第9章網絡入侵與入侵檢測/第9章網絡入侵與入侵檢測/1第9章入侵檢測系統本章要點基本的入侵檢測知識入侵檢測的基本原理和重要技術幾種流行的入侵檢測產品/2第9章入侵檢測系統本章要點/22入侵檢測系統是什么入侵檢測系統（Intrusion-detectionsystem，下稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于，IDS是一種積極主動的安全防護技術。入侵檢測作為動態安全技術的核心技術之一，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性，是安全防御體系的一個重要組成部分。/3入侵檢測系統是什么入侵檢測系統（Intr3理解入侵檢測系統(IDS)監控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey/4理解入侵檢測系統(IDS)監控室=控制中心后門保安=防火墻攝49.1入侵檢測概述首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻對來自內部的攻擊無能為力。它所提供的服務方式是要么都拒絕，要么都通過，不能檢查出經過它的合法流量中是否包含著惡意的入侵代碼，這是遠遠不能滿足用戶復雜的應用要求的。入侵檢測技術正是根據網絡攻擊行為而進行設計的，它不僅能夠發現已知入侵行為，而且有能力發現未知的入侵行為，并可以通過學習和分析入侵手段，及時地調整系統策略以加強系統的安全性。/59.1入侵檢測概述首先，入侵者可以找到防火墻的漏洞，繞過59.1.1入侵檢測概念1.入侵檢測與P2DR模型P2DR是Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應)的縮寫。其體系框架如圖6-1所示。其中各部分的含義如下。1) 安全策略(Policy)2) 防護(Protection)3) 檢測(Detection)4) 響應(Response)/69.1.1入侵檢測概念1.入侵檢測與P2DR模型/669.1.1入侵檢測概念2.入侵檢測的作用入侵檢測技術是通過對計算機網絡和主機系統中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當反應的網絡安全技術。它在傳統的網絡安全技術的基礎上，實現了檢測與反應，起主動防御的作用。這使得對網絡安全事故的處理，由原來的事后發現發展到了事前報警、自動響應，并可以為追究入侵者的法律責任提供有效證據。/79.1.1入侵檢測概念2.入侵檢測的作用/779.1.1入侵檢測概念3.入侵檢測的概念入侵檢測是指“通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”(參見國標GB/T18336)。入侵檢測系統的作用如圖6-2所示。/89.1.1入侵檢測概念3.入侵檢測的概念/889.1.1入侵檢測概念4.入侵檢測系統的發展歷史1980年4月，JamesAnderson為美國空軍作了一份題為ComputerSecurityThreatMonitoringandSurveillance(計算機安全威脅監控與監視)的技術報告，這份報告被公認為入侵檢測技術的開山鼻祖。1987年，喬治敦大學的DorothyDenning提出了第一個實時入侵檢測系統模型，取名為IDES。1988年的Morris蠕蟲事件發生之后，網絡安全才真正引起了軍方、學術界和企業的高度重視。1990年是入侵檢測系統發展史上的一個分水嶺，在這之前，所有的入侵檢測系統都是基于主機的，他們對于活動的檢查局限于操作系統審計蹤跡數據及其他以主機為中心的數據源。從20世紀90年代至今，對入侵檢測系統的研發工作已呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。/99.1.1入侵檢測概念4.入侵檢測系統的發展歷史/999.1.2入侵檢測功能入侵檢測的主要功能包括以下幾個方面。對網絡流量的跟蹤與分析功能。對已知攻擊特征的識別功能。對異常行為的分析、統計與響應功能。特征庫的在線和離線升級功能。數據文件的完整性檢查功能。自定義的響應功能。系統漏洞的預報警功能。IDS探測器集中管理功能。/109.1.2入侵檢測功能入侵檢測的主要功能包括以下幾個方面109.1.2入侵檢測功能其工作原理如下:(1) 信息收集信息的來源一般來自以下四個方面。系統和網絡日志文件。目錄和文件中的不期望的改變。程序執行中的不期望行為。物理形式的入侵信息。(2) 信息分析(3) 響應/119.1.2入侵檢測功能其工作原理如下:/11119.1.3入侵檢測系統分類1.根據數據來源和系統結構分類1) 基于主機的入侵檢測系統HIDS2) 基于網絡的入侵檢測系統NIDS3) 分布式入侵檢測系統DIDS/129.1.3入侵檢測系統分類1.根據數據來源和系統結構分12基于主機的入侵檢測系統（HIDS）主要用于保護運行關鍵應用的服務器。它通過監視與分析主機的審計記錄和日志文件來監測入侵。除了對審計記錄和日志文件的監測外，還有對特定端口、檢驗系統文件和數據文件的校驗和。/13基于主機的入侵檢測系統（HIDS）/1313優點：能確定攻擊是否成功。監控粒度更細。配置靈活。用于加密的以及交換的環境。對網絡流量不敏感。不需要額外的硬件。缺點：它會占用主機的資源，在服務器上產生額外的負載。缺乏平臺支持，可移植性差，因而應用范圍受到嚴重限制。基于主機的入侵檢測系統（HIDS）/14基于主機的入侵檢測系統（HIDS）/1414基于網絡的入侵檢測系統（NIDS）主要用于實時監控網絡關鍵路徑的信息，它偵聽網絡上的所有分組來采集數據，分析可疑現象。基于網絡的入侵檢測系統使用原始網絡包作為數據源。基于網絡的IDS通常利用一個運行在混雜模式下的網卡來實時監控并分析通過網絡的所有通信業務。/15基于網絡的入侵檢測系統（NIDS）/1515基于網絡的入侵檢測系統（NIDS）優點:監測速度快。隱蔽性好。視野更寬。較少的監測器。攻擊者不易轉移證據。操作系統無關性。可以配置在專用的機器上，不會占用被保護的設備上的任何資源。缺點：只能監視本網段的活動，精確度不高。在交換環境下難以配置。防入侵欺騙的能力較差。難以定位入侵者。/16基于網絡的入侵檢測系統（NIDS）優點:/1616分布式表現在兩個方面：首先數據包過濾的工作由分布在各網絡設備（包括聯網主機）上的探測代理完成；其次探測代理認為可疑的數據包將根據其類型交給專用的分析層設備處理，這樣對網絡信息進行分流，既提高了檢測速度，解決了檢測效率問題，又增加了DIDS本身抗擊拒絕服務攻擊的能力。分布式入侵檢測系統（DIDS）/17分布式表現在兩個方面：分布式入侵檢測系統（DIDS）/17179.1.3入侵檢測系統分類2.根據檢測方法分類1) 誤用檢測模型(MisuseDetection)2) 異常檢測模型(AnomalyDetection)3.根據系統各個模塊運行的分布方式分類1) 集中式入侵檢測系統2) 分布式入侵檢測系統/189.1.3入侵檢測系統分類2.根據檢測方法分類/18189.2入侵檢測技術本節介紹誤用檢測、異常檢測和高級檢測技術。在介紹入侵檢測技術的同時，也將對入侵響應技術進行介紹。/199.2入侵檢測技術本節介紹誤用檢測、異常檢測和高級檢測技199.2.1誤用檢測技術誤用檢測對于系統事件提出的問題是：這個活動是惡意的嗎？誤用檢測涉及對入侵指示器已知的具體行為的描述信息，然后為這些指示器過濾事件數據。其模型如圖所示。/209.2.1誤用檢測技術誤用檢測對于系統事件提出的問題是：209.2.1誤用檢測技術基于規則的專家系統專家系統是誤用檢測技術中運用最多的一種方法.用專家系統對入侵進行檢測,經常是針對有特征的入侵行為.所謂的規則,即是知識,不同的系統與設置具有不同的規則,將有關入侵的知識轉化為if-then結構,if部分為入侵特征,then部分是系統防范措施.當其中某個或某部分條件滿足時,系統就會判斷為入侵行為發生.運用專家系統防范入侵行為的有效性完全取決于專家系統知識庫的完備性,而建立一個完備性的知識庫對于一個大型網絡系統往往是很難的./219.2.1誤用檢測技術基于規則的專家系統/21219.2.1誤用檢測技術2.模式匹配系統模式匹配首先根據已知的入侵定義由獨立的事件、事件的序列、事件臨界值等通用規則組成入侵模式，然后觀察能與入侵模式相匹配的事件數據，達到發現入侵的目的。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。該技術的缺點是需要不斷升級以對付不斷出現的黑客攻擊手法,且不能監測到從未出現過的黑客攻擊手段.著名的開源的snort就是采用了這種檢測手段./229.2.1誤用檢測技術2.模式匹配系統/22229.2.1誤用檢測技術3.狀態轉換分析系統狀態轉換圖是貫穿模型的圖形化表示。如圖所示/239.2.1誤用檢測技術3.狀態轉換分析系統/23239.2.2異常檢測技術基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都有一定的規律，并且可以通過分析這些行為產生的日志信息總結出這些規律，而入侵行為通常和正常的行為存在嚴重的差異，通過檢查出這些差異就可以檢測出這些入侵。異常檢測模型如圖6-8所示。/249.2.2異常檢測技術基于異常的入侵檢測方法主要來源于這249.2.2異常檢測技術1.