[工学]信息安全 chapter12.ppt

12.4 入侵检测的发展 1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法 1987年Denning研究发展了实时入侵检测系统模型 IDES入侵检测专家系统：IDES提出了反常活动与计算机不正当使用之间的相关性。 80年代，基于主机的入侵检测 90年代，基于主机和基于网络入侵检测的集成 概念诞生 1980 产生模型 80年代中期 模型发展 80年代后期-90年代初 网络IDS 1990-现在 异常检测 90年代初-现在 智能IDS 目前 发展历史 基于主机 前沿技术 人工神经网络技术 人工免疫技术 数据挖掘技术 12.5 入侵检测系统的局限性 误报和漏报的矛盾 隐私和安全的矛盾 被动分析与主动发现的矛盾 海量信息与分析代价的矛盾 功能性和可管理性的矛盾 单一产品与复杂网络应用的矛盾 12.6 网络入侵检测系统Snort Snort是最流行的免费NIDS。 Snort是基于滥用检测的IDS，使用规则的定义来检查网络中的问题数据包。 Snort由以下几个部分组成：数据包嗅探器、预处理器、检测引擎、报警输出模块 检测规则 网络/Internet 嗅探器 预处理器 检测引擎 报警/日志 日志/数据库 Snort在网络中的应用 Snort的检测流程 snort规则 Snort规则被分成两个逻辑部分：规则头和规则选项。 规则头包含规则的动作，协议，源和目标IP地址与网络掩码，以及源和目标端口信息； 规则选项部分包含报警消息内容和要检查的包的具体部分。 下面是一个规则范例： alert tcp any any - 192.168.1.0/24 111 (content:　00 01 86 a5　; msg: mountd access;)  规则头 规则动作： 规则动作告诉snort在发现匹配规则的包时要干什么。在snort中有五种动作：alert、log、pass、activate和dynamic. 1、Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包。 2、Log-记录这个包。 3、Pass-丢弃（忽略）这个包。 4、activate-报警并且激活另一条dynamic规则。 5、dynamic-保持空闲直到被一条activate规则激活，被激活后就作为一条log规则执行。 协议 规则的下一部分是协议。Snort当前支持协议有四种：tcp 、udp、icmp和ip。将来可能会更多，例如ARP、IGRP、GRE、OSPF、RIP、IPX等。 方向操作符 方向操作符-表示规则所施加的流的方向。 方向操作符左边的ip地址和端口号被认为是流来自的源主机，方向操作符右边的ip地址和端口信息是目标主机， 还有一个双向操作符“”。它告诉snort把地址/端口号对既作为源，又作为目标来考虑。这对于记录/分析双向对话很方便，例如telnet或者pop3会话。用来记录一个telnet会话的两侧的流的范例如下： log !192.168.1.0/24 any 192.168.1.0/24 23  规则选项 规则选项组成了snort入侵检测引擎的核心，所有的snort规则选项用分号“;”隔开。规则选项关键字和它们的参数用冒号“:”分开。 snort中有42个规则选项关键字。 msg - 在报警和包日志中打印一个消息。 logto - 把包记录到用户指定的文件中而不是记录到标准输出。 ttl - 检查ip头的ttl的值。 tos 检查IP头中TOS字段的值。 id - 检查ip头的分片id值。 fragbits 检查IP头的分段位。 dsize - 检查包的净荷尺寸的值 。 flags -检查tcp flags的值。 seq - 检查tcp顺序号的值。 ack - 检查tcp应答（acknowledgement）的值。 window 测试TCP窗口域的特殊值。 content - 在包的净荷中有哪些信誉好的足球投注网站指定的样式。 netbus木马 netbus木马的客户端有两种，开放的都是12345或12346端口，如果仅仅连接其中任一端口，如TCP 12345就触发事件，那么就定义规则为：alert tcp $ EXTE RNAL_NET any 一 $ HOME— NET 12345(msg：“BACKDOOR netbus backdoor”；flow：to—server，established；) snort工作模式 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。 嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。 数据包记录器模式把数据包记录到硬盘上。 网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snor