windows入侵检测系统部署 .pdfVIP

网络安全

课程设计报告

学院：

专业名称：

学号：

姓名：

指导教师：

时间：

课程设计任务书

1.本课题的意义

课程设计要求

1、根据所给指导书的要求，从中选择题目，或者自选题目（必须与网络安全课

程相关），综合应用所学知识，完成题目规定的各项要求。

2、课程设计报告要求内容完整、书写规范、阐述清晰。

3、课程设计报告要求能够综合运用所学的网络安全知识解决实际问题，内容必

须包含：必要的理论分析、完整的设计文档、能够运行的程序或者演示系统、规

范编写的源代码（含必要的注释）。

2.4、能够广泛查阅资料，可以参考借鉴网络上的资源、软件等。

一、课程设计题目：

windows入侵检测系统部署

要求：

在windows平台下部署snort入侵检测系统，制定详细的入侵检测

规则，给出检测报告。至少给出5种以上不同类型的检测方法与结果。

二、Snort的工作原理

1)包捕获，解码引擎：首先，利用Winpcap从网卡捕获网络上的数据包，然

后数据包经过解码引擎填入到链路层协议的包结构体中，以便对高层次的协议进

行解码，如TCP和UDP端口。

2)预处理器插件：接着，数据包被送到各种各样的预处理器中，在检测引擎

处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修

改某些东西。

3)规则解析和检测引擎：然后，包被送到检测引擎。检测引擎通过各种规则

文件中的不同选项来对每个包的特征和包信息进行单一、简单的检测。检测引擎

插件对包提供额外的检测功能。规则中的每个关键字选项对应于检测引擎插件，

能够提供不同的检测功能。

4)输出插件：Snort通过检测引擎、预处理器和解码引擎输出报警。

三、规则解析

Snort采取命令行方式运行。格式为：snort-[options]。options中可选的参数很

多，下面逐一介绍。

首先介绍-[options]的内容：

-A设置告警方式为full,fast或者none。在full方式下，Snort将传统的告警信息

格式写入告警文件，告警内容比较详细。在fast方式下，Snort只将告警时间，

告警内容，告警IP地址和端口号写入文件。在none方式下，系统将关闭告警功

能。

-a显示ARP包

-b以tcpdump的格式将数据包记入日志。所有的数据包将以二进制格式记入名

为snort.log的文件中。这个选项提高了snort的操作速度，因为直接已二进制存

储，省略了转换为文本文件的时间，通过-b选项的设置，snort可以在100Mbps

的网络上正常工作。

-c使用配置文件。这是一个规则文件。文件内容主要控制系统哪些包需要记入

日志，哪些包需要告警，哪些包可以忽略等。

-C仅抓取包中的ASCII字符

-d抓取应用层的数据包

-D在守护模式下运行Snort。告警信息发送至/var/log/snort.alert，除非特别配置。

-e显示和记录网络层数据包头信息

-F从文件中读取BPF过滤信息。

-h设置(C类IP地址)为内部网络.当使用这个开关时,所有从外部的流量将会有

一个方向箭头指向右边,所有从内部的流量将会有一个左箭头.这个选项没有太大

的作用,但是可以使显示的包的信息格式比较容易察看.

-i使用网络接口文件。

-l将包信息记录到目录下。设置日志记录的分层目录结构，按接收包的IP地址

将抓取的包存储在相应的目录下。

-M向〉文件中的工作站发送WinPopup消息。文件格式非常简单。文件的每一

行包含一个目的地址的SMB名。

-n处理完包后退出。

-N关闭日志功能。告警功能仍然工作。

-o改变应用于包的规则的顺序。标准的应用顺序是：Alert-Pass-Log；采用-o

选项后，顺序改为：Pass-Alert-Log，允许用户避免使用冗长的BPF命令行来

过滤告警规则。

-p关闭混杂模式的嗅探（sniffing）。这个选项在网络严重拥塞时十分有效。

-r读取tcpdump生成的文件。Snort将读取和处理这个文件。例如：当你已经得

到了一个Shadow文件或者tcpdump格式的文件，想处理文件包含的内容时，这

个选项就很有用了。

-s将告警信息记录到系统日志