【正文】 ，就會(huì)被送到檢測模塊。 檢測引擎接收預(yù)處理器及其插件穿送來的數(shù)據(jù)，然后根據(jù)一系列的規(guī)則對(duì)數(shù)據(jù)進(jìn)行檢測。 當(dāng)數(shù)據(jù)通過檢測引擎后，Snort會(huì)對(duì)其數(shù)據(jù)進(jìn)行不同的處理。報(bào)警可以通過網(wǎng)絡(luò)連接、UNIX的套接字或Windows Popup(SMB)，甚至SNMP陷阱機(jī)制發(fā)送到日志文件。日志可以存儲(chǔ)在文本文件中。另外，Snort報(bào)警可以通過系統(tǒng)日志工具如SWATCH發(fā)送電子郵件及時(shí)通知系統(tǒng)管理員，是系統(tǒng)不需要由專人24小時(shí)監(jiān)控[11]。這些規(guī)則集按照不同的類別進(jìn)行分類，如木馬、緩沖區(qū)溢出、訪問不同的應(yīng)用程序等，并進(jìn)行定期的更新。源和目的端口。Snort使用特定的語法來定義這些規(guī)則。4．3．2 規(guī)則頭 規(guī)則頭定義了規(guī)則的行為（Action）、所匹配網(wǎng)絡(luò)包的協(xié)議、源地址、目標(biāo)地址、源端口和目標(biāo)端口等信息，其作用主要是定義網(wǎng)絡(luò)數(shù)據(jù)包分組中的報(bào)頭路由特征。其語義如下： ①alert：使用設(shè)定的警告方法生成警告信息，并記錄這個(gè)報(bào)文。 ③pass：忽略該報(bào)文。 ⑤dynamic：等待被一個(gè)對(duì)應(yīng)的activate規(guī)則激活，然后進(jìn)行l(wèi)og。當(dāng)某種攻擊發(fā)生后需要記錄兩個(gè)或多個(gè)包時(shí)，activate規(guī)則激活對(duì)應(yīng)的dynamic規(guī)則記錄后繼的若干個(gè)包。 ⑶方向操作符（Direction）：指示規(guī)則所適用的流量方向。 ⑷地址和端口信息 地址可以是一個(gè)主機(jī)地址或者網(wǎng)絡(luò)地址。目的地址必須用CIDR表示法表示。比如192。2。168。0，其子網(wǎng)掩碼是255。255。一些子網(wǎng)掩碼： ①如果子網(wǎng)掩碼是24位，它是一個(gè)C類網(wǎng)絡(luò)。 ③如果子網(wǎng)掩碼是24位，它是一個(gè)A類網(wǎng)絡(luò)。 根據(jù)CIDR的支持，可以用任何位數(shù)的掩碼。雖然規(guī)則選項(xiàng)對(duì)于Snort規(guī)則定義而言不是必需的，但實(shí)際上規(guī)則選項(xiàng)是Snort檢測規(guī)則的核心部分，其設(shè)計(jì)將易用性和檢測性能以及靈活性結(jié)合了起來。選項(xiàng)關(guān)鍵字2:選項(xiàng)參數(shù)?！狈指?，選項(xiàng)中的關(guān)鍵字與選項(xiàng)參數(shù)之間用“:”隔離。 logto 把包記錄到用戶指定的文件中而不是記錄到標(biāo)準(zhǔn)輸出。 tos 檢查ip頭的tos域的值。 ipoption 檢查ip頭的option域。 dsize 檢查包的數(shù)據(jù)部分大小。如同病毒，入侵者的行為也通常會(huì)在數(shù)據(jù)包中表現(xiàn)某種特征，關(guān)鍵字content就使用來發(fā)現(xiàn)這些特征的。 depth content選項(xiàng)的修飾符，設(shè)定搜索的最大深度。 contentlist – 在數(shù)據(jù)包中搜索多種可能匹配。 seq 檢查tcp順序號(hào)的值。 itype 檢查icmp type的值。 session 記錄指定會(huì)話的應(yīng)用層信息的內(nèi)容。 icmp_seq 檢查ICMP ECHO 順序號(hào)的值。 