snort日志分析和管理工具.doc

snort日志分析和管理工具2001年08月20日13:57:03　　1.什么是入侵检测2.什么是snort3.什么是日志分析4.snort的日志格式4.1.基于文本的格式4.2.tcpdump格式4.3.数据库5.工具5.1.管理基于文本日志的工具5.2.基于tcpdump日志文件的分析工具5.3.数据库分析工具　　参考　　简介　　snort是一个轻量级的网络入侵检测系统，它可以记录所有可能的入侵企图。记录信息的文件可以是文本、XML、libpcap格式，也可以把把信息记录到syslog或者数据库。本文将介绍一些用于snort日志管理的工具。不过，本文无法囊括所有的分析工具。因为snort作为一个自由、健壮的入侵检测系统，受到很多人的关注，因此针对它开发的工具层出不穷。libpcap(也就是tcpdump格式)和数据库。我们将主要介绍这些工具的安装和功能。1.什么是入侵检测(用户的命令、登录/退出过程，使用的数据等等)，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。此外各种模式匹配技术的应用，提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较，检测这些数据是否异常。例如：如果一个雇员的工作时间是上9点到下午5点，但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器，这就是一个异常事件，需要深入调查。现在，大量的统计学方法用于这个领域。2.什么是snortsnort是一个基于libpcap的轻量级网络入侵检测系统。它运行在一个“传感器(sensor)”主机上，监听网络数据。这台机器可能是一台简陋的运行FreeBSD系统的Pentium100 PC，并且至少有一个网卡。不过建议使用最好的机器作为进行入侵检测的主机。snort能够把网络数据和规则集进行模式匹配，从而检测可能的入侵企图；或者使用SPADE插件，使用统计学方法对网络数据进行异常检测。snort使用一种易于扩展的模块化体系结构，感兴趣的开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括：HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。snort还是一个自由、简洁、快速、易于扩展的入侵检测系统，已经被移植到了各种UNIX平台和WinY2K上。同时，它也是目前安全领域中，最活跃的开放源码工程之一。snort还是昂贵的商业入侵检测系统最好的替代产品之一。3.什么是日志分析(例如：snort)安装成功后，并不表示一切都万事大吉了，你还有许多事情要做。snort启动后，它会在的硬盘上记录大量的报警信息。因此，你需要工具对日志或者报警文件进行分析。不同你的需要和安全形势，要求你使用不同的工具。你可能只要一个日志汇总，或者你的经理要求你提供一个最近15次攻击的报告。还有，对于某个报警你可能需要获取更多的信息，以便做进一步的研究。不管是出于什么目的，日志分析可以帮助你从日志中获取有用的信息，使你可以针对攻击威胁采取必要措施。4.snort的日志格式snort的报警形式。基于文本的格式、libpcap格式和数据库是snort最重要的三种报警形式。本文中，我将主要对每种报警形式及其配置进行介绍，然后我将针对这些数据格式介绍一些分析工具。4.1.基于文本的格式　　如果在启动snort时，你使用了-A [fast|full|none]选项，snort就会把报警信息保存到一个文件中。例如：[**] INFO - ICQ Access [**]　　[Classification: content:MKD / ] [Priority: 0]　　05/10-10:02:31.953089 .:54835 - :80　　TCP TTL:127 TOS:0x0 ID:13690 IpLen:20 DgmLen:482 DF　　***AP*** Seq: 0x112BDD12 Ack: 0x11B38D8A Win: 0x4510　　TcpLen: 20　　其中，[Classification: content:MKD / ] [Priority: 0]是报警的分类和优先级，这是snort 1.8beta版开始加入的新特征。syslog文件snort.conf文件中以下几行的注释，可以使snort向系统日志文件中日志数据：output alert_syslog: