入侵检测课程设计-基于snort的入侵检测系统Word下载.docx
《入侵检测课程设计-基于snort的入侵检测系统Word下载.docx》由会员分享,可在线阅读,更多相关《入侵检测课程设计-基于snort的入侵检测系统Word下载.docx(31页珍藏版)》请在冰豆网上搜索。
1、通过实验深入理解入侵检测系统的原理和工作方式。
2、熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。
3、通过使用Snort,了解基于网络和主机的入侵检测系统的工作原理和应用方法。
二、课程设计的原理
1、入侵检测技术简介
入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。
它可以用来发现外部攻击与合法用户滥用特权,根据用户的历史行为,基于用户的当前操作,完成对入侵的检测,记录入侵证据,为数据恢复和事故处理提供依据。
入侵检测系统的原理如图A所示:
用户当前操作的数据
入侵检测
监测
用户的历史操
攻击?
否
是
作出响应
作数据
图A 入侵检测的原理图
大多数的入侵检测系统都可以被归入到基于主机、基于网络以及分布式三类。
基于主机的入侵检测系统是一种早期的IDS设计模型,它主要设计用来监视单一的服务器,因为DNS、Email和web服务器是多数网络攻击的目标,这些攻击大约占据全部网络攻击事件的1/3以上,基于主机的入侵检测系统就是为了解决这些问题而设计的,它能够监视针对主机的活动(用户的命令、登录/
退出过程,使用数据等等),它的特点就是针对性好而且,效果明显,误报率低。
基于网络的入侵检测系统是后于基于主机入侵检测系统而出现的,它主要用于
集中用于监控通过网络互连的多个服务器和客户机,能够监视网络数据发现入侵或者攻击的蛛丝马迹。
分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。
在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否是入侵行为,然后系统根据检测结果采取相应的行动。
入侵检测的过程是一个机器(检测工具)与人
(黑客)对抗的决策分析过程,其技术基础是基于知识的智能推理,需要用到人工智能的相关技术。
各种入侵检测系统使用的检测方法可以分为两类:
基于特征码的检测方法和异常检测。
使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知的攻击特征。
例如:
在某些URL中包含一些奇怪的Unicode编码字符就是针对IISUnicode缺陷的攻击特征。
此外各种模式匹配技术的应用,提高了这种
检测方法的精确性。
使用异常检测的系统能够把获得的数据与一个基准进行比较,检测这些数据是否异常。
如果一个雇员的工作时间是上9点到下午
5点,但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器,这就是一个异常事件,需要深入调查。
现在,大量的统计学方法用于这个领域。
(1)入侵检测系统定义
入侵检测系统(IntrusionDetectionSystem,简称IDS)是一种从计算机网络或计算机系统中的若干关键点收集入侵者攻击时所留下的痕迹,如异常网络数据包与试图登录的失败记录等信息,通过分析发现是否有来自于外部或内部的违反安全策略的行为或被攻击的迹象。
它以探测与控制作为技术本质,起着主动式、动态的防御作用,是网络安全中极其重要的组成部分。
目前入侵检测涉及到的功能有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集与系统相关的补丁、进行审计跟踪识别违反安全策略的行为、使用诱骗服务器记录黑客行为等功能,使系统管理员可以较有效地监视、审计、评估自己的系统等。
(2)入侵检测系统的作用
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
(3)入侵检测系统的检测信息来源
入侵检测系统的检测信息来源都是通过自身的检测部分Sensor得到的。
基于网络的入侵检测,主要是通过对网络数据包的截取分析,来查找具有攻击特性和不良企图的数据包的。
在网络里基于网络的入侵检测系统的检测部分
Sensor一般被布置在一个交换机的镜象端口(或者一个普通的HUB任意端口),听取流经网络的所有数据包,查找匹配的包,来得到入侵的信息源。
基于主机的入侵检测系统的Sensor不可能直接从系统内部获取信息的,它是要通过一个事先做好的代理程序,安装在需要检测的主机里的,这些代理程序主要收集系统和网络日志文件,目录和文件中的不期望的改变,程序执行中的不期望行为,物理形式的入侵信息。
(4)入侵检测方法介绍
当前入侵检测技术的发展方向主要有两个:
一是基于异常方式的入侵检测
(AnomalyDetection),另一个是基于误用方式的入侵检测(MisuseDetection)。
基于异常入侵检测技术是通过检测攻击者与合法用户具有的不同特征来识
别入侵行为。
例如,如果用户A仅仅是在早上9点钟到下午5点钟之间在办公室使用计算机,则用户A在晚上的活动是异常的,就有可能是入侵。
异常检测试图通过定量方式描述常规的或可接受的行为,以标记非常规的、潜在的入侵行为。
异常入侵检测的主要前提是入侵性活动作为异常活动的子集,异常检测主要使用概率统计方法,还有顺序模式归纳产生法和神经网络等检测方法。
随着对计算机系统弱点和攻击方法的不断收集和研究,入侵特征化描述的方法越来越有效,这使得误用检测的使用也越来越广泛。
基于误用入侵检测技术是根据己知的入侵模式来检测。