rpc 監(jiān)視特定應(yīng)用/進(jìn)程調(diào)用的RPC服務(wù)。 reference 外部參考id。 rev 規(guī)則的修正號(hào)。 priority 規(guī)則的優(yōu)先級(jí)。 ip_proto ip頭的協(xié)議值。 stateless 無狀態(tài)連接。4．3．4 一個(gè)簡單的規(guī)則范例 alert tcp any any 192。1。msg:“mountd access”。只有組成規(guī)則的各個(gè)元素都為真時(shí)才能觸發(fā)相應(yīng)的操作，規(guī)則內(nèi)部限制數(shù)據(jù)包的各元素的關(guān)系是邏輯與；同時(shí)規(guī)則庫中的各條規(guī)則之間的關(guān)系可以被認(rèn)為一個(gè)大的邏輯或，只要有一條規(guī)則被匹配，即認(rèn)為發(fā)生了入侵。rules文件中。同時(shí)，snort規(guī)則庫文件中的不同規(guī)則可以認(rèn)為組成了一個(gè)大的邏輯或（OR）語句。在實(shí)驗(yàn)室環(huán)境下，在局域網(wǎng)中利用兩臺(tái)以上的計(jì)算機(jī)，使用其中一臺(tái)主機(jī)作為被攻擊方，即檢測方，另外的主機(jī)可對(duì)其進(jìn)行攻擊。 由于Ubuntu是Debian系的Linux，安裝軟件非常簡單。要安裝的不僅有Snort，還有Snort規(guī)則集。這個(gè)過程相對(duì)復(fù)雜，尤其要注意的是命令的輸入，有時(shí)因?yàn)橐粋€(gè)空格的缺失就要反復(fù)進(jìn)行配置。conf ⑵HOME_NET和EXTERNAL_NET是嗅探器最主要的兩個(gè)配置變量和選項(xiàng)。刪除HOME_NET行前的“”，設(shè)置HOME_NET變量。HOME_NET變量定義了哪些網(wǎng)絡(luò)是受信的內(nèi)部網(wǎng)絡(luò)。Snort。把它精確設(shè)為實(shí)際的內(nèi)網(wǎng)地址空間將減少錯(cuò)誤告警的次數(shù)。18。152/16 ⑶設(shè)置EXTERNAL_NET變量。設(shè)置代碼如下：var EXTERNAL_NET anyvar EXTERNAL_NET !$HOME_NET ⑷定義哪些服務(wù)器上運(yùn)行了哪些服務(wù)程序。如果想了解到對(duì)某個(gè)服務(wù)器上并沒有運(yùn)行著的服務(wù)程序進(jìn)行的攻擊，就保留默認(rèn)設(shè)置，這樣可以觀察到任何對(duì)內(nèi)網(wǎng)的攻擊。設(shè)置代碼如下：var DNS_SERVERS $HOME_NETvar HTTP_SERVERS 172。148。同前面定義服務(wù)類似，命令將使Snort只關(guān)注對(duì)這個(gè)端口的攻擊。這樣的配置能夠使Snort專注于不同類型攻擊類型的發(fā)生地點(diǎn)。 ⑹在本地打開Snort規(guī)則：snort –c/etc/snort/rules ⑺配置RULE_PATH變量，指示規(guī)則的存儲(chǔ)位置，規(guī)則用于觸發(fā)事件。/rules ⑻接下來一段內(nèi)容被注釋掉了，是對(duì)一些不常見的通信的監(jiān)測。下面一段是允許為資源有限的系統(tǒng)配置偵測引擎，在本實(shí)驗(yàn)中無需改動(dòng)。 ⑼標(biāo)注有Step 4的段落包含Snort的輸出選項(xiàng)，取消“output alert_syslog:LOG_AUTH LOG_ALERT”前的注釋。info警告。