一、概述入侵檢測（Intrusiondetection）入侵檢測是通過在計算機網絡或計算機系統中的若干關鍵點收集信息，通過對這些信息的分析來發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象的一種機制。入侵檢測系統（IntrusionDetectionSystem）進行入侵檢測的軟件與硬件的組合，它使用入侵檢測技術對網絡與其上的系統進行監視，并根據監視結果進行不同的安全動作，最大限度地降低可能的入侵危害。入侵檢測系統的預警功能目前大部分網絡攻擊在攻擊前有資料搜集的過程例如，基于特定系統的漏洞攻擊，在攻擊之前需要進行端口掃描，以確認系統的類型以及漏洞相關的端口是否開啟。此外某些攻擊在初期就可以表現出較為明顯的特征例如，假冒有效用戶登錄，在攻擊初期的登錄嘗試具有明顯的特征。對于這些攻擊，入侵檢測系統可以在攻擊的前期準備時期或是在攻擊剛剛開始的時候進行確認并發出警報同時入侵檢測系統可以對報警的信息進行記錄，為以后的一系列實際行動提供證據支持。IDS的特點IDS是一種積極主動的防護工具，是對防火墻的合理補充，能幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力和范圍一般情況下，防火墻為網絡安全提供了第一道防線，IDS作為防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，減少網絡受到各種可能攻擊的損害。IDS不僅能監測外來的入侵者，同時也能監測內部人員的入侵行為，這也彌補了防火墻在這方面的不足。入侵檢測一般采用旁路偵聽的機制，因此不會產生對網絡帶寬的大量占用，系統的使用對網內外的用戶來說是透明的，不會有任何的影響。入侵檢測的部署方式和位置旁路偵聽IDS的功能IDS通常具有以下功能：1、監視用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作；2、對系統的弱點進行審計；3、對異常行為模式進行統計分析；4、評估重要系統和數據文件的完整性；5、對操作系統進行跟蹤審計管理，并識別用戶違反安全策略的行為。IDS常用的評價指標1、漏報率指攻擊事件沒有被IDS檢測到的概率。與其相對的是檢出率。2、誤報率指把正常事件識別為攻擊并報警的概率。注意：誤報率與檢出率成正比關系。二、入侵檢測的基本原理入侵檢測與其他檢測技術的原理相同，即從收集到的一組數據中，檢測出符合某一特點的數據。由于入侵者在攻擊時通常會留下痕跡，這些痕跡與系統正常運行時產生的數據混合在一起，入侵檢測的任務就是要從這樣的混合數據中找出是否有入侵的痕跡，如果有入侵的痕跡就產生報警信號。IDS的工作過程一個IDS的工作過程包括4個階段：數據收集、數據處理、數據分析和報警響應。數據收集數據處理數據分析報警響應原始數據包或日志規則庫入侵檢測系統IDS的工作過程（續）1、數據收集數據收集是入侵檢測的基礎，可以通過不同的途徑收集數據。目前常見的數據來源包括主機日志、網絡數據包、應用程序日志和防火墻日志等。2、數據處理數據收集過程產生的原始數據量一般很龐大，并且存在噪聲。數據處理的功能就是從原始數據中去除冗余和噪聲，并且進行格式化和標準化處理，以利于今后的數據分析。IDS的工作過程（續）3、數據分析對經過處理的數據采用智能化的方法進行分析，檢查數據是正常的還是存在入侵。4、報警響應當經過數據分析發現入侵時，采用各種措施對網絡進行防護、保留入侵證據并通知系統管理員。常用的措施包括切斷網絡連接、記錄系統日志、給系統管理員發送電子郵件等。IDS的基本結構入侵檢測系統的通用模型是CIDF：CIDF—CommonIntrusionDetectionFrameworkCIDF將入侵檢測系統需要分析的數據統稱為事件（event）事件可以是網絡中的數據包，也可以是從系統日志等其他途徑得到的信息。CIDF的體系結構CIDF包含的組件1、事件產生器事件產生器采集和監視被保護系統的數據，這些數據可以是網絡的數據包，也可以是從系統日志等其他途徑搜集到的信息。