基于統計的異常入侵檢測1) 操作模型2) 方差模型3) 多元模型馬爾柯夫過程模型2.基于神經網絡的入侵檢測/259.2.2異常檢測技術1.基于統計的異常入侵檢測/25259.2.3高級檢測技術它們不一定是檢測入侵的方法，有的是為解決入侵檢測其他方面的問題提出的。1.免疫系統方法2.遺傳算法3.數據挖掘方法4.數據融合/269.2.3高級檢測技術它們不一定是檢測入侵的方法，有的是269.2.4入侵誘騙技術1.概念2.蜜罐技術及其基本原理1) 單機蜜罐系統2) 蜜網系統3.分布式入侵誘騙4.虛擬入侵誘騙/279.2.4入侵誘騙技術1.概念/27279.2.5入侵響應技術當IDS分析出入侵行為或可疑現象后，系統需要采取相應手段，及時做出反應，將入侵造成的損失降到最低程度。一般可以通過生成事件報警、電子郵件或短信息來通知管理員。1.入侵響應的重要性2.入侵響應系統的分類1) 通知和警報響應系統2) 人工手動響應系統3) 自動響應系統/289.2.5入侵響應技術當IDS分析出入侵行為或可疑現象后289.2.5入侵響應技術自動響應系統結構如下圖所示。/299.2.5入侵響應技術自動響應系統結構如下圖所示。/29299.2.5入侵響應技術3.入侵響應方式1) 主動響應方式(1) 針對入侵行為采取必要措施(2) 重新修正配置系統(3) 設計網絡陷阱以收集更為詳盡的信息2) 被動響應方式(1) 警報和通知/309.2.5入侵響應技術3.入侵響應方式/30309.3入侵檢測分析入侵檢測技術是一種當今非常重要的動態安全技術，如果與傳統的靜態安全技術共同使用，可以大大提高系統的安全防護水平。本節將介紹入侵檢測的特點、缺點及其和防火墻的比較。/319.3入侵檢測分析入侵檢測技術是一種當今非常重要的動態安319.3.1入侵檢測特點分析在人很少干預的情況下，能連續運行。當系統由于事故或惡意攻擊而崩潰時，具有容錯能力。當系統重新啟動時，入侵檢測系統能自動恢復自己的狀態。必須能抗攻擊。入侵檢測系統必須能監測自己的運行，檢測自身是否被修改。運行時，盡可能少地占用系統資源，以免干擾系統的正常運行。對被監控系統的安全策略，可以進行配置。必須能適應系統和用戶行為的變化。如增加新的應用，或改變用戶應用。當要實時監控大量主機時，系統應能進行擴展。入侵檢測系統一些部件因為某些原因停止工作時，應盡量減少對其他部分的影響。系統應能允許動態配置。當系統管理員修改配置時，不需要重新啟動系統。/329.3.1入侵檢測特點分析在人很少干預的情況下，能連續運329.3.2入侵檢測與防火墻1.防火墻的局限 防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對Web服務的注入攻擊等。防火墻無法發現內部網絡中的攻擊行為。2.入侵檢測系統與防火墻的關系入侵檢測系統(IntrusionDetectionSystem)是對防火墻有益的補充，入侵檢測系統被認為是防火墻之后的第二道安全閘門，對網絡進行檢測，提供對內部攻擊、外部攻擊和誤操作的實時監控，提供動態保護，大大提高了網絡的安全性。入侵檢測工作的主要特點有以下幾個方面。事前警告事中防護事后取證/339.3.2入侵檢測與防火墻1.防火墻的局限 /33339.3.3入侵檢測系統的缺陷1.當前入侵檢測系統存在的問題和面臨的挑戰1) 對未知攻擊的識別能力差2) 誤警率高2.入侵檢測系統的發展趨勢1) 分布式入侵檢測2) 智能化入侵檢測3) 網絡安全技術相結合/349.3.3入侵檢測系統的缺陷1.當前入侵檢測系統存在的349.4常用入侵檢測產品介紹IDS的硬件主要產品/359.4常用入侵檢測產品介紹IDS的硬件主要產品/35359.4常用入侵檢測系統9.4.11．綠盟科技“冰之眼”IDS/369.4常用入侵檢測系統9.4.1/36362．聯想網御IDS/372．聯想網御IDS/37373．瑞星入侵檢測系統RIDS-100/383．瑞星入侵檢測系統RIDS-100/38384．McAfeeIntruShieldIDS/394．McAfeeIntruShieldIDS/39399.4常用入侵檢測產品介紹IDS的軟件主要產品/409.4常用入侵檢測產品介紹IDS的軟件主要產品/40409.4常用入侵檢測產品介紹CASessionWallComputerAssociates公司的SessionWall-3，現在常稱為eTrustIntrusionDetection是業界領先的功能非常強大的基于網絡的入侵檢測系統。1.入侵檢測功能2.會話記錄、攔截功能3.防止網絡濫用4.活動代碼和病毒防護5.與其他安全產品集成與配合6.集中管理/419.4常用入侵檢測產品介紹CASessionWall419.4常用入侵檢測系統Snort應用一個綜合的Snort系統所需軟件有Windows平臺的Snort、windows版本的抓包驅動WinPcap、windows版本的數據庫服務器mysql、基于PHP的入侵檢測數據庫分析控制臺ACID、用于為php服務的活動數據對象數據庫adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服務器apache2、Windows版本的PHP腳本環境、支持php的圖形庫jpgraph等/429.4常用入侵檢測系統Snort應用/4242winpcapsnortMysqlAdobeApachePHPacid網絡jpgraph/43winpcapsnortMysqlAdobeApachePH43上述軟件可根據下列次序依次安裝配置1.安裝apache指定安裝目錄c:\ids\apache,下載apache，下載網址/httpd/binaries/win32/，運行下載好的“apache_2.0.63-win32-x86-no_ssl.msi”/44上述軟件可根據下列次序依次安裝配置/4444/45/4545/46/4646/47/4747/48/4848/49/4949/50/5050/51/5151/52/5252/53/5353/54/5454/55/5555安裝完成后，需測試按默認配置運行的網站界面，看Apache是否安裝成功。打開IE瀏覽器，在IE地址欄打確認，如看到圖9-21所示頁面，表示Apache服務器已安裝成功。/56安裝完成后，需測試按默認配置運行的網站界面，看Apache是56/57/5757Apache服務器安裝成功后，還需配置Apache服務器，如果不配置，安裝目錄下的Apache2\htdocs文件夾就是網站的默認根目錄，在里面放入文件就可以了。這里還是看一下配置過程。如圖9-22所示，單擊“開始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打開配置文件/58Apache服務器安裝成功后，還需配置Apache服務器，如58Apache配置文件網站根目錄配置/59Apache配置文件網站根目錄配置/59592、安裝php下載php，下載網址/downloads.php，將下載的php安裝文件php-5.2.8-Win32.zip右鍵解壓縮/602、安裝php/6060查看解壓縮后的文件夾C:\ids\PHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開編輯/61查看解壓縮后的文件夾C:\ids\PHP，找到“php.in61/62/6262需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就是使php能夠直接調用其模塊，比如訪問mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒去掉的，是因為“ext”目錄下默認沒有此模塊，加載會提示找不到文件而出錯。比如在此還沒有安裝mysql，所以“;extension=php_mysql.dll”前的“;”還不能去掉，安裝完mysql后再加來重新配置“php.ini”文件/63需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就63如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時候會提示“找不到指定模塊”的錯誤。簡單的方法是，直接將php安裝路徑、以及php安裝路徑下ext路徑指定到windows系統路徑中。在“我的電腦”上單擊右鍵，打開對話框“屬性”，選擇“高級”標簽，單擊【環境變量】，在“系統變量”下找到“Path”變量，選擇，點擊“編輯”，打開編輯系統變量對話框，將“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如圖9-29所示，全部確定。系統路徑添加好后要重啟電腦才能生效，可以現在重啟，也可以在所有軟件安裝或配置好后重啟。/64如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apa643．將php以module方式與Apache相結合安裝php后，將php以module方式與Apache相結合，使php融入Apache，依前面講述的方法打開Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置/653．將php以module方式與Apache相結合/6565/66/6666

