【正文】 法的不同而有所區(qū)別。 信息分析階段通過分析上一階段提供的數(shù)據(jù)來判斷是否發(fā)生入侵。分析引擎中使用檢測入侵技術對所收集到的信息進行分析，以判斷與該信息相對應的事件是否違反看系統(tǒng)的安全策略或存在入侵的先兆。信息分析是入侵檢測的核心步驟，分析引擎中所采用的技術直接影響到入侵檢測的性能。分析引擎使用何種技術也是區(qū)分不同入侵檢測產品的重要依據(jù)。 控制臺按照報警產生預先定義的響應采取相應措施，反應的形式可以是較為強雷的切斷鏈接或改變文件屬性等，也可以是簡單的向管理員發(fā) 出警報。 入侵檢測的分析技術 對網(wǎng)絡和主機的各種事件進行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為是IDS 的核心任務。因此，入侵檢測常用的技術主要體現(xiàn)在 IDS 的分析引擎上。分析引擎以事件產生器獲取的主機或網(wǎng)絡事件為輸入，通過分析事件或先驗知識建立判斷入侵的模型。根據(jù)建立模型的方法不同，入侵檢測技術主要有一下兩個思策略 審計記錄或網(wǎng)絡數(shù)據(jù) 包 事件數(shù)據(jù)庫 分析引擎 事件產生器 響應單元 第 10 頁（共 23 頁） 路： 第一種， 根據(jù)已知的攻擊行為知識，推斷當前行為是否是攻擊行為。 第二種， 根據(jù)已知的正常行為只是，推斷當前行為是否是正常行為。若不是正常行為，則認為該行為是攻擊行為。 因此，目前 主要有兩種方法用來解決入侵檢測問題：誤用檢測技術和異常檢測技術。誤用檢測技術基于第 一 種檢測思路，異常檢測技術基于第 二 種檢測思路。在 IDS 中，常采用兩種方法相結合的方式。 異常檢測 異常檢測技術也稱為基于行為的檢測技術，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡入侵。異常檢測基于一個假設，即入侵行為在于偏離系統(tǒng)正常使用的事件中，而異常檢測就是要找出偏離正常行為的事件并從中發(fā)現(xiàn)入侵。異常檢測一般先建立用戶正常行為的模型，再將實現(xiàn)觀察到的行為與之相比，檢測與正常行為偏差較大的行為。由于假 定所有入侵行為都是與正常行為不同的，因此，如果建立系統(tǒng)正常行為的軌跡，則理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。該模型的結構如圖 32 所示。 圖 32 異常檢測模型 異常檢測方法通過異常檢測器觀察主體的活動，然后產生刻畫這些活動行為的輪廓。每一個輪廓保存記錄主體當前的行為，并定時將當前行為與存儲的輪廓合并。通過比較當前輪廓與以存儲的輪廓判斷異常行為，檢測網(wǎng)絡入侵。異常檢測方法對有統(tǒng)計特征攻擊方法（如端口漏洞掃描和拒絕服務攻擊等）的檢測特別有效。 異常 檢測的優(yōu)點是與系統(tǒng)相對無關，通用性較強，易于實現(xiàn)，模型易于自動更新，不需要為設定限制值而掌握政策活動的知識，可檢測出一些未知攻擊方法。當然，單純的統(tǒng)計異常檢測方法是不能滿足需要的，它對事件發(fā)生的次序不敏感，誤報和虛報率較高，對沒有統(tǒng)計特征的攻擊方法難以檢測。 正常行為描述庫 日志數(shù)據(jù) 入侵行為 網(wǎng)絡數(shù)據(jù) 異常檢測 規(guī)則匹配 動態(tài)產生新描述 動態(tài)更新描述 第 11 頁（共 23 頁） 一般來說，異常檢測的重點在于如何建立系統(tǒng)正常行為的軌跡。基于異常的入侵檢測系統(tǒng)通過構造不同的異常模型來實現(xiàn)不同的檢測方法，使用觀測到的一組測量值偏離度來預測用戶的行為變化并做出決策判斷。目前，基于異常的入侵檢測系統(tǒng)主要采用的技術有統(tǒng)計分析、貝葉斯推理 、神經網(wǎng)絡和數(shù)據(jù)挖掘等方法。 統(tǒng)計分析異常檢測方法首先要對系統(tǒng)或用戶的行為按照一定的時間間隔進行采樣，樣本的內容包括每個回話的登陸和退出情況、 CPU 和內存的占用情況、硬盤等存儲介質的使用情況等。對每次采集到的樣本進行計算，得出一系列的參數(shù)變量來對這些行為進行描述，從而產生行為輪廓。將每次采樣后得到的行為輪廓與已有的行為輪廓歸并，最終得到系統(tǒng)和用戶的正常行為輪廓。 