事件產生器可以把數據進行保存，一般是保存到數據庫中。2、事件分析器事件分析器的功能主要分為兩個方面：1）用于分析事件產生器搜集到的數據，區分數據的正確性，發現非法的或者具有潛在危險的、異常的數據現象，通知響應單元做出入侵防范；2）對數據庫保存的數據做定期的統計分析，發現某段時期內的異常表現，進而對該時期內的異常數據進行詳細分析。CIDF包含的組件（續）3、響應單元響應單元是協同事件分析器工作的重要組成部分，一旦事件分析器發現具有入侵企圖的異常數據，響應單元就要發揮作用，對具有入侵企圖的攻擊施以攔截、阻斷、反追蹤等手段，保護被保護系統免受攻擊和破壞。4、事件數據庫事件數據庫記錄事件分析單元提供的分析結果，同時記錄下所有來自于事件產生器的事件，用來進行以后的分析與檢查。三、入侵檢測系統的分類入侵檢測系統的分類標準有多種，最常用的是根據入侵檢測系統的輸入數據來源，將其分為：基于主機（Host-Based）的入侵檢測系統（HIDS）基于網絡（Network-Based）的入侵檢測系統（NIDS）HIDS（基于主機）NDIS（基于網絡）數據源系統日志或應用程序日志原始的網絡數據包能否確定攻擊是否成功（到達目標）能不能能否檢測網絡上攻擊不能能加密網絡環境支持不支持實時性一般好是否需要額外硬件不需要需要監視特定的系統行為（如特定的文件操作或賬戶操作）容易較難通用性差（依賴具體系統或應用程序的日志格式）好（網絡協議是標準的）對目標系統的資源消耗大（需要在目標系統所在主機上采集日志）無（旁路獲取網絡報文）攻擊者轉移（或刪除）證據容易較難3.1基于主機的入侵檢測系統HIDS通常以系統日志、應用程序日志等審計記錄文件作為數據源通過比較這些審計記錄文件的記錄與攻擊簽名（AttackSignature，指用一種特定的方式來表示已知的攻擊模式）是否匹配以發現是否存在攻擊行為。如果匹配，檢測系統就向管理員發出入侵報警并采取相應行動。由于審計數據是收集系統用戶行為信息的主要方法，因而必須保證系統的審計數據不被修改但是，當系統遭到攻擊時，這些數據很可能被有經驗的黑客修改，因此，這就要求HIDS必須滿足一個實時性條件：即檢測系統必須在攻擊者完全控制系統并更改審計數據之前完成對審計數據的分析，產生報警并采取相應的措施。例：Windows7系統日志例：Windows7審核策略例：IIS系統日志IIS日志文件默認位置為%systemroot%/system32/logfilesHID追S的優點1、能夠確超定攻擊是新否成功由于HIDS使用包蹈含有確療實已經木發生的爸事件信捐息的日杰志文件毯作為數掏據源，從因而比NIDS更能準甚確地判小斷出攻棋擊是否煙成功。2、非常沙適合于睬加密和頂交換環貧境由于NIDS是以網欲絡數據批包作為紛數據源立，因而爐對于加勞密環境敘來講，漸它是無謎能為力咱的；但對于HIDS不存在坊該問題筆，因為仗所有的脾加密數室據在到滾達主機泳之前必蓄須被解鞏密，這鉗樣才能躬被操作右系統解另析；另外對于禽交換網絡愉來講，NIDS在獲取日網絡流判量上，它面臨著販很大的吩挑戰，非但對于HID尤S就沒有這功方面的限柱制。HIDS的優點衰（續）3、接近提實時的傅檢測和凝響應HIDS不能提供揉真正的實性時響應，攜但是由于去現有的HIDS大多采廊取的是誼在日志蹦文件形挎成的同纖時獲取暢審計數議據信息佛，因而鋪就為接輔近實時歡的檢測啄和響應作提供了臣可能。4、不需駱要額外塊的硬件HIDS是駐留在釀現有的網損絡基礎設點施之上的影，包括文京件服務器占、Web服務器和偽其他的共繼享資源等睜，這樣就滲減少了HID斤S的實施成辦本。HID掀S的優點（簡續）5、可監壓視特定脫的系統雹行為HIDS可以：1）監視用音戶和文件制的訪問活森動，如文葛件訪問、村文件權限董的改變、槳試圖建立妻新的可執毒行文件和草試圖訪問置特權服務托等；2）監視委通常只有管借理員才紛能實施燒的行為崖，如用如戶賬號屋的添加虎、刪除險、更改瀉的情況截；3）跟蹤影絞響系統日佳志記錄的環策略變化披；4）監視嚼關鍵系擁統文件粥和可執駁行文件刪的更改期。NIDS很難做到轉這些。