測試結合是否成功。在C:\ids\Apache\Apache2\htdocs文件夾下編寫test.php文件，內容為<?php

phpinfo();

?>。打開瀏覽器輸入http://lcoalhsot/test.php，如果瀏覽到了php的信息則說明一切正常/67

測試結合是否成功。在C:\ids\Apache\Apach67/68/68684．安裝winpcap在瀏覽器中輸入/install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開始安裝界面安裝完后，采取默認值即可。/694．安裝winpcap/69695．安裝snort下載“Snort_2_8_3_1_Installer.exe”文件，下載網址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開snort認證許可界面，指定安裝路徑為c:\ids\snort文件夾/705．安裝snort/7070/71/7171圖9-42snort安裝成功界面測試snort安裝是否正確。運行“cmd“命令，打開cmd窗口，進入C:\ids\snort\snort\bin路徑，執行“snort.exe

–W”命令，如果安裝snort成功會出現一個可愛的小豬/72圖9-42snort安裝成功界面/7272/73/73736．安裝mysql在網站/Downloads可下載mysql，在此下載的mysql指定路徑為“mysql-5.0.22-win32.zip”，打開下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運行“setup.exe”/746．安裝mysql/7474/75/7575/76/7676/77/7777/78/7878/79/7979/80/8080/81/8181軟件安裝完成后，出現上界面，它提供了一個很好的功能，mysql配置向導，不用自己手動配置my.ini，這為很多非專業人士提供了方便。將“ConfiguretheMysqlServernow”勾選，點【Finish】結束軟件的安裝同時啟動mysql配置向導/82軟件安裝完成后，出現上界面，它提供了一個很好的功能，mysq82/83/8383/84/8484/85/8585/86/8686/87/8787/88/8888/89/8989/90/9090/91/9191/92/9292/93/9393/94/9494設置完畢后，會有圖9-62界面出現，按【Finish】結束mysql的安裝與配置。如果不能“Startservice”，先檢查以前安裝的mysql服務器是否徹底卸掉；如果確信在本次數據庫安裝前，上一次安裝的數據庫已卸載，再檢查之前的密碼是否有修改，如果依然有問題，將mysql安裝目錄下的data文件夾備份，然后徹底刪除數據庫，重新安裝，重新安裝后將安裝生成的data文件夾刪除，備份的data文件夾移回來，再重啟mysql服務。/95設置完畢后，會有圖9-62界面出現，按【Finish】結束m957．與Apache及php相結合前面已講過，Apache與php的結合，mysql與Apache及php相結合，基本是相似的。在php安裝目錄下，找到先前重命名并編輯過的php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關閉。/967．與Apache及php相結合/96968．創建snort數據庫的表復制c:\ids\snort\schames文件夾下的create_mysql文件到c:\ids\mysql\bin文件夾下。執行“開始”→“程序”→“MySQL”→“MySQLServer5.0”→“MySQLCommmandLineClient”，打開mysql的客戶端圖9-63打開mysql的客戶端執行如下命令：Create

database

snort;Create

database

snort_archive;Use

snort;Source

create_mysql;Use

snort_archive;Source

create_mysql;Grant

all

on

*.*

to

“root”@”localhost”/978．創建snort數據庫的表/97979.安裝adodb下載

adodb504.gz，在瀏覽器地址中輸入/sourceforge/adodb/adodb504.tgz即可提示下載，把下載的adodb504.gz解壓縮到C:\ids\PHP\adodb5文件夾下。/989.安裝adodb/9898

10．安裝jgraph下載jpgraph，下載地址http://www.aditus.nu/jpgraph/jpdownload.php，解壓縮jpgraph到c:\ids\PHP\jpgraph文件夾下。/99

10．安裝jgraph/999911．安裝acid下載acid，下載地址/，解壓縮acid到C:\ids\PHP\jpgraph-1.26文件夾下。在C:\ids\Apache\Apache2\htdocs\acid目錄下，打開acid_conf.php文件，修改acid_conf.php文件為以下內容，如圖9-65所示：$DBlib_path