入侵者常常利用系
统和应用软件的弱点进行攻击,而这些弱点可以归类为某种模式,如果入侵者攻击方式恰好匹配上检测系统中的模式库,则入侵者即被检测到。
例如,
Windows的IIS常见的CGI,SQL等漏洞,就可以根据它的攻击特征进行检测。
误用检测使用的方法主要有专家系统、状态转换分析、基于模型的方法和模式匹配,人工智能技术、免疫检测和自主代理等方法正在实践或者科研当中。
2、Snort简介
Snort是一个强大的轻量级的网络入侵检测系统。
它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容搜索/匹配。
它能够检测各种不同的攻击方式,对攻击进行实时警报。
此外,Snort具有很好的扩展性和可移植性。
(1)Snort的特点:
Snort是一个强大的清量级的网络入侵检测系统。
它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索/匹配。
还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
①Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。
Snort可移植性非常好。
Snort的跨平台性能极佳,目前已经支持Linux系列, Solaris,BSD系列,IRIX,HP-UX,Windows系列,
ScoOpenserver,Unixware等。
②Snort具有实时流量分析和日志Ip网数据包的能力。
能够快速地检测网络攻击,及时地发出警报。
Snort的警报机制很丰富。
Syslog,用户指定文件,UnixSocket,还有使用SAMBA协议向
Windows客户程序发出WinPopup消息。
利用XML插件,Snort可以使用
SNML(简单网络标记语言.simplenetworkmarkuplanguage)把日志存放在一个文件或者适时警报。
③Snort能够进行协议分析,内容的搜索/匹配。
现在Snort能够分析的协议有TCP,UDP和ICMP。
将来的版本,将提供对
ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。
它能够检测多种
方式的攻击和探测,例如:
缓冲区溢出,CGI攻击,SMB检测,探测操作系统质问特征的企图等等。
④Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成
ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:
Postagresql,MySQL,任何
UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。
⑤使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。
Snort能够对IP包的内容进行匹配,但是对于TCP攻击,如果攻击者使用一个程序,每次发送只有一个字节的数据包,完全可以避开Snort的模式匹配。
而被攻击的主机的TCP西医栈会重组这些数据,将其发送给目标端口上监听的进程,从而使攻击包逃过Snort的监视。
使用TCP流插件,可以对TCP包进行缓冲,然后进行匹配,使Snort具备对付上面攻击的能力。
⑥使用Spade(StatisticalPacketAnomalyDetectionEngine)插件,Snort能够报告非正常的可以包,从而对端口扫描进行有效的检测。
⑦Snort还有很强的系统防护能力。
如:
是用其IPTables,IPFilter插件可以使
入侵检测主机与防火墙联动,通过FlexResp功能,Snort能够命令防火墙主动短开恶意连接。
⑧扩展性能较好,对于新的攻击威胁反应迅速。
作为一个轻量级的网络入侵检测系统,Snort有足够的扩展能力。
它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。
最基本的规则知识包含四个域:
处理动作,协议,方向,端口。
例如LogTcpAnyany->
10.1.1.0/2480(谁都看得明白)
⑨Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。
Snort当前支持的插件包括:
数据库日志输出插件,破碎数据包检测插件,断口扫描检测插件,HTTPURI插件,XML网页生成等插件。
⑩Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。
发现新攻击后,可以很快地根据Bugtrag邮件列表,找到特征码,写出新的规则文件。
(2)Snort的工作模式
Snort有三种工作模式:
嗅探器、数据包记录器、网络入侵检测系统。
嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
数据包记录器模式把数据包记录到硬盘上。
网路入侵检测模式是最复杂的,而且是可配置的。
我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
(3)Snort系统工作原理
Snort作为一个基于网络的入侵检测系统(NIDS),在基于共享网络上检测原始的网络传输数据,通过分析捕获的数据包,匹配入侵行为的特征或者从网络活动的角度检测异常行为,进而采取入侵的告警或记录。
从检测模式而言,
Snort属于是误用检测,即对已知攻击的特征模式进行匹配。
从本质上来
升级会员 