HID承S的不足HID逝S的不足艦之處主侍要是依賴于審倚計數據或歌系統日志廣的準確性之、完整性誼以及對安莊全事件的頃定義，如果攻光擊者能逃夠避審計，挑則HID彎S就無法阻對攻擊總者的行終為做出扯反應。此外在網抵絡環境下額，單純依蘿靠主機審土計信息進韻行入侵檢汗測難以完辭全滿足網躍絡安全的鈔需求，主還要表現在躺：1、主機礦的審計流信息容讀易受到之攻擊，悼入侵者誦可通過現使用某弄些系統蝴特權來粉逃避審什計；2、無法通六過分析主補機審計信夏息來檢測溉網絡攻擊由；3、HIDS的運行缺會影響悲主機的思性能；4、HIDS只能對察主機上武的特定椒應用程精序執行飲的日志威進行檢筋測，所五能檢測糠到的攻忘擊類型伸是有限插的。3.2基于網絡剛的入侵檢豎測系統NID甜S以原始的濫網絡數據勾包作為數米據源，它是揪利用網鴨絡適配言器來實希時地監災視并分命析通過漂網絡進頭行傳輸船的所有燃通信業狹務的。一旦檢儲測到攻妹擊，NID普S的響應模菜塊通過通家知、報警悉及中斷連壘接等方式蘿對攻擊行粥為作出反戴應。NID另S的優點1、實時滅監測和饑應答NIDS可以隨時甜發現惡意轉的訪問或對攻擊，能捷更快的做姥出反應。實時性使企得系統可昆以根據預梳先設置的填規則迅速辛采取相應貨的行動，集從而將入尼侵行為對原系統的破灑壞降到最紋低。2、能夠檢狗測到未成鍵功的攻擊死企圖有些攻甚擊行為密旨在攻和擊防火受墻后面野的資源洗，利用禁放置在魚防火墻眾外的NID達S就可以伏檢測到長這種企離圖；而HIDS并不能發英現未能到峽達受防火慰墻保護的壁主機的攻脖擊企圖，而這薯些攻擊政企圖信花息對于蚊評估和涼改進系童統的安虛全策略駝是十分覺重要的岔。NID批S的優點（坐續）3、操作系烤統無關性NID洗S并不依栗賴主機集的操作班系統作襯為檢測桌資源；鉗而HIDS需要依益賴特定聯的操作露系統才原能發揮砍作用。4、較低攝的成本NIDS允許部擠署在一舉個或多丹個關鍵或訪問點爺來檢查戲所有經灰過的網楊絡通信決，因此鑄并不需免要在各牲個主機原上都安姜裝，這嚷樣就大弱大減少句了安全徑和管理緞的復雜榮性，所蹲需的成需本費用壇也就相驅對較低鉗。5、攻擊者遺轉移證據校更困難NID抹S使用正枝在發生誦的網絡態通信進杏行實時籍攻擊的雹檢測，各因此攻深擊者無遼法轉移流證據，途被檢測辦系統捕壁獲到的伴數據不扁僅包括幸攻擊方駐法，而京且包括轟對識別狀和指控貢攻擊者脆十分有好用的信宴息。NIDS的不足當然，NID亭S同樣存在塵一些不足駁，主要表孟現在：1、只能監股視通過本條網段的網股絡報文，父并且精確蘆度較差；2、在交換鮮網絡環境追中難于配箏置；3、防欺騙壤能力比較傷差，對于盾加密環境廚通常是無爬能為力。3.3分布式入狀侵檢測系芹統HIDS和NID示S都有各自蔑的優勢，借而在某些翁方面又是蹈很好的互貧補，如果電將兩者結僅合，就會返得到一種編優化的入朵侵檢測系妹統。通常這樣賀的系統是衛分布式結它構，它能同時賓分析來自拆主機系統陷的審計數牽據和來自男網絡的數士據通信流痕量信息。分布式刃的IDS是一種相最對完善的辟體系結構課，為日益乞復雜的網棗絡環境下犬的安全策兵略的實現認提供了最恒佳解決方合案。一種分啦布式IDS（DIDS）架構網絡網絡四、入潛侵檢測康的數據憤分析技擊術數據分析濫是入侵檢堵測系統的冠核心，它現是關系到戶能否檢查屠出入侵行鮮為的關鍵孫。入侵檢劉測系統兼所采用趴的數據睡分析技贈術包括1、異常仗檢測（Anom徐aly叨Dete滿ctio燭n）技術2、誤用邀檢測（Misu雖seD泊etec誘tion）技術異常檢測誤用檢測別名基于行為的檢測基于知識的檢測直接或間接檢測間接直接檢測原理1）首先建立系統或用戶的“正常”行為輪廓；2）通過比較當前系統或用戶的行為是否偏離了正常的行為輪廓來判斷是否發生了入侵行為。1）首先將已知的攻擊方法用攻擊簽名表示；2）根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷是否發生了入侵行為。誤報率高低對未知入侵行為的檢測能力好無要求的計算能力高低對內部用戶入侵行為的檢測能力好差4.1異常檢測異常檢測喉也被稱為基于行聽為的（Beha漫vior旨-Bas脆ed）檢測其基本航原理是劫假定所有的入焦侵行為都馳是異常的，即入侵土行為是異先常行為的互子集。在首先別建立了稠系統或混用戶的“正常”馬行為輪廓萄后，通過比轎較當前的園系統或用域戶的行為黎是否偏離朗了正常的擱行為特征海輪廓來判怠斷是否發任生了入侵鹿行為。由于這彼種技術往不是依鄉豐賴于某救個具體作行為是手否出現組來進行挖檢測的抓，因此家是一種間接的伯檢測方角法。異常檢測助面臨的關涌鍵問題1、特征量扯的選擇異常檢所測首先讓是要建潔立系統畜或用戶灰的“正臨常”行網為特征饅輪廓。這就要求行在建立正申常模型時獸，選取的新特征量既廟要能準確蛇地體現系籠統或用戶帽的行為特粥征，又能枝使模型最女優化，即以最瀉少的特摔征量涵吊蓋系統題或用戶作的行為戚特征。典型的兩特征量抓：CPU利用率、I/O使用率屬。異常檢樹測面臨旬的關鍵隸問題（勵續）2、閾值的餅選定在實際趴的網絡進環境下絞，入侵行且為和異燦常行為趣往往不運是一對哥一的等炊價關系（某一行低為是異常頭行為，而毯它不一定叢是入侵行死為；同樣宋存在某一圓行為是入先侵行為，寧而它卻不葬一定是異熔常行為的描情況），所以會椒導致漏貝報和誤火報的產因生。由于異常購檢測是先長建立正常損的特征輪滋廓并以此厭作為比較且的基準，暢而這個基流準，即閾陰值的選定日是非常關嘴鍵的：1）閾值選燃得過大，閘則漏報率仁就會很高求；2）相反龜，閾值壓選得過另小，則明誤報率買就會提甚高，這會對蠶用戶的枕正常工伴作帶來饑很多的著不便。異常檢債測面臨鍛的關鍵政問題（惜續）3、比較頻灰率的選取由于異常救檢測是通思過比較當糞前的行為賴和已建立役的正常行帖為特征輪寧廓來判斷須入侵的發恢生與否的盛，因而比較符的頻率，陜即經過多纖長時間進鵝行比較的衡問題也是處一個重要騙因素：1）頻率過蒸低，檢測耀結果的漏睬報率會很溜高，因為攻檔擊者往往這能通過逐消漸改變攻甜擊的模式蒸使之成為樣系統所接朱受的行為搏特征，從談而使攻擊裕無法被檢閣測出來；2）頻率紋過高，業誤報率款就會提動高，因為汽有的正取常進程撇在短時帖間內的押資源消貼耗會很演大，這瘡樣檢測賠系統就摩會誤認耐為有入蘭侵行為適的發生防。異常檢明測技術臭的特點異常檢測撫的特點：1、誤報逮率高；2、對于未醒知的入侵昌行為的檢統測非常有減效；3、是檢款測冒充貴合法用瓣戶的入挎侵行為皮的有效南方法；4、所需的網計算量很客大，對系旦統的處理脊性能要求眠也很高。例：IDES系統的異船常檢測IDE廳S統計異丹常檢測職引擎觀歌測在所宗監控計凝算機系率統上的糖活動行柜為，并頸自適應允地學習榮主體正捆常行為差模式。在IDES系統的統慎計分析組欣件中，當氏前系統的蔑活動狀態敢采用一組開測量值參致數變量來側表示，稱易為“入侵罰檢測向量枕”。具體而言光，IDE洪S使用特定平的入侵檢慢測測量值常來決定所駱觀測到的燃審計記錄響中的行為源與過去或而者可接受狐行為對比耗是否異常屑。例：IDE算S系統的異鈔常檢測（瓦續）根據目義標主體釘類型的以不同，IDE牌S定義了3斑種不同類躺型的測量誕值，分別鬧針對：1）用戶主牢體2）目標系廚統主體3）遠程主炎機主體此外，可滅以把IDES統計分壺析系統緞中不同鍵類型的伴單獨測角量值分許為以下脖4個類仁別：1）活蹤蝶動強度測郊量值2）醉審計記剛錄分布墨測量值3）餓類別測床量值4）煉序數測歐量值例：IDES系統的階異常檢菠測（續撒）IDES針對“用梢戶主體”喇類型的測量值：1）致序數測喜量值包括：CPU使用情卵況、I/O使用情畏況2）類捏別測量值包括：使針用物理位鑄置、郵我件程序使研用、編啞輯器使用榴、編譯滔器使用、姥文件活脅動、文畢件使用、居本地網絡緩活動類型味、本地主軟機網絡活踩動、……3）審萬計記錄分爬布測量值對于以上晶的每個測煤量值，在鉆審計記錄翁分布測量昂值中都有壓一個對應斗的類別。4）活林動強度測價量值包括：史每分鐘蠻的流量遍、每1有0分鐘林的流量閑、每小皺時的流揚量。例：IDES系統的異砍常檢測（跳續）對于用戶傷所生成的蛇每一個審削計記錄：IDE予S系統經絞計算生著成一個雄單獨的怕測試統鵲計值（IDE竄S分數值，侍表示為T2），用來綜弓合表明患最近用添戶行為汽的異常筆程度。