=

"c:\ids\PHP\adodb5";$DBtype

=

"mysql";$alert_dbname

=

"snort";$alert_host

=

"localhost";$alert_port

=

"3306";$alert_user

=

"root";$alert_password

=

"66666666";$archive_dbname

=

"snort_archive";$archive_host

=

"localhost";$archive_port

=

"3306";$archive_user

=

"root";$archive_password

=

"66666666";$ChartLib_path

=

"c:\ids\PHP\jpgraph-1.26\src";/10011．安裝acid/100100重啟apache、mysql服務。在瀏覽器中輸入http://localhost/acid/acid_db_setup.php，如果配置正確，會出現圖/101重啟apache、mysql服務。在瀏覽器中輸入http101/102/10210212．解壓縮snort規則包登錄網站，注冊，下載snort規則壓縮包，把壓縮包內的所有文件解壓縮到c:\ids\snort\下。至此，一個綜合的Snort系統才算安裝配置完成。但在安裝過程中，是否還存在其它問題，還需對snort進行應用測試。/10312．解壓縮snort規則包/10310313．對snort測試檢錯打開cmd窗口，輸入命令C:\ids\snort\bin\snort.exe

–c

c:\ids\snort\etc\snort.conf

–l

c:\ids\snort\log–d

-e

–X-v/10413．對snort測試檢錯/10410414．查看統計數據打開瀏覽器，輸入/acid/acid_main.php，上述安裝配置完全正確，則應有圖9-70的顯示結果。/10514．查看統計數據/105105/106/10610615．Snort的啟動，停止和重啟啟動snort入侵檢測，用命令snort.exe

