看日志文件，會(huì)發(fā)現(xiàn)文件的內(nèi)容和嗅探器模式下的屏幕輸出類似，如圖44所示。在命令行窗口運(yùn)行了該指令后，將打開保存日志的目錄。上面的命令只是在屏幕上輸出，如果要記錄在LOG文件上，需要預(yù)先建立一個(gè)Log目錄。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令： Snort vdi2如果需要輸出更詳細(xì)的信息，輸入命令：Snort vdei2可以顯示數(shù)據(jù)鏈路層的信息。檢測(cè)Snort安裝是否成功時(shí)，用到的就是Snort嗅探器模式。(5) ， ：Include D:\Snort\etc\Include D:\Snort\etc\其中。（4）修改設(shè)置檢測(cè)包含的規(guī)則。 HOME_NEW any語句中的Any改為自己所在的子網(wǎng)地址，即將Snort檢測(cè)的內(nèi)部網(wǎng)絡(luò)設(shè)置為本機(jī)所在的局域網(wǎng)?；氐竭\(yùn)行Snort的主機(jī)（），發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測(cè)的數(shù)據(jù)包。為了進(jìn)一步查看Snort的運(yùn)行狀況，可以認(rèn)為制造一些ICMP網(wǎng)絡(luò)流量。輸入snortvi2命令啟用Snort。 ，為簡(jiǎn)單起見，選擇不需要數(shù)據(jù)庫支持或者Snort默認(rèn)的MySQL 和ODBC數(shù)據(jù)庫支持的方式，如圖42所示。WinPcap的下載地址為。u Msg 在報(bào)警和包日志中打印一條消息u dsize檢查包的數(shù)據(jù)部分大小u content在包的數(shù)據(jù)部分中搜索指定的樣式u nocase指定對(duì)Content字符串大小寫不敏感u Content—list在數(shù)據(jù)包中搜索多種可能匹配u Flags檢查TCP Flags 的值u ack檢查TCP應(yīng)答的值u session記錄指定回話的應(yīng)用層信息的內(nèi)容u sidSnort的規(guī)則標(biāo)石 例如下面的一條規(guī)則： Alert tcp any any〉∕24 111（content：＂|00 01 86 a5|＂；msg：＂mountd access＂；)可以解釋為：∕24上任一臺(tái)主機(jī)111端口的TCP數(shù)據(jù)包，如果內(nèi)容中包含形如“|00 01 86 a5|”的字段，則將字符串“mountd access”作為報(bào)警信息輸出。 規(guī)則選項(xiàng)組成了Snort入侵檢測(cè)引擎的核心，所有的Snort規(guī)則選項(xiàng)用分號(hào)“；”隔開，規(guī)則選項(xiàng)關(guān)鍵字和它們的參數(shù)用冒號(hào)“：”分開。接下來，規(guī)則頭部需要一組遵循給定格式的IP地址和端口號(hào)信息，通常要分別指出源發(fā)方和目的放的IP地址和端口號(hào)，并且指明信息流動(dòng)的方向。規(guī)則頭部的下一部分指明規(guī)則關(guān)注的協(xié)議。如果許多選項(xiàng)組合在一起，他們它們之間是“邏輯關(guān)系”的關(guān)系。對(duì)于每條規(guī)則來說，規(guī)則選項(xiàng)不是必須的，只是為了更加詳細(xì)地定義應(yīng)該收集或者報(bào)警的數(shù)據(jù)包。Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項(xiàng)。網(wǎng)絡(luò)數(shù)據(jù)包嗅探預(yù)處理器檢測(cè)引擎報(bào)警/日志規(guī)則庫/攻擊簽名日志文件/規(guī)則庫數(shù)據(jù)形成規(guī)則鏈圖41 Snort 體系結(jié)構(gòu) Snort 規(guī)則Snort 的成功之處在于其高效的整體設(shè)計(jì)編碼、簡(jiǎn)潔明了的規(guī)則描述設(shè)計(jì)以及已將形成一定規(guī)模的攻擊檢測(cè)規(guī)則集。