統計值T2本身是一指個對多個吸測量值異席常度的綜豬合評價。4.2誤用檢沃測誤用檢毒測也被批稱為基于知段識的（Kno蘭wle絡dge床-Ba庭sed）檢測，其基本揮前提是假倉定所有可于能的入侵屆行為都能斬被識別和符表示該技術并首先將誤已知的雷攻擊方飛法用攻周擊簽名找（攻擊簽愉名是指奔用一種互特定的遭方式來之表示已泡知的攻俘擊模式）表示，絨然后根據妙已經定義頭好的攻擊已簽名，通號過模式匹配等技術穗判斷這艷些攻擊摔簽名是侄否出現協來判斷籃是否發趙生了入輩侵行為地。這種方法課是通過直灘接判斷攻錦擊簽名的震出現與否悲來判斷入劃侵行為的武，從這一水點來看，梨它是一種直接的順方法。誤用檢測碧技術的優芝點誤用檢測斯是通過將閃收集到的姜信息與已痰知的攻擊碎簽名（Sig貍nat掠ure）模式庫慢進行比較戀，從而發柏現違背安爽全策略的孫行為的，口因此，它歪只需收集摘相關的數獄據，這樣系統的負姐擔就明顯閘減少了。該方法類沙似于病毒可檢測系統，其檢測裹的準確率因和效率都聚比較高，詢而且這種扭技術比較范成熟，國脆際上一些縫頂尖的入跌侵檢測系齊統都采用溝該方法。另外，抱誤用檢雄測是通準過模式科匹配來棄完成檢景測過程喊的，所賊以在計算處幅理上對準系統的新要求不無是很高。誤用檢贊測技術錯的不足1、不能檢牧測未知妙的入侵模行為誤用檢測纏只能根據銳己知的入框侵序列和穿系統缺陷乖的模式來沈檢測系統絹中的可疑念行為，面譯對新的入總侵攻擊行敏為以及那槳些利用系仗統中未知網或潛在缺塌陷的越權跳行為時，稻則無能為近力。由于其檢徒測機理是胳對已知的橋入侵方法鉛進行模式債提取，對銅于未知的校入侵方法累由于缺乏蜓先驗知識眨就不能進陣行有效的娘檢測，因纏而在新的侮網絡環境吧下漏報率蠅會比較高士。誤用檢測止技術的不豈足（續）2、與系統禾的相關性特很強檢測系統息知識庫中左的入侵攻匙擊知識與劣系統的運漏行環境有竊關，對于隆不同的操躁作系統，帽由于其實個現機制不春同，對其配攻擊的方父法也不盡蕉相同，因墻而很難定攝義出統一狐的模式庫跡。3、難以呆檢測出株內部攻脹擊者的打越權行捎為對于系找統內部壟攻擊者威的越權耗行為，屬由于他冶們沒有具利用系嗽統的缺壤陷，因鄭而很難始檢測出吩來。4.3入侵檢虹測具體謠技術基于統計腳方法的入卵侵檢測技項術基于神守經網絡牧的入侵騾檢測技欄術基于專家扣系統的入降侵檢測技愧術基于模兇型推理及的入侵血檢測技帝術4.3.欠1基于統計描方法審計系混統實時鐘地檢測槽用戶對號系統的費使用情云況，根韻據系統溜內部保從持的用幕戶行為士的概率裁統計模搖型進行哥監測，概當發現梨有可疑況的用戶殘行為發訓生時，挺保持跟禍蹤并監槐測、記秋錄該用到戶的行供為。4.3茂.2基于神愧經網絡采用神宿經網絡哭技術，蛛根據實限時檢測貍到的信鋒息有效降地加以穴處理作住出攻擊丑可能性衛的判斷員。神經網列絡技術部可以用騙于解決裂傳統的食統計分剃析技術份所面臨編的以下矛問題：難于建立慮確切的統亮計分布導質致難于實現垃方法的普算適性算法實騎現比較平昂貴系統臃告腫難于鋤剪裁4.3趨.3基于專翅家系統根據安全很專家對可篇疑行為的負分析經驗揪來形成一層套推理規悶則，然后禽再在此基遼礎之上構茂成相應的恩專家系統訊，并應用辨于入侵檢茶測。基于掉規則的專雀家系統或樓推進系統忘的也有一醋定的局限劣性。4.3凱.4基于模型匯推理用基于吩模型的丘推理方鋒法人們托能夠為賤某些行脈為建立摩特定的才模型，鄭從而能牧夠監視翠具有特萬定行為賞特征的績某些活竟動。根廊據假設指的攻擊演腳本，揪這種系葛統就能廚檢測出溜非法的膝用戶行先為。一般為了挽準確判斷北，要為不允同的攻擊嫂者和不同何的系統建貓立特定的賺攻擊腳本營。4.3虛.5其他的城檢測技刺術免疫系筑統方法遺傳算穩法基于代理爽檢測數據挖掘五、入外侵檢測擋系統的銅部署入侵檢測唱系統有不霜同的部署舌方式和特罵點:根據所掌箏握的網絡堅檢測和安晚全需求，運選取各種堂類型的入錢侵檢測系普統，將多允種入侵檢足測系統按弄照預定的問計劃進行增部署，確囑保每個入糞侵檢測系吧統都能夠鞋在相應部碗署點上發揉揮作用，蒼共同防護物，保障網線絡的安全麗運行。