–c

c:\ids\snort\etc\snort.conf

–l

c:\ids\snort\log–d

-e

–X-v手工啟動Snort/10715．Snort的啟動，停止和重啟/10710716．Snort命令行選項Snort有很多命令行選項，可以在啟動Snort的時候根據情況選擇/10816．Snort命令行選項/108108第9章網絡入侵與入侵檢測/第9章網絡入侵與入侵檢測/109第9章入侵檢測系統本章要點基本的入侵檢測知識入侵檢測的基本原理和重要技術幾種流行的入侵檢測產品/110第9章入侵檢測系統本章要點/2110入侵檢測系統是什么入侵檢測系統（Intrusion-detectionsystem，下稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于，IDS是一種積極主動的安全防護技術。入侵檢測作為動態安全技術的核心技術之一，是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性，是安全防御體系的一個重要組成部分。/111入侵檢測系統是什么入侵檢測系統（Intr111理解入侵檢測系統(IDS)監控室=控制中心后門保安=防火墻攝像機=探測引擎CardKey/112理解入侵檢測系統(IDS)監控室=控制中心后門保安=防火墻攝1129.1入侵檢測概述首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻對來自內部的攻擊無能為力。它所提供的服務方式是要么都拒絕，要么都通過，不能檢查出經過它的合法流量中是否包含著惡意的入侵代碼，這是遠遠不能滿足用戶復雜的應用要求的。入侵檢測技術正是根據網絡攻擊行為而進行設計的，它不僅能夠發現已知入侵行為，而且有能力發現未知的入侵行為，并可以通過學習和分析入侵手段，及時地調整系統策略以加強系統的安全性。/1139.1入侵檢測概述首先，入侵者可以找到防火墻的漏洞，繞過1139.1.1入侵檢測概念1.入侵檢測與P2DR模型P2DR是Policy(安全策略)、Protection(防護)、Detection(檢測)、Response(響應)的縮寫。其體系框架如圖6-1所示。其中各部分的含義如下。1) 安全策略(Policy)2) 防護(Protection)3) 檢測(Detection)4) 響應(Response)/1149.1.1入侵檢測概念1.入侵檢測與P2DR模型/61149.1.1入侵檢測概念2.入侵檢測的作用入侵檢測技術是通過對計算機網絡和主機系統中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并做出適當反應的網絡安全技術。它在傳統的網絡安全技術的基礎上，實現了檢測與反應，起主動防御的作用。這使得對網絡安全事故的處理，由原來的事后發現發展到了事前報警、自動響應，并可以為追究入侵者的法律責任提供有效證據。/1159.1.1入侵檢測概念2.入侵檢測的作用/71159.1.1入侵檢測概念3.入侵檢測的概念入侵檢測是指“通過對行為、安全日志或審計數據或其他網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”(參見國標GB/T18336)。入侵檢測系統的作用如圖6-2所示。/1169.1.1入侵檢測概念3.入侵檢測的概念/81169.1.1入侵檢測概念4.入侵檢測系統的發展歷史1980年4月，JamesAnderson為美國空軍作了一份題為ComputerSecurityThreatMonitoringandSurveillance(計算機安全威脅監控與監視)的技術報告，這份報告被公認為入侵檢測技術的開山鼻祖。1987年，喬治敦大學的DorothyDenning提出了第一個實時入侵檢測系統模型，取名為IDES。1988年的Morris蠕蟲事件發生之后，網絡安全才真正引起了軍方、學術界和企業的高度重視。1990年是入侵檢測系統發展史上的一個分水嶺，在這之前，所有的入侵檢測系統都是基于主機的，他們對于活動的檢查局限于操作系統審計蹤跡數據及其他以主機為中心的數據源。從20世紀90年代至今，對入侵檢測系統的研發工作已呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。/1179.1.1入侵檢測概念4.入侵檢測系統的發展歷史/91179.1.2入侵檢測功能入侵檢測的主要功能包括以下幾個方面。對網絡流量的跟蹤與分析功能。對已知攻擊特征的識別功能。對異常行為的分析、統計與響應功能。特征庫的在線和離線升級功能。數據文件的完整性檢查功能。自定義的響應功能。系統漏洞的預報警功能。IDS探測器集中管理功能。/1189.1.2入侵檢測功能入侵檢測的主要功能包括以下幾個方面1189.1.2入侵檢測功能其工作原理如下:(1) 信息收集信息的來源一般來自以下四個方面。系統和網絡日志文件。目錄和文件中的不期望的改變。程序執行中的不期望行為。物理形式的入侵信息。(2) 信息分析(3) 響應/1199.1.2入侵檢測功能其工作原理如下:/111199.1.3入侵檢測系統分類1.根據數據來源和系統結構分類1) 基于主機的入侵檢測系統HIDS2) 基于網絡的入侵檢測系統NIDS3) 分布式入侵檢測系統DIDS/1209.1.3入侵檢測系統分類1.根據數據來源和系統結構分120基于主機的入侵檢測系統（HIDS）主要用于保護運行關鍵應用的服務器。它通過監視與分析主機的審計記錄和日志文件來監測入侵。除了對審計記錄和日志文件的監測外，還有對特定端口、檢驗系統文件和數據文件的校驗和。/121基于主機的入侵檢測系統（HIDS）/13121優點：能確定攻擊是否成功。監控粒度更細。配置靈活。用于加密的以及交換的環境。對網絡流量不敏感。不需要額外的硬件。缺點：它會占用主機的資源，在服務器上產生額外的負載。缺乏平臺支持，可移植性差，因而應用范圍受到嚴重限制。基于主機的入侵檢測系統（HIDS）/122基于主機的入侵檢測系統（HIDS）/14122基于網絡的入侵檢測系統（NIDS）主要用于實時監控網絡關鍵路徑的信息，它偵聽網絡上的所有分組來采集數據，分析可疑現象。基于網絡的入侵檢測系統使用原始網絡包作為數據源。基于網絡的IDS通常利用一個運行在混雜模式下的網卡來實時監控并分析通過網絡的所有通信業務。/123基于網絡的入侵檢測系統（NIDS）/15123基于網絡的入侵檢測系統（NIDS）優點:監測速度快。隱蔽性好。視野更寬。