比如在本實(shí)驗(yàn)中，運(yùn)行Snort時(shí)遇到錯(cuò)誤，提示了“Unknown rule type:dynamicpreprocessor directory”，經(jīng)查發(fā)現(xiàn)是是由于Snort未配置使用動(dòng)態(tài)加載處理機(jī)，只需用“”注釋掉加載處理機(jī)相關(guān)兩行就可以了。這里有些規(guī)則默認(rèn)為不起作用，如chat。在行首加入或刪除注釋符號(hào)“”就可以指定該行的規(guī)則集是否生效。5．2 測試Snort 前面對(duì)Snort的配置做的修改，有些配置的修改可能會(huì)影響到Snort的正常啟動(dòng)，在將Snort作為入侵檢測工具正式啟用前，首先要測試Snort工作是否正常。conf 如果出現(xiàn)一個(gè)用ASCII字符畫出的小豬，那么Snort工作就正常了，可以使用Ctrl+C退出；如果Snort異常退出，就需要查明安裝軟件和修改配置的正確性了。0。dll為例，選擇該類型攻擊作為實(shí)驗(yàn)用。在下面的界面中可以看到發(fā)出攻擊的大概情況。5．3．2 Snort運(yùn)行過程 在啟動(dòng)Snort后，入侵檢測的過程就開始了。數(shù)據(jù)包內(nèi)部信息用ASCII顯示出，對(duì)于數(shù)據(jù)包內(nèi)容的分析可用專門的分析軟件進(jìn)行，在本實(shí)例中使用了wireshark對(duì)已知數(shù)據(jù)包進(jìn)行分析。接下來顯示的是分析的數(shù)據(jù)包中，每種數(shù)據(jù)類型所占的個(gè)數(shù)和百分比。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。首先將數(shù)據(jù)包文件導(dǎo)入，如圖5．1。使用Wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析，包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。通過擴(kuò)展協(xié)議樹中的相應(yīng)節(jié)點(diǎn)，可以得到該數(shù)據(jù)包中攜帶的更詳盡的信息。6 總結(jié)雖然網(wǎng)絡(luò)異常檢測系統(tǒng)能夠監(jiān)視網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析，并在匹配到可疑的特征時(shí)進(jìn)行報(bào)警。盡管異常檢測系統(tǒng)可以從一個(gè)網(wǎng)段內(nèi)的多臺(tái)設(shè)備上收集數(shù)據(jù)，但它并不知道攻擊是如何在各個(gè)機(jī)器之間擴(kuò)散的或網(wǎng)絡(luò)上各臺(tái)服務(wù)器的重要性。所有的異常檢測方法應(yīng)用于實(shí)際都不可能捕獲到所發(fā)生的每次異常，也不可能完全阻止異常的發(fā)生，任何一種異常檢測系統(tǒng)都有局限性。對(duì)于基于異常的檢測系統(tǒng)而言，新的攻擊本身對(duì)于系統(tǒng)定義的正常模式常具有一定的隱蔽性。大多數(shù)情況下，異常檢測系統(tǒng)并不能阻止持續(xù)的異常發(fā)生，其功能主要是檢測和預(yù)警．而大多數(shù)情況下異常檢測系統(tǒng)也不會(huì)自動(dòng)解決網(wǎng)絡(luò)異常情況，這也是之前提到的，網(wǎng)絡(luò)異常檢測系統(tǒng)只能是網(wǎng)絡(luò)防御系統(tǒng)，如防火墻、反病毒軟件等產(chǎn)品的一個(gè)補(bǔ)充，而不能完全取代他們的重要原因。一個(gè)典型的Snort安裝非常容易受到攻擊，攻擊對(duì)象包括Snort本身或其所在的操作系統(tǒng)。任何一種偵聽服務(wù)都可能成為被攻擊的對(duì)象，一些驅(qū)動(dòng)攻擊甚至可以針對(duì)某個(gè)并沒有開啟相應(yīng)服務(wù)的端口發(fā)起攻擊。