IDS 通過將當前采集到的行為輪廓與正常行為輪廓相比較，以檢測是否存在入侵行為。 統(tǒng)計分析異常檢測方法的優(yōu)勢在于應用的技術方法在 統(tǒng)計學中已經比較成熟。統(tǒng)計分析異常檢測方法的不足主要體現(xiàn)在一下 3 個方面： （ 1） 異常閾門值 ,難以確定 ,閾值設置得偏高會導致誤報率升高 ,偏低會導致漏報率升高 。 （ 2） 對事發(fā)生的次序不敏感 ,可能檢測不出由先后發(fā)生的幾個關聯(lián)事件組成的入侵行為 。 （ 3） 對行為的檢測結果要么是異常的，要么是正常的，攻擊者可以利用這個弱點躲避 IDS 的檢測。 貝葉斯推理異常檢測是根據(jù)被保護系統(tǒng)當前各種行為特征的測量值進行推理，來判斷是否有入侵行為的發(fā)生。系統(tǒng)的特征包括 CPU 利用率、磁盤 I/O 活動數(shù)量、系 統(tǒng)中頁面出錯的數(shù)量等，用異常變量 Ai 表示。根據(jù)各種異常測量的值、入侵的先驗概率以及入侵發(fā)生時測量到的各種異常概率計算出入侵的概率。為了檢測的準確性，必須考慮 Ai 之間的獨立性。最常用的一種方法是通過相關性分析，確定各個異常變量與入侵的關系。 神經網(wǎng)絡異常檢測是神經網(wǎng)絡技術用于對系統(tǒng)和用戶行為的學習，以檢測未知的攻擊。來自審計日志或正常網(wǎng)絡訪問行為的信息，經數(shù)據(jù)信息預處理模塊的處理后產生輸入向量，然后使用神經網(wǎng)絡對輸入向量進行處理，從中提取正常的用戶或系統(tǒng)活動的特征輪廓。 神經網(wǎng)絡異常檢測 的有點是不需要對數(shù)據(jù)進行統(tǒng)計假設，能夠較好地處理原始數(shù)據(jù)的隨機性，并且能夠較好的處理干擾數(shù)據(jù)。與統(tǒng)計分析異常檢測相比，神經網(wǎng)絡異常檢測能夠更加簡潔地表達出各種狀態(tài)變量之間的非線性關系，而且能夠自動學習。 神經網(wǎng)絡異常檢測的缺點是網(wǎng)絡的拓撲結構和各元素的權重難以確定，必須經過多次嘗試。 第 12 頁（共 23 頁） 數(shù)據(jù)挖掘是從大量的數(shù)據(jù)中抽取出潛在的、有價值的知識（表示為概念、規(guī)則、規(guī)律和模式等形式）的過程。數(shù)據(jù)挖掘異常檢測技術從各種審計數(shù)據(jù)或網(wǎng)絡數(shù)據(jù)流中提取相關的入侵知識， IDS 利用這些知識檢測入侵。 數(shù)據(jù) 挖掘異常檢測的優(yōu)勢在于處理數(shù)據(jù)的能力，缺點是系統(tǒng)整體欲行效率較低。 第 13 頁（共 23 頁） 第 4 章 基于 Snort 的方案設計 Snort 體系結構 Snort 是一款免費的 NIDS，具有小巧靈便、易于配置、檢測效率高等特性，常被稱為較量級的 IDS。 Snort 具有實時數(shù)據(jù)流量分析和 IP 數(shù)據(jù)包日志分析能力，具有跨平臺特征，能夠進行協(xié)議分析和對內容的搜索或匹配。 Snort 能夠 檢測不同的攻擊行為，如緩沖區(qū)溢出端口掃描和拒絕服務攻擊等，并進行實時報警。 Snort 的結構由以下 4 大軟件模塊組成。 （ 1） 數(shù)據(jù)包嗅探模塊 負責 監(jiān)聽網(wǎng)絡數(shù)據(jù)包，對網(wǎng)絡進行分析。 （ 2） 預處理模塊 該模塊用相應的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù) 的“行為”，如端口掃描、 IP 碎片等，數(shù)據(jù)包經過預處理后才傳到檢查引擎。 （ 3） 檢測模塊 該模塊是 Snort 的核心模塊。當數(shù)據(jù)包從預處理器送過來后，檢測引擎依據(jù)預先設置的規(guī)則檢測數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內容和某條規(guī)則相匹配，就通知報警模塊。 （ 4） 報警 /日志模塊 經檢測引擎檢查后的 Snort 數(shù)據(jù)需要以某種方式輸出。