較少的監測器。攻擊者不易轉移證據。操作系統無關性。可以配置在專用的機器上，不會占用被保護的設備上的任何資源。缺點：只能監視本網段的活動，精確度不高。在交換環境下難以配置。防入侵欺騙的能力較差。難以定位入侵者。/124基于網絡的入侵檢測系統（NIDS）優點:/16124分布式表現在兩個方面：首先數據包過濾的工作由分布在各網絡設備（包括聯網主機）上的探測代理完成；其次探測代理認為可疑的數據包將根據其類型交給專用的分析層設備處理，這樣對網絡信息進行分流，既提高了檢測速度，解決了檢測效率問題，又增加了DIDS本身抗擊拒絕服務攻擊的能力。分布式入侵檢測系統（DIDS）/125分布式表現在兩個方面：分布式入侵檢測系統（DIDS）/171259.1.3入侵檢測系統分類2.根據檢測方法分類1) 誤用檢測模型(MisuseDetection)2) 異常檢測模型(AnomalyDetection)3.根據系統各個模塊運行的分布方式分類1) 集中式入侵檢測系統2) 分布式入侵檢測系統/1269.1.3入侵檢測系統分類2.根據檢測方法分類/181269.2入侵檢測技術本節介紹誤用檢測、異常檢測和高級檢測技術。在介紹入侵檢測技術的同時，也將對入侵響應技術進行介紹。/1279.2入侵檢測技術本節介紹誤用檢測、異常檢測和高級檢測技1279.2.1誤用檢測技術誤用檢測對于系統事件提出的問題是：這個活動是惡意的嗎？誤用檢測涉及對入侵指示器已知的具體行為的描述信息，然后為這些指示器過濾事件數據。其模型如圖所示。/1289.2.1誤用檢測技術誤用檢測對于系統事件提出的問題是：1289.2.1誤用檢測技術基于規則的專家系統專家系統是誤用檢測技術中運用最多的一種方法.用專家系統對入侵進行檢測,經常是針對有特征的入侵行為.所謂的規則,即是知識,不同的系統與設置具有不同的規則,將有關入侵的知識轉化為if-then結構,if部分為入侵特征,then部分是系統防范措施.當其中某個或某部分條件滿足時,系統就會判斷為入侵行為發生.運用專家系統防范入侵行為的有效性完全取決于專家系統知識庫的完備性,而建立一個完備性的知識庫對于一個大型網絡系統往往是很難的./1299.2.1誤用檢測技術基于規則的專家系統/211299.2.1誤用檢測技術2.模式匹配系統模式匹配首先根據已知的入侵定義由獨立的事件、事件的序列、事件臨界值等通用規則組成入侵模式，然后觀察能與入侵模式相匹配的事件數據，達到發現入侵的目的。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。該技術的缺點是需要不斷升級以對付不斷出現的黑客攻擊手法,且不能監測到從未出現過的黑客攻擊手段.著名的開源的snort就是采用了這種檢測手段./1309.2.1誤用檢測技術2.模式匹配系統/221309.2.1誤用檢測技術3.狀態轉換分析系統狀態轉換圖是貫穿模型的圖形化表示。如圖所示/1319.2.1誤用檢測技術3.狀態轉換分析系統/231319.2.2異常檢測技術基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都有一定的規律，并且可以通過分析這些行為產生的日志信息總結出這些規律，而入侵行為通常和正常的行為存在嚴重的差異，通過檢查出這些差異就可以檢測出這些入侵。異常檢測模型如圖6-8所示。/1329.2.2異常檢測技術基于異常的入侵檢測方法主要來源于這1329.2.2異常檢測技術1.基于統計的異常入侵檢測1) 操作模型2) 方差模型3) 多元模型馬爾柯夫過程模型2.基于神經網絡的入侵檢測/1339.2.2異常檢測技術1.基于統計的異常入侵檢測/251339.2.3高級檢測技術它們不一定是檢測入侵的方法，有的是為解決入侵檢測其他方面的問題提出的。1.免疫系統方法2.遺傳算法3.數據挖掘方法4.數據融合/1349.2.3高級檢測技術它們不一定是檢測入侵的方法，有的是1349.2.4入侵誘騙技術1.概念2.蜜罐技術及其基本原理1) 單機蜜罐系統2) 蜜網系統3.分布式入侵誘騙4.虛擬入侵誘騙/1359.2.4入侵誘騙技術1.概念/271359.2.5入侵響應技術當IDS分析出入侵行為或可疑現象后，系統需要采取相應手段，及時做出反應，將入侵造成的損失降到最低程度。一般可以通過生成事件報警、電子郵件或短信息來通知管理員。1.入侵響應的重要性2.入侵響應系統的分類1) 通知和警報響應系統2) 人工手動響應系統3) 自動響應系統/1369.2.5入侵響應技術當IDS分析出入侵行為或可疑現象后1369.2.5入侵響應技術自動響應系統結構如下圖所示。/1379.2.5入侵響應技術自動響應系統結構如下圖所示。/291379.2.5入侵響應技術3.入侵響應方式1) 主動響應方式(1) 針對入侵行為采取必要措施(2) 重新修正配置系統(3) 設計網絡陷阱以收集更為詳盡的信息2) 被動響應方式(1) 警報和通知/1389.2.5入侵響應技術3.入侵響應方式/301389.3入侵檢測分析入侵檢測技術是一種當今非常重要的動態安全技術，如果與傳統的靜態安全技術共同使用，可以大大提高系統的安全防護水平。本節將介紹入侵檢測的特點、缺點及其和防火墻的比較。/1399.3入侵檢測分析入侵檢測技術是一種當今非常重要的動態安1399.3.1入侵檢測特點分析在人很少干預的情況下，能連續運行。當系統由于事故或惡意攻擊而崩潰時，具有容錯能力。當系統重新啟動時，入侵檢測系統能自動恢復自己的狀態。必須能抗攻擊。入侵檢測系統必須能監測自己的運行，檢測自身是否被修改。運行時，盡可能少地占用系統資源，以免干擾系統的正常運行。對被監控系統的安全策略，可以進行配置。必須能適應系統和用戶行為的變化。如增加新的應用，或改變用戶應用。當要實時監控大量主機時，系統應能進行擴展。入侵檢測系統一些部件因為某些原因停止工作時，應盡量減少對其他部分的影響。系統應能允許動態配置。當系統管理員修改配置時，不需要重新啟動系統。/1409.3.1入侵檢測特點分析在人很少干預的情況下，能連續運1409.3.2入侵檢測與防火墻1.防火墻的局限 防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對Web服務的注入攻擊等。防火墻無法發現內部網絡中的攻擊行為。2.入侵檢測系統與防火墻的關系入侵檢測系統(IntrusionDetectionSystem)是對防火墻有益的補充，入侵檢測系統被認為是防火墻之后的第二道安全閘門，對網絡進行檢測，提供對內部攻擊、外部攻擊和誤操作的實時監控，提供動態保護，大大提高了網絡的安全性。