入侵检测系统 Snort 介绍.pptxVIP

入侵检测系统 Snort 介绍计算机信息安全技术 入侵检测系统 Snort 介绍 Snort的特点 Snort系统的组成 Snort系统模型 Snort的入侵检测过程 入侵检测系统Snort介绍 1. Snort的特点 1) 跨平台性 2) 体积小，安装迅速，维护方便。 3) Snort具有实时流量分析和提供日志功能。 4) Snort能够进行协议分析，对数据包进行内容的搜索/匹配。能够检测出各种不同方式的攻击。 5) Snort的报警机制很丰富。 6) Snort的日志格式既可以是tcpdump式的二进制格式，也可以解码成ASCII字符形式，便于用户检查。 7) 良好的扩展性。 8) Snort支持插件，可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展。 9) 符合公共通用许可证（GPL）的要求。 任何企业、个人、组织都可以免费使用它作为自己的NIDS 入侵检测系统Snort介绍 2.Snort系统的组成 1) 数据包解码器 该子系统的功能为捕获网络的传输数据并按照TCP/ IP协议的不同层次将数据包进行解析。Snort利用lipcap库函数进行采集数据，该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数并可以设置数据包的过滤器来捕获指定的数据。网络数据采集和解析机制是整个Snort实现的基础，其中关键的是要保证高速率和低丢包率，这不仅仅取决于软件的效率还同硬件的处理能力相关。对于解析机制来说，能够处理数据包类型的多样性也同样非常重要，目前，Snort可以处理以太网，令牌环以及SLIP等多种类型的包。 入侵检测系统Snort介绍 2) 检测引擎 检测引擎是Snort的核心，准确性和快速性是衡量其性能的重要指标，前者主要取决于对入侵行为特征码的提取的精确性和规则撰写的简洁实用性，由于网络入侵检测系统是被动的检测流经本网络的数据，而不能主动发送数据包去探测，所以只有将入侵行为的特征码归结为协议的不同字段的特征值，通过检测该特征值来决定入侵行为是否发生。后者主要取决于引擎的组织结构，是否能够快速地进行规则匹配。 为了能够快速准确地进行检测，Snort将检测规则利用链表的形式进行组织，分为两部分:规则头和规则选项。前者是所有规则共有的包括IP地址、端口号等，后者是根据不同规则包括相应字段的关键字。当进行规则的匹配时，在链表的两个方向同时进行，检测引擎只检测那些一开始在规则解析器中设置好了的规则选项。当检测引擎检测到第一个与被解码的包相匹配的规则时，检测引擎触发相应的动作并返回。 入侵检测系统Snort介绍 3) 日志/ 报警子系统 Snort对每个被检测的数据包都定义了如下3种处理方式:alert(发送报警信息)、log(记录该数据包)和pass(忽略该数据包)。具体是在检测规则中定义的，在日志/ 报警子系统中完成的，日志子系统允许你将包解码收集到的信息以可读的格式或以tcpdump 格式记录下来。报警子系统是将报警信息发送到syslog、用户指定的文件、Unix套接字或数据库中。 入侵检测系统Snort介绍 3. Snort系统模型 1）主控模块实现的功能包括所有模块的初始化、命令行解释、配置文件解释、数据包捕获库libpcap初始化，然后调用libpcap开始捕获数据包，并进行解码检测入侵，管理所有插件。 2）解码模块把从网络上抓取的原始数据包，从下向上沿各个协议栈进行解码并填充相应的数据结构，以便规则处理模块处理。 3）规则处理模块实现对这些报文进行基于规则的模式匹配工作，检测入侵行为，初始化阶段负责规则文件解释和规则语法树的构建。 4）规则处理模块在执行检测工作时使用了三种形式的插件，分别为预处理插件模块，处理插件模块和输出插件模块。 5）预处理插件在模式匹配之前进行，对报文进行分片重组、流重组和异常检查。 6）处理插件主要检查数据包的各个方面，如数据包大小、协议类型、IP/ ICMP/ TCP选项等，辅助规则匹配完成检测功能。 7）输出插件实现在检测到攻击后执行各种输出和反应的功能。 8）日志模块实现各种报文日志功能 入侵检测系统Snort介绍 预处理插件处理插件输出插件规则处理模块使用日志模块调用解码模块主控模块 入侵检测系统Snort介绍 3. Snort的入侵检测过程 Snort的入侵检测过程分为两步。 1) 规则解析过程 Snort首先读取规则文件，紧接着依次读取每一条规则，然后对其进行解析，并用相应的规则语法表示；在内存中对规则进行组织，建立规则语法树。 2) 规则匹配过程 规则匹配的过程就是对从网络上捕获的每一条数据报文和上面的规则树进行匹配的过程。如果发现存在一条规则匹配这个报文，就表示检测到了一个攻击，然后根据规则指定的行为进行处理；如果搜索完所有的