入侵检测和Snort初探.docx

入侵检测和Snort初探.docx

《入侵检测和Snort初探.docx》由会员分享，可在线阅读，更多相关《入侵检测和Snort初探.docx（33页珍藏版）》请在冰豆网上搜索。

入侵检测和Snort初探

入侵检测和Snort初探

摘要:

随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。

但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。

然而，传统的网络安全技术已经很难对付这些日益严重的安全威胁，所以我们就有必要去开发专门的工具去避免这些不安全因素的攻击，而入侵检测技术便可以作为一种很重要的技术为我们所用。

本论文从入侵检测的基本理论和入侵检测中的关键技术出发,主要研究了一个简单的基于网络的Windows平台上的个人入侵检测系统的实现（PIDS，PersonalIntrusionDetectionSystem）。

论文首先分析了当前网络的安全现状，介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。

分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。

最后在Winpcap系统环境下实现本系统设计。

本系统采用异常检测技术，通过Winpcap截取实时数据包，同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块，采用量化分析的方法对信息进行分析。

系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。

关键词：

网络安全；Snort；入侵检测；

Abstract:

withtherapiddevelopmentofinformatizationandInternet,people'swork,studyandlifestyleishavingthehugechange,theefficiencyisgreatlyimproved,thegreatestdegreeofinformationresourcessharing.Butwemustsee,theproblemofnetworksecurityfollowingthedevelopmentofinformationizationandthegrowingbulge,ifthisproblemisnotsolved,theinformationwillhinderthedevelopmentprocess.However,thetraditionalnetworksecuritytechnologyhasbeendifficulttodealwiththeincreasinglyserioussecuritythreat,sowehavethenecessitytodevelopspecializedtoolstoavoidtheunsafefactorsofattack,andintrusiondetectiontechnologycanbeasoneofthemostimportanttechnologiesforustouse.

Startingfromthebasictheoryofkeytechnologyinthedetectionofintrusiondetectionandintrusionofthethesis,themainresearchapersonalnetworkintrusiondetectionsystemWindowsplatformbasedonsimple（PIDS,PersonalIntrusionDetectionSystem）.Thispaperfirstanalyzesthecurrentnetworksecuritystatus,introducedthehistoryofintrusiondetectiontechnologyandkeytheoryofcurrentintrusiondetectionsystem.AnalysisofWindowsnetworkarchitectureanddevelopmenttoolsWinpcappacketcaptureandfiltering.Finally,thissystemisdesignedinWinpcapenvironment.Thesystemusesanomalydetectiontechnology,throughtheWinpcaprealtimedatapacketinterception,andextracttheeventinformationandtransmittotheintrusiondetectionmodulefromtheinterceptedIPpacket,usingquantitativeanalysismethodtoanalyzetheinformation.Thesystemshowsthatinthepracticaltestforquantitativecharacteristicsofnetworkintrusionhasbetterdetectioncapabilities.

keyword:

snort;networksecurity;intrusiondetection;

目录

第一章研究的目的与意义1

1.1研究目的和意义1

1.2入侵检测系统目前存在的问题2

1.2.1阻断入侵的能力低3

1.2.2高误报率和高漏报率3

1.2.3入侵检测系统的研究方向3

1.3入侵检测技术有几个主要发展方向:

4

1.3.1分布式入侵检测与通用入侵检测架构4

1.3.2应用层入侵检测4

1.3.3智能的入侵检测4

1.3.4入侵检测的评测方法4

第二章入侵检测系统概述5

2.1当前网络环境5

2.2入侵检测系统的概述6

2.2.1发展历史7

2.2.2系统模型7

2.2.3 网络信息安全模型与技术8

2.3入侵检测系统的基本结构9

2.3.1数据收集10

2.3.2系统和网络日志文件10

2.3.3.非正常的目录和文件改变10

2.3.4非正常的程序执行11

2.3.5网络数据包11

2.3.6数据分析11

2.4入侵检测系统的分类11

第三章初探网络入侵检测系统（Snort）13

3.1 Snort规则13

3.2一个简单的规则范例16

第四章网络入侵检测系统（Snort）实验17

4.1实验平台的搭建17

4.1.1实验软件：

17

4.1.2安装步骤：

17

4.2运行snort:

26

第五章总结33

第六章致谢34

第七章参考文献35

第一章研究的目的与意义

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。

有很多是敏感信息，甚至是国家机密。

所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。

同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。

1.1研究目的和意义 

任何试图破坏网络活动的正常化都可以称为网络安全问题，过去保护网络安全的最常用、最传统的方法就是防火墙，但是防火墙只是一种被动防御性的网络安全工具，随着科学技术的不断发展，网络日趋复杂化，传统防火墙是不足以满足如今复杂多变的网络安全问题，在这种情况下，逐渐产生了入侵检测系统。

入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制．作为传统安全机制的补充，入侵检测技术不再是被动的对入侵行为进行识别和防护，而是能够提出预警并实行相应反应动作．入侵检测系统（IDS,Intrusion Detection System）可以识别针对计算机系统和网络系统，或更广泛意义上的信息系统的非法攻击，包括检测外界非法入侵者的恶意攻击或试探，以及内部合法用户的超越使用权限的非法行动．通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程，具有智能监控、实时探测、动态响应、易于配置等特点．

与防火墙不同的是，入侵检测不仅能检测外部非法入侵者的攻击和试探，同时还能发现内部合法用户的超越权限的非法行为．作为一种积极主动的安全防护方式，入侵检测系统不仅是防火墙有效的补充，还可以使系统管理员实时的了解网络系统中的各种变化，并根据记录的各种监控数据（如日志文件等）做出分析，为网络安全策略的制定提供指南．计算机网络安全是一项系统工程，应该在整体的安全策略的控制和指导下，综合运用各种防护工具的同时，利用检测工具了解和评估系统状态，通过适当的反应将系统调整到相对最安全和风险最低的状态．

入侵检测具有以下几个特点：

1）从系统的不同环节收集各种信息；

2）分析收集到的信息并试图寻找入侵信息活动的特征；

3）自动对检测到的行为做出响应；

4）记录并报告检测结果；

入侵检测系统的主要功能有[1]：

1）监测并分析用户和系统的活动；

2）核查系统配置及其漏洞；

3）评估系统重要资源和数据文件是否完整；

4）识别己知的入侵行为；

5）统计分析不正常行为；

6）根据操作系统的管理日志，识别违反安全策略的用户活动；

入侵检测技术是一种积极主动地安全防护技术，其核心在于它的检测引擎，如何实现高效快速的检测，是入侵检测技术的一个重要研究重点。

目前入侵检测技术主要分为两大类，分别是基于异常的入侵检测和基于规则的入侵检测。

由于目前的攻击主要是针对网络的攻击，因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包，使用相应的软件来提取入侵者所发出的攻击包的特征，然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配，如果在特征库中检测到相应的攻击包，就会发出入侵报警。

在与特征库进行匹配的过程中，用到的最主要的技术就是模式匹配，所以说在入侵检测系统中模式匹配是一个研究重点。

在国内，随着网络应用的日益增长，特别是那些关键部门对网络的应用使得网络安全问题至关重要，迫切需要高效的入侵检测产品来确保网络安全，但是，由于我国的入侵检测技术在网络安全领域的研究起步较晚，还不够成熟和完善，需要投入较多的精力来对这方面进行探索研究，特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域，这对抑制黑客攻击和网络病毒的传播，提高网络安全具有重要意义。

1.2入侵检测系统目前存在的问题 

近年来,入侵检测系统得到了快速发展。

国外有很多实验室和公司在从事入侵检测系统的研究和开发工作，已经完成了原形系统和产品。

如思科公司的 Net Ranger，ISS 公司的 Real Secure 等。

国内的研究机构和从事网络安全产品的公司也进行了相关的研究开发，国内的入侵检测产品比较少典型的产品有东软公司的NetEye IDS ，清华紫光的 UNISIDS入侵检测系统等。

但入侵检测系统在技术上还有许多问题有待解决。

1.2.1阻断入侵的能力低 

虽然入侵检测系统有发现入侵、阻断连接的作用。

提供对内部攻击、外部攻击和误操作的实时保护。

但它的工作重点是放在对入侵行为的识别。

为提高网络安全，有效识别黑客入侵，必须提高阻断入侵的能力。

可考虑将入侵检测系统与防火墙联合起来，配置好 IDS 的安全策略，指定响应对象防火墙的地址及密钥，由 IDS 发起与防火墙的连接，建立正常连接后，IDS产生新的安全事件通知防火墙，防火墙随之做出安全