入侵檢測工作的主要特點有以下幾個方面。事前警告事中防護事后取證/1419.3.2入侵檢測與防火墻1.防火墻的局限 /331419.3.3入侵檢測系統的缺陷1.當前入侵檢測系統存在的問題和面臨的挑戰1) 對未知攻擊的識別能力差2) 誤警率高2.入侵檢測系統的發展趨勢1) 分布式入侵檢測2) 智能化入侵檢測3) 網絡安全技術相結合/1429.3.3入侵檢測系統的缺陷1.當前入侵檢測系統存在的1429.4常用入侵檢測產品介紹IDS的硬件主要產品/1439.4常用入侵檢測產品介紹IDS的硬件主要產品/351439.4常用入侵檢測系統9.4.11．綠盟科技“冰之眼”IDS/1449.4常用入侵檢測系統9.4.1/361442．聯想網御IDS/1452．聯想網御IDS/371453．瑞星入侵檢測系統RIDS-100/1463．瑞星入侵檢測系統RIDS-100/381464．McAfeeIntruShieldIDS/1474．McAfeeIntruShieldIDS/391479.4常用入侵檢測產品介紹IDS的軟件主要產品/1489.4常用入侵檢測產品介紹IDS的軟件主要產品/401489.4常用入侵檢測產品介紹CASessionWallComputerAssociates公司的SessionWall-3，現在常稱為eTrustIntrusionDetection是業界領先的功能非常強大的基于網絡的入侵檢測系統。1.入侵檢測功能2.會話記錄、攔截功能3.防止網絡濫用4.活動代碼和病毒防護5.與其他安全產品集成與配合6.集中管理/1499.4常用入侵檢測產品介紹CASessionWall1499.4常用入侵檢測系統Snort應用一個綜合的Snort系統所需軟件有Windows平臺的Snort、windows版本的抓包驅動WinPcap、windows版本的數據庫服務器mysql、基于PHP的入侵檢測數據庫分析控制臺ACID、用于為php服務的活動數據對象數據庫adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服務器apache2、Windows版本的PHP腳本環境、支持php的圖形庫jpgraph等/1509.4常用入侵檢測系統Snort應用/42150winpcapsnortMysqlAdobeApachePHPacid網絡jpgraph/151winpcapsnortMysqlAdobeApachePH151上述軟件可根據下列次序依次安裝配置1.安裝apache指定安裝目錄c:\ids\apache,下載apache，下載網址/httpd/binaries/win32/，運行下載好的“apache_2.0.63-win32-x86-no_ssl.msi”/152上述軟件可根據下列次序依次安裝配置/44152/153/45153/154/46154/155/47155/156/48156/157/49157/158/50158/159/51159/160/52160/161/53161/162/54162/163/55163安裝完成后，需測試按默認配置運行的網站界面，看Apache是否安裝成功。打開IE瀏覽器，在IE地址欄打確認，如看到圖9-21所示頁面，表示Apache服務器已安裝成功。/164安裝完成后，需測試按默認配置運行的網站界面，看Apache是164/165/57165Apache服務器安裝成功后，還需配置Apache服務器，如果不配置，安裝目錄下的Apache2\htdocs文件夾就是網站的默認根目錄，在里面放入文件就可以了。這里還是看一下配置過程。如圖9-22所示，單擊“開始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打開配置文件/166Apache服務器安裝成功后，還需配置Apache服務器，如166Apache配置文件網站根目錄配置/167Apache配置文件網站根目錄配置/591672、安裝php下載php，下載網址/downloads.php，將下載的php安裝文件php-5.2.8-Win32.zip右鍵解壓縮/1682、安裝php/60168查看解壓縮后的文件夾C:\ids\PHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開編輯/169查看解壓縮后的文件夾C:\ids\PHP，找到“php.in169/170/62170需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就是使php能夠直接調用其模塊，比如訪問mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒去掉的，是因為“ext”目錄下默認沒有此模塊，加載會提示找不到文件而出錯。比如在此還沒有安裝mysql，所以“;extension=php_mysql.dll”前的“;”還不能去掉，安裝完mysql后再加來重新配置“php.ini”文件/171需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就171如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時候會提示“找不到指定模塊”的錯誤。簡單的方法是，直接將php安裝路徑、以及php安裝路徑下ext路徑指定到windows系統路徑中。在“我的電腦”上單擊右鍵，打開對話框“屬性”，選擇“高級”標簽，單擊【環境變量】，在“系統變量”下找到“Path”變量，選擇，點擊“編輯”，打開編輯系統變量對話框，將“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如圖9-29所示，全部確定。系統路徑添加好后要重啟電腦才能生效，可以現在重啟，也可以在所有軟件安裝或配置好后重啟。/172如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apa1723．將php以module方式與Apache相結合安裝php后，將php以module方式與Apache相結合，使php融入Apache，依前面講述的方法打開Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置/1733．將php以module方式與Apache相結合/65173/174/66174