另外，報(bào)警信息也可以記入SQL數(shù)據(jù)庫。（4）報(bào)警/日志模塊經(jīng)檢測(cè)引擎檢查后的Snort 數(shù)據(jù)需要以某種方式輸出。（3）檢測(cè)模塊該模塊是Snort 的核心模塊。（1）數(shù)據(jù)包嗅探模塊 負(fù)責(zé)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)網(wǎng)絡(luò)進(jìn)行分析。Snort 能夠檢測(cè)不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務(wù)攻擊等，并進(jìn)行實(shí)時(shí)報(bào)警。第4章 基于Snort的方案設(shè)計(jì) Snort 體系結(jié)構(gòu)Snort 是一款免費(fèi)的NIDS，具有小巧靈便、易于配置、檢測(cè)效率高等特性，常被稱為較量級(jí)的IDS。數(shù)據(jù)挖掘異常檢測(cè)技術(shù)從各種審計(jì)數(shù)據(jù)或網(wǎng)絡(luò)數(shù)據(jù)流中提取相關(guān)的入侵知識(shí)，IDS利用這些知識(shí)檢測(cè)入侵。 神經(jīng)網(wǎng)絡(luò)異常檢測(cè)的缺點(diǎn)是網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)重難以確定，必須經(jīng)過多次嘗試。神經(jīng)網(wǎng)絡(luò)異常檢測(cè)的有點(diǎn)是不需要對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機(jī)性，并且能夠較好的處理干擾數(shù)據(jù)。神經(jīng)網(wǎng)絡(luò)異常檢測(cè)是神經(jīng)網(wǎng)絡(luò)技術(shù)用于對(duì)系統(tǒng)和用戶行為的學(xué)習(xí)，以檢測(cè)未知的攻擊。為了檢測(cè)的準(zhǔn)確性，必須考慮Ai之間的獨(dú)立性。系統(tǒng)的特征包括CPU利用率、磁盤I/O活動(dòng)數(shù)量、系統(tǒng)中頁面出錯(cuò)的數(shù)量等，用異常變量Ai表示。（3）對(duì)行為的檢測(cè)結(jié)果要么是異常的，要么是正常的，攻擊者可以利用這個(gè)弱點(diǎn)躲避IDS的檢測(cè)。統(tǒng)計(jì)分析異常檢測(cè)方法的不足主要體現(xiàn)在一下3個(gè)方面：（1）異常閾門值,難以確定,閾值設(shè)置得偏高會(huì)導(dǎo)致誤報(bào)率升高,偏低會(huì)導(dǎo)致漏報(bào)率升高。IDS通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，以檢測(cè)是否存在入侵行為。對(duì)每次采集到的樣本進(jìn)行計(jì)算，得出一系列的參數(shù)變量來對(duì)這些行為進(jìn)行描述，從而產(chǎn)生行為輪廓。目前，基于異常的入侵檢測(cè)系統(tǒng)主要采用的技術(shù)有統(tǒng)計(jì)分析、貝葉斯推理、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等方法。一般來說，異常檢測(cè)的重點(diǎn)在于如何建立系統(tǒng)正常行為的軌跡。 異常檢測(cè)的優(yōu)點(diǎn)是與系統(tǒng)相對(duì)無關(guān)，通用性較強(qiáng)，易于實(shí)現(xiàn)，模型易于自動(dòng)更新，不需要為設(shè)定限制值而掌握政策活動(dòng)的知識(shí)，可檢測(cè)出一些未知攻擊方法。通過比較當(dāng)前輪廓與以存儲(chǔ)的輪廓判斷異常行為，檢測(cè)網(wǎng)絡(luò)入侵。 正常行為描述庫日志數(shù)據(jù)入侵行為網(wǎng)絡(luò)數(shù)據(jù) 異常檢測(cè)規(guī)則匹配動(dòng)態(tài)產(chǎn)生新描述