部署工作加包括對網絡入默侵檢測煮和主機草入侵檢模測等類賀型入侵拜檢測系擇統的部培署規劃。5.1基于網構絡入侵秀檢測系囑統的部年署基于網絡梯的入侵檢靈測系統可砍以在網絡宿的多個位杏置進行部盒署。這里的暴部署主土要指對網絡入侵巖檢測器的貨部署。總體來說鞠，入侵檢檔測的部署呼點可以劃圈分為4個位置：1）DMZ區2）外網入漆口3）內網主點干4）關鍵子狼網基于網絡課入侵檢測坡系統的部非署（續）基于網犯絡入侵梯檢測系罷統的部咱署（續縫）1、DMZ區DMZ區部署眾點在DMZ區的總努口上，兼這是入概侵檢測閣器最常堅見的部才署位置棄。在這里矩入侵檢豆測器可筒以檢測親到所有針踐對用戶野向外提閑供服務衣的服務律器進行伍攻擊的卸行為。對于用早戶來說晚，防止中對外服卵務的服席務器受意到攻擊笛是最為施重要的購。2、外網翁入口外網入口佩部署點位云于防火墻魔之前，入侵檢測蹤蝶器在這個坐部署點可酸以檢測所撒有進出防套火墻外網說口的數據。由于該捉部署點緩在防火洲墻之前樣，因此練入侵檢秀測器將圖處理所粱有的進臣出數據辮，由于乒入侵檢喝測器本眨身性能誤上的局菌限，該博部署點樂的入侵柔檢測器識目前的逢效果并抓不理想測。另外對畫于進行NAT的內部遷網來說嘴，入侵錦檢測器施不能定喚位攻擊攏的源或冬目的地漸址，系虜統管理低員在處浮理攻擊像行為上春存在一阻定的難掌度。基于網預絡入侵破檢測系吐統的部滔署（續捎）3、內網主蝦干內網主干橡部署點是樣最常用的儉部署位置辦，在這里砍入侵檢測旱器主要檢甜測內網系流出和掩經過防銀火墻過準濾后流昏入內網達的網絡掩數據。由于防誰火墻的陷過濾作嫩用，防瞎火墻已仙經根據剃規則要揪求拋棄劉了大量爐的非法單數據包號，這樣胃就降低組了通過斯入侵檢繭測器的著數據流偶量，使婚得入侵貓檢測器臺能夠更允有效地雞工作。當然，鹿由于入耳侵檢測恒器在防階火墻的鉗內部，弄防火墻角已經根崇據規則朽要求阻綿斷了部秀分攻擊競，所以臨入侵檢兵測器并榜不能記息錄下所垃有可能滅的入侵于行為。基于網絡釘入侵檢測古系統的部蠟署（續）4、關鍵你子網在內部網冠中，總有緒一些子網絮因為存在劑關鍵性數撓據和服務海，需要更愁嚴格的管法理，比如簡資產管理被子網、財固務子網、握員工檔案益子網等，獻這些子網穩是整個網君絡系統中宰的關鍵子疾網。通過對這章些子網進缺行安全檢飽測，可以檢谷測到來鑰自內部析以及外清部的所第有不正目常的網吃絡行為，這樣鹿可以有供效地保森護關鍵籮的網絡跑不會被痕外部或沒有權因限的內順部用戶載侵入，造成關左鍵數據泄非漏或丟失末。由于關各鍵子網瀉位于內堵網的內描部，因首此流量奸相對要團小一些乎，可以安保證入最侵檢測懂器的有屋效檢測浴。5.2基于主機必入侵檢測君系統的部無署在基于網顏絡的入侵末檢測系統強部署并配就置完成后營，基于主魄機的入侵怕檢測系統立的部署可鑒以給系統張提供高級受別的保護悄。但是，將云基于主機遍的入侵檢梁測系統安挽裝在企業翻中的每一咬個主機上使是一種相咱當大的時毅間和資金元的浪費，沫同時每一涂臺主機都堤需要根據釋自身的情蒙況進行特暈別的安裝亞和設置，蹦相關的日聚志和升級趣維護是巨海大的。因此，基于主脹機的入患侵檢測淋系統主抱要安裝根在關鍵號主機上，這樣芹可以減肺少規劃杜部署的賊花費，約使管理歡的精力若集中在分最重要功最需要姑保護的刷主機上稿。六、對入買侵檢測的釋攻擊概要1、利用傭字符串匠匹配缺橡陷2、分割IP數據包3、拒絕邁服務攻復擊6.1利用字符脂串匹配缺竄陷主要包覺括：1、路徑欺密騙2、HEX編碼3、二次HEX編碼4、Uni玩cod罩e(U礦TF-貞8)6.1悼.1路徑欺緊騙改變字符常串外形，盾但是實質慮相同例：如啞果入侵巡壽檢測對scri描pts/岸iisa尚dmin進行模式祥匹配（以嚴發現入侵紗），則可眼以通過如填下變形逃舟避：scr榮ipt摟s/.友/ii蝦sad飾minScr案ipt原s/s顫amp譯le/瓜../過iis族adm僚inScri業pts\療iisa委dmin路徑欺騙海解決辦法協議分析URL標準化6.1牛.2哄HEX編碼URL中將%20代替空格砍，或使用%73代替s，如提障交/scr棗ipt%里73/i億isad導min，則：WEB服務器仙可以識藝別該HEX編碼，而柿入侵檢測油系統可能俗無法識別茅。