測試結合是否成功。在C:\ids\Apache\Apache2\htdocs文件夾下編寫test.php文件，內容為<?php

phpinfo();

?>。打開瀏覽器輸入http://lcoalhsot/test.php，如果瀏覽到了php的信息則說明一切正常/175

測試結合是否成功。在C:\ids\Apache\Apach175/176/681764．安裝winpcap在瀏覽器中輸入/install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開始安裝界面安裝完后，采取默認值即可。/1774．安裝winpcap/691775．安裝snort下載“Snort_2_8_3_1_Installer.exe”文件，下載網址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開snort認證許可界面，指定安裝路徑為c:\ids\snort文件夾/1785．安裝snort/70178/179/71179圖9-42snort安裝成功界面測試snort安裝是否正確。運行“cmd“命令，打開cmd窗口，進入C:\ids\snort\snort\bin路徑，執行“snort.exe

–W”命令，如果安裝snort成功會出現一個可愛的小豬/180圖9-42snort安裝成功界面/72180/181/731816．安裝mysql在網站/Downloads可下載mysql，在此下載的mysql指定路徑為“mysql-5.0.22-win32.zip”，打開下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運行“setup.exe”/1826．安裝mysql/74182/183/75183/184/76184/185/77185/186/78186/187/79187/188/80188/189/81189軟件安裝完成后，出現上界面，它提供了一個很好的功能，mysql配置向導，不用自己手動配置my.ini，這為很多非專業人士提供了方便。將“ConfiguretheMysqlServernow”勾選，點【Finish】結束軟件的安裝同時啟動mysql配置向導/190軟件安裝完成后，出現上界面，它提供了一個很好的功能，mysq190/191/83191/192/84192/193/85193/194/86194/195/87195/196/88196/197/89197/198/90198/199/91199/200/92200/