【正文】 mysql 服務(wù)。首先填寫服務(wù)器信息，選擇“ for all Users”的推薦設(shè)置。這里要用 版的覆蓋新版文件，否則會出現(xiàn)問題。 圖 snort解壓安裝 提示安裝 MYSQL，選取默認(rèn)路徑 c:\mysql。將手動安裝的文件直接解壓到相應(yīng)位置，這種方法快捷高效，但是要求路徑 的一致。 6）關(guān)于規(guī)則響應(yīng)后的選項關(guān)鍵字 :logto、 session、 resp、 react、 tag。 4）關(guān)于 TCP 協(xié)議的選項關(guān)鍵字 :flags、 flow、 flowbits、 seq、 ack、 window。 2）關(guān)于內(nèi)容檢測的選項關(guān)鍵字 :content、 nocase、 rawbytes、 depth、 offset、distance、 within、 urieontent、 isdataat、 pcre、 bytetest、 byte_jump、ftpbounce、 regex、 contentlist。如 圖 : 圖 規(guī)則頭 規(guī)則頭包含報文關(guān)鍵的地址信息、協(xié)議信息以及當(dāng)報文符合此規(guī)則時各元素應(yīng)該采取的行為。 是 圖 獲取規(guī)則類型 調(diào)用對應(yīng)的解析模塊 ParsePreProcessor（） ParseOutputPlugins（） ParseConfing（） ParseRuleTyDeclaration（） VarDefine（） 處理規(guī)則頭 ProcessHeadNode 處理規(guī)選項 ProcessRuleOption（） 返回 屬于檢測規(guī)則類型 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計 14 規(guī)則匹配流程 Snort 規(guī)則匹配總體流程如圖 。 do_detect) { if(Detect(p)) //調(diào)用檢測函數(shù) { CallOutputPlugins(p)。 } if(!pfrag_flag amp。 while(idx != NULL) { idxfunc(p)。 do_detect = 1。 Plugins 根據(jù)輸出規(guī)則進(jìn)行報警或日志。 } //清除緩沖區(qū) ClearDumpBuf()。 /* print the packet to the screen，如果選擇了詳細(xì)顯示方式， 那么把包的數(shù)據(jù)，顯示到標(biāo)準(zhǔn)輸出 */ if() { ...... //省略 } /* check or log the packet as necessary 如果工作在使用檢測規(guī)則的方式，就調(diào)用 Preprocess 進(jìn)行檢測， 否則，僅僅進(jìn)行日志，記錄該包的信息 */ 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計 12 if(!) { ... //進(jìn)行日志，省略 } else { Preprocess(amp。 //Packet 結(jié)構(gòu)在 中定義，用來記錄數(shù)據(jù)包的各種信息 /* call the packet decoder，調(diào)用拆包函數(shù)，這里 grinder 是一個全局 函數(shù)指針，已經(jīng)在 main 的 SetPktProcessor 調(diào)用中設(shè)置為正確的拆包函數(shù) */ (*grinder)(amp。 第 1個參數(shù)這里沒有什么用； 第 2個參數(shù)為 pcap_pkthdr 結(jié)構(gòu)指針，記錄時間戳、包長、捕捉的長度； 第 3個參數(shù)字符串指針為數(shù)據(jù)包。 //到達(dá)指定數(shù)量，返回 } //只有以上兩種返回情況 } } 現(xiàn)在看看 ProcessPacket 的實現(xiàn)了，這個回 調(diào)函數(shù)用來處理數(shù)據(jù)包。 //遇到錯誤，返回 if (t 0) { t = n。 } while (n == 0)。) { //for 循環(huán) if (p != NULL) n = pcap_offline_read(p, t, callback, user)。 第 4個參數(shù)是字符串指針 ： Int pcap_loop(pcap_t *p, int t, pcap_handler callback, u_char *user) { register int n。 第 3 個參數(shù)是回調(diào)函數(shù)，該回調(diào)函數(shù)處理捕捉到的數(shù)據(jù)包。n39。 第 2個參數(shù)是 ， /* initialize the packet counter to loop forever */ = 1。 或 者 /* open the file，打開文件 */ pd = pcap_open_offline(intf, errorbuf)。 SNORT 的體系結(jié)構(gòu) 數(shù)據(jù)包 圖 Snort的體系結(jié)構(gòu) 1） Sniffer(數(shù)據(jù)包嗅探器 ) 2）預(yù)處理器 3）檢測引擎 4）報警日志 SNORT 流程 概要分析 流程 概要 現(xiàn)在看看 Snort 是如何實現(xiàn)對數(shù)據(jù)包的分析和檢測入侵的。 9） Snort 支持插件， 他使用的報告具有特定的能 ，檢測子系統(tǒng)插件對其進(jìn)行功能擴(kuò)展。 Snort 中 最基本的規(guī)則知識包含四濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計 9 個域 :處理動作、協(xié)議、方向、端口。 能夠?qū)崿F(xiàn)入侵檢測主機(jī)和防火墻的聯(lián)動，這一功能是通過 使用 IPTables， IPFilter 插件 實現(xiàn)的 ， 還可以 通過 FlexResp 功能，Snort 能夠命令防火墻斷開惡意連接 。 6）使用 Spade (Statistical Packet Anomaly Detection Engine)插件， Snort能夠報告異常的數(shù)據(jù)包，從而對端口進(jìn)行有效的檢測。這 是 Snort 可以對抗“無狀態(tài)”攻擊 的基本前提。當(dāng)前支持的數(shù)據(jù)庫有 Postagresql、 Mysql，任何 UnixODBC、 Microsoft SQL Server、 Oracle 等。 4） Snort 的日志方式非常的靈活 。目前 它 的水平 能夠分析的協(xié)議有 TCP、 UDP、和 ICMP。另外他的 實時流量分析 的能力，和對 日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的分析能力都很強(qiáng) 。目前支持 Linux 系列， Solaris，BSD 系列， IRIX， HPUNIX， Windows 系列等。 Snort 作為一個輕量級的入侵檢測系統(tǒng)，它的功能卻非常強(qiáng)大，相較于其他系統(tǒng) 特點如下 : 1） Snort 移 植性非常好，而且它的代碼簡短。 Snort 對 Libpcap 采集來的數(shù)據(jù)進(jìn)行分析，哦你個人判斷是否存在樂意的網(wǎng)絡(luò)活動。 數(shù)據(jù)分析 協(xié)議分析 引擎管理 捕獲數(shù)據(jù) 安全通信 網(wǎng)絡(luò)接口 濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計 8 3 網(wǎng)絡(luò)入侵檢測系統(tǒng)（ Snort）研究 SNORT 特點 入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全監(jiān)控的一個重要應(yīng)用。結(jié)構(gòu) 如圖 圖 (二 )基于主機(jī)的入侵檢測系統(tǒng) (Host 一 BasedIDS)。圖 為典型的誤用入侵檢測模型。 根據(jù)數(shù)據(jù)分析手段分類 (一 )、異常入侵檢測系統(tǒng)。 根據(jù)響應(yīng)方式分類 (一 )、被動入侵檢測系統(tǒng)。 根據(jù)系統(tǒng)模塊分布方式分類 (一 )、分布式入侵檢測系統(tǒng)。 分類 目前 ,市場上的入侵檢測從系統(tǒng)多種多樣 。雖然 這其中 存在各種難題 ,但是 這類方法 的思路還是比較明確的， 值得我們深入研究下去的。 看起來這是一種完美可行的思路 ,但將兩種完全不濰 坊 學(xué) 院 本 科 畢 業(yè) 設(shè) 計 6 同的入侵技術(shù)集合起來，特別是將它們的優(yōu)點完美的結(jié)合，并不是一件簡單可行的事情。 除了上述 的兩類基本 的入侵檢測 技術(shù)外 ,混合入侵檢測 技術(shù)也是網(wǎng)絡(luò)入侵檢測技術(shù)中的一種 方法。對于一些數(shù)據(jù)庫中不存在的，新穎的簽名，基于無用的入侵檢測系統(tǒng)便無法處理，這就是此種系統(tǒng)的缺陷所在。 在 用戶使用過程中 ,檢測了一段時間后， 基于誤用的入侵檢測系統(tǒng)中的誤報率可以到達(dá)非常低的水平。為了獲得所需要的模式，在檢測到第一對數(shù)據(jù)時進(jìn)行分析，以便進(jìn)行預(yù)處理， 然后將該模式與數(shù)據(jù)庫中的簽 名進(jìn)行對比來識別攻擊 ,一 旦發(fā)現(xiàn)相同則判斷為入侵并發(fā)出相應(yīng)的警報。 Snort 是基于誤用的入侵檢測系統(tǒng)的代表。 正是如此， 基于異常的入侵檢測技術(shù)， 大多都存在誤報率較高的缺陷， 很可能將正常行為識別成入侵 而做出反應(yīng)。這種類型的入侵檢測系統(tǒng)的 長處是，能夠辨認(rèn)出網(wǎng)絡(luò)上新型 的攻擊行為 ,從理論上來 說他是可以檢測出所有 攻擊行為 的 。通過 建造一個 擁有 所有網(wǎng)絡(luò)上的的合法行為的模型 ,從而獲得一個 具有 全部合法行為 的 特征的模型。 入侵檢測 網(wǎng)絡(luò) 入侵檢測技術(shù)分為基于異常和基于誤用的兩種。機(jī)密性和可用性的行為集合。 論文的最后一章是 SNORT 的安裝與測試。第二章介紹了入侵檢測。例如協(xié)議識別、協(xié)議異常檢測 。 圖 中央控制臺