HEX編碼解決渡方法依賴協鳳議分析使用與WEB服務器相謠同的分析您器分析HEX編碼，漏然后進膊行URL分析發裁現攻擊6.1.聽3二次HEX編碼微軟IIS服務器對HEX碼進行腐二次解額碼，例億如：解碼前：scr挽ipt買s/.織.%2后55c體../滋win勉nt%25是%的編碼第一次解網碼：scr丑ipt敢s/.惠.%5己c..支/wi僑nnt%5c是\的編碼第二次垂解碼：scri仙pts/戴..\.望./wi偷nnt等同于scr斷ipt慚s/.洗./.活./w飛inn注t6.1.弟4Un梯icod封e(UT損F-8)%7f以上的編懶碼屬于uni嚇cod乏e序列%c0%聽af是一個合柳法的Uni膀cod炒e序列例：提交：scr性ipt戲s/.蹲.%c譜0%a變f..得/wi千nnt轉換后為野：scr吵ipt篩s/.讓./.累./w桌inn窄t6.1.未5避免字慈符匹配逃缺陷小菜結解碼IP包頭文件棋，確定協車議類型分析HTT筒P請求所膽有成分進行URL處理，避爐免路徑欺糕騙、HEX編碼、譜二次編減碼和Unic打ode6.2分割IP數據包切割一個右攻擊IP包，分割槳后的IP包單獨膊通過入緒侵檢測例，入侵罷檢測系努統無法提匹配成味功這是有效陷的逃避入沈侵檢測的轎手段。對抗方法骨：在IDS上進行數擱據包重組訂。6.3拒絕服雀務攻擊攻擊原敞理1、發送大灶量的黑客緣瑞入侵包2、入侵夫檢測系郵統會發技出大量準的Ale掩rt3、審計數認據庫空間撞將溢出4、入侵場檢測系勇統停止將工作拒絕服務誰攻擊（續衡）攻擊后果1、大量歇消耗設堪備處理潮能力，循使黑客重有機可荒乘2、硬盤空忠間滿，導耕致審計無候法繼續3、產生大窗量Ale妄rt，導致管攤理機無法巷處理4、導致址管理員搜無法審渴查所有攀的Ale陵rt5、導致設揀備死鎖七、網絹絡入侵芳檢測系望統-Sno完rtSno幅rt由Mart艱inR獸oesc樸h在199恐8年開發，導是一個具勝有多平臺裳、實時流霞量分析、狐網絡IP數據包記鐵錄等特性峽的網絡入黑侵檢測系煌統（NIDS）。Snor伴t符合通用東公共許可(GP卵L——沫GUN機Ge侄ner晃al抗Pub吧ic緣瑞Lic傾ens餐e)，用C語言開發形，基于lib拒pca覺p庫。Snor率t有三種歸工作模桶式：嗅探器阻、數據餡包記錄袖器、網耍絡入侵謊檢測：嗅探器決模式僅僅是購從網絡暢上讀取同數據包糊并作為迅連續不姑斷的流餅顯示在溝終端上勸。數據包記胡錄器模式把數據蠢包記錄桂到硬盤衫上。入侵檢測蔽模式是最復雜熄的，該模泊式可以讓Sno竊rt分析網侄絡數據轟流以匹麥配用戶撇定義的送一些規奪則，并攪根據檢辦測結果鄙采取一干定的動寒作。Sno鵝rt的特點1、功能強寶大，代碼佩簡潔短小醒（源代碼娘壓縮包小策于200臉K），移植帥性好，跨猴平臺應用均（支持Linu旗x、Sola蛋ris、BSD、Win嚷dow府s等）。2、具有實桿時流量分灣析和記錄ip網絡包能士力，報警盲機制豐富膠。3、能進代行協議贏分析、甜內容搜及索與匹企配。4、日志柏支持tcp未dum聾p二進制格廢式、ASC嚇II碼格式攪，也可攜以利用錯插件把蠅日志記虎入數據商庫（如Sql程Serv瀉er、MyS洞QL、Ora族cle等）。5、使用TCP流插件Tcp城Str涌eam，可以對TCP包進行重鉛組，以對缸抗極小分牽片攻擊。Sno派rt的特點（避續）6、使用SPA塘DE（Stat辨isti晉cal彎Pack煮etA欺noma舍lyD歐etec眨tion驚Eng弓ine）插件由，snor歌t能夠報弊告可疑城包，從矩而對端辟口掃描短進行有灶效監測奶。7、具有很賽強的系統貓防護能力伐，使用IPT鑄abl串es與IPF補ilt返er插件可戴以使入餓侵檢測聰系統和額防火墻割聯動。8、擴展性獲較好，對純于新的攻朝擊威脅反宅映迅速。9、支持飽插件，添如數據屠庫日志藥輸出插紫件、碎貧片包檢稼測插件捧、端口往掃描檢惱測插件胡等。10、Sno鞭rt的規則語短言非常簡搞單，能夠扁對新的網理絡攻擊做陜出很快的緩反應。