如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警，這條報警信息會通過網(wǎng)絡、 UNIX Socket Windows Popup( SMB)、 SNMP 協(xié)議的 Trap 命令傳送給日志文件，甚至可以將報警傳送給第三方插件（如 Snort Sam）。另外，報警信息也可以記入 SQL 數(shù)據(jù)庫。 Snort 體系結構如圖 41 所示。 圖 41 Snort 體系結構 網(wǎng)絡 數(shù)據(jù)包 嗅探 預處理器 檢測引擎 報警 /日志 規(guī)則庫 /攻擊簽名 日志文件 /規(guī)則庫 數(shù)據(jù) 形成規(guī)則鏈 第 14 頁（共 23 頁） Snort 規(guī)則 Snort 的成功之處在于其高效的整體設計編碼、簡潔明了的規(guī)則描述設計以及已將形成一定規(guī)模的攻擊檢測規(guī)則集。 Snort 使用一種簡單的、輕量級 的規(guī)則描述語言來描述它的規(guī)則配置信息，靈活而強大。 Snort 的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項。規(guī)則頭部包括規(guī)則行為、協(xié)議、源或目的 IP 地址、子網(wǎng)掩碼、源端口和目的端口；規(guī)則選項包含報警信息和異常包的信息（特征碼），基于特征碼決定是否采取規(guī)定的行動。對于每條規(guī)則來說，規(guī)則選項不是必須的，只是為了更加詳細地定義應該收集或者報警的數(shù)據(jù)包。只有匹配所有選項的數(shù)據(jù)包， Snort 才會執(zhí)行其規(guī)則行為。如果許多選項組合在一起，他們它們之間是“邏輯關系”的關系。 規(guī)則頭部的第一項定義了符合規(guī)則時 Snort 采取的動作，出了警報（ alert）之外，還有記錄數(shù)據(jù)包 (log)、丟棄數(shù)據(jù)包（ pass）以及較為復雜的激活（ activate）和動態(tài)（ dynamic）動作。規(guī)則頭部的下一部分指明規(guī)則關注的協(xié)議。 Snort 當前分析可疑包的 IP 協(xié)議有 3 種，即 TCP、 UDP 和 ICMP。接下來，規(guī)則頭部需要一組遵循給定格式的 IP 地址和端口號信息，通常要分別指出源發(fā)方和目的放的IP 地址和端口號，并且指明信息流動的方向。 IP 地址可以是一個網(wǎng)段，也可以指定為任何地址（ any）端口也可以指定為任何端口（ any）。 規(guī)則選項組成了 Snort 入侵檢測引擎的核心，所有的 Snort 規(guī)則選項用分號“；”隔開，規(guī)則選項關鍵字和它們的參數(shù)用冒號“：”分開。下面是一些重要的規(guī)則選項。 ? Msg 在報警和包日志中打印一條消息 ? dsize檢查包的數(shù)據(jù)部分大小 ? content在包的數(shù)據(jù)部分中搜索指定的樣式 ? nocase指定對 Content 字符串大小寫不敏感 ? Content— list在數(shù)據(jù)包中搜索多種可能匹配 ? Flags檢查 TCP Flags 的 值 ? ack檢查 TCP 應答的值 ? session記錄指定回話的應用層信息的內容 ? sidSnort 的規(guī)則標石 例如下面的一條規(guī)則： Alert tcp any any〉 ∕ 24 111（ content：＂ |00 01 86 a5|＂； msg：＂mountd access＂； ) 可以解釋為：對于到達網(wǎng)段 ∕ 24 上任一臺主機 111 端口的 TCP數(shù)據(jù)包，如果內容中包含形如“ |00 01 86 a5|”的字段，則將字 符串“ mountd access”作為報警信息輸出。 方案配置 方案描述 第 15 頁（共 23 頁） Windows 平臺下 Snort 的安裝與配置 由于需要對網(wǎng)絡底層進行操作，安裝 Snort前需要預先安裝 WinpCap（ WIN32平 臺 上 網(wǎng) 絡 分析 和 捕 獲 數(shù)據(jù) 包 的 鏈接 庫 ）。 WinPcap 的下載地址為 網(wǎng)站下載 Windows 平臺下的 Snort 安裝程序，雙擊安裝程序進行安裝，選擇安裝目錄為 D： \Snort。 ，為簡單起見，選擇不需要數(shù)據(jù)庫