在整個(gè)畢業(yè)設(shè)計(jì)的過程中，我對(duì)網(wǎng)絡(luò)異常檢測的方法有了更深層的認(rèn)識(shí)，熟悉了協(xié)議分析和模式匹配等檢測方法以及當(dāng)前廣泛使用的入侵檢測方法Snort的實(shí)際使用，加深了對(duì)Snort的檢測方法和規(guī)則組織的認(rèn)識(shí)。參考文獻(xiàn)[1] ：電子工業(yè)出版社，2009.[2] Roy A E Feather A Case Study of Ethernet Anomalies in Distributed Computing Environment 1990(04) ．[3] 鄒柏賢．網(wǎng)絡(luò)流量異常檢測與預(yù)測方法研究．．[4] 盧泉．IP網(wǎng)絡(luò)性能的測量與分析．廣東通信技術(shù)．2002,22(6):2125．[5] 蔡偉祥，張凌，寧國寧．流量采集在網(wǎng)絡(luò)性能監(jiān)測與分析系統(tǒng)中的改進(jìn)和實(shí)現(xiàn)．計(jì)算機(jī)工程．2003，29(15)：58—59．[6] 羅守山. ：北京郵電大學(xué)出版社，2003．[7] 胡昌振. ：北京理工大學(xué)出版社， 2006．[8] 斯托林斯(Stallings．w)．密碼編碼學(xué)與網(wǎng)絡(luò)安全．北京：電子工業(yè)出版社，2006．[9] 孫建華．Linux網(wǎng)絡(luò)技術(shù)基礎(chǔ) ．北京：機(jī)械工業(yè)出版社, 2008．[10] 阮耀平，易江波，趙戰(zhàn)生．計(jì)算機(jī)入侵檢測系統(tǒng)模型與方法．計(jì)算機(jī)工程,1999(9):6365．[11] Miller．M著．曾國平等譯 ．Linux教程：Windows用戶轉(zhuǎn)向Linux的12個(gè)步驟．北京：機(jī)械工業(yè)出版社，2002．[12] 張國權(quán)．基于模式匹配和協(xié)議分析的NIDS研究和設(shè)計(jì)．大連：大連理工大學(xué)，2006．12．[13] 楊策，張永智，龐正社．網(wǎng)絡(luò)流量監(jiān)測技術(shù)及性能分析．空軍工程大學(xué)學(xué)報(bào)．2003．[14] Debar H,Curry D,Feinstein B．The intrusion detection message exchange format[OL]. January 2005,expires July 31,2005．[15] Lee W, Sal Stolfo, Kui Mok．A data mining framework for building intrusion detection models: proceedings of the 1999 IEEE Symposium on Security and Privacy[C],Oakland,CA,1999．[16] 王超．計(jì)算機(jī)網(wǎng)絡(luò)安全中入侵檢測系統(tǒng)的研究與設(shè)計(jì)．成都：電子科技大學(xué)，2007．4．[17] 胡華平，陳海濤，黃辰林等．入侵檢測系統(tǒng)研究現(xiàn)狀及發(fā)展趨勢．計(jì)算機(jī)工程與科學(xué)，2001．致謝在本文即將完稿之時(shí)，我要感謝很多直接或者間接幫助過我的人。首先，我要特別感謝我的畢設(shè)導(dǎo)師杜老師，正是有了他的悉心指導(dǎo)本文最終得以圓滿完成。杜老師一絲不茍的作風(fēng)，嚴(yán)謹(jǐn)求實(shí)的態(tài)度，踏踏實(shí)實(shí)的精神，不僅授我以文，而且教我做人，雖歷時(shí)數(shù)月，卻給以終生受益無窮之道。沒有他們的幫助和支持是沒有辦法完成我的畢業(yè)論文的，同窗之間的友誼永遠(yuǎn)長存！