Sno蓋rt的體系結受構網絡數據包捕獲協議分析解碼器檢測引擎日志系統報警系統Snor宰t的體系結暑構（續）1、網絡數鉤據包捕獲：基于Libc震ap。2、協議阻分析解滑碼：支持筋以太網齡、SLIP、PPP協議。3、檢測糕引擎：Sno找rt的核心，偽主要工作泄是根據啟聽動時加載蕩的規則，泛對每個數潛據包進行鬧分析。4、日志譯、報警系統：日志和北報警是芳兩個分披離的子栗系統；日志允許夠將收集到刻的信息以權可讀或二載進制格式度保存下來姥；可以配贊置報警芹系統，親使其將珍報警信跳息發送期到sysl嘩og，或者向wind需ows客戶程團序發出Win編Pop濱up消息。7.1網絡數脾據包的飼截獲網絡數據敵包的截獲喂是基于網襪絡的入侵帳檢測技術柜的工作基妹石。根據網斷絡類型誼的不同鴿，網絡活數據截逃獲可以旺通過兩巧種方法凈實現：一種是利優用以太網析絡的廣播祝特性，另一種是聞通過設置扔路由器的益監聽端口屬或者是鏡針像端口來捐實現。7.1.訴1以太網環襯境下的數肉據截獲以太網數事據傳輸通有過廣播傳份輸媒體實再現。但是在系愉統正常工科作時，應布用程序只聞能接收到郵以本主機現為目標主懷機的數據鑰包，其他迫數據包將岸被丟棄不熄作處理。要截獲衰到流經謊網卡的左不屬于半自己主木機的數擇據，必茄須繞過綿系統正徒常工作滔的處理屯機制，倘直接訪桂問網絡笨底層：首先將網曬卡工作模陸式置于混雜（prom府iscu臘ous）模式，使之可以娘接收目標MAC地址不圈是本機MAC地址的數折據包。然后直收接訪問耍數據鏈輩路層，偷截獲相孝關數據擦，由應報用程序巴而非上徒層協議考如IP和TCP協議對數慚據進行過謀濾處理，鐵這樣就可恥以截獲到旺流經網卡商的所有數眠據。一個Lin越ux環境下船的數據掀包截獲劈燕示例1#i看nclu塔de〈定stdi申o.h〉2#i減nclu服de〈銜sys/呈sock替et.h先〉3#拆inc晉lud融e〈鬼soc叮ket領bit賭s.h工〉4#謊inc秘lud史e〈拖sys繩/io箭ctl憐.h〉5#i件nclu骨de〈剛net/術if.h遣〉6#蔥inc具lud壘e〈閣net仗ine盞t/i坦n.h騙〉7#卷inc認lud結e〈杠arp異a/i畜net絕.h〉8#迫inc叼lud用e〈狡uni烤std惠.h〉9#i急nclu四de″帆head講ers.楊h″/*Pr貨otot鋼ype唐area楚*/10int辯Op蒙en_諒Raw增_So層cke饒t(乒voi費d);11i敵ntS裕et_P成romi緞sc(預char舊*in弄terf披ace,嚇int把soc感k);12int咽main坡(){13唐int宮so友ck,譯by遠tes輔_re驅cie紗ved滾,f腐rom憐len毀;14c斧har汽buff挪er[6娛5535盯];15s輔truc腰tso鵲ckad柴dr_i捕nfr柱om;16丙str單uct獄ip極*聞ip;17s旅truc低ttc扮p*t哀cp;18s擔ock蕩=Open名_Raw州_Soc淺ket恰();/*set思the屠inte杰rfac倉ein幼top拜romi燙scuo柱usm點ode*/19Set_虎Prom傍isc默(INT街ERFA布CE,販sock晚);20/睡*st奮art潮the盾main旗loo佛p*/21w稿hile脂(1)22{23栗fro航mle潑n=如si卷zeo朗f(f蒜rom妻);24b攜ytes換_rec您ieve嘗d=理recv出from乓(so鄉豐ck,誕buff賞er,駛size駐of(b猜uffe辱r),0,(頭stru動cts蛇ocka屋ddr恩*)&f儀rom,加&fr慣omle災n);25廳pri幼ntf所(″盞\\n固Byt榆es溝rec茂eiv雪ed∷節:%我5d\吊\n″冬,by陳tes喝_re蜓cie綱ved錦);26p被rint嶄f(″樓Sour汁cea蓄ddre快ss∷:茅%s\里\n″,所inet鈴_nto嚷a(fr屆om.s媽in_a來ddr)床);27i吳p=約(str殲uct營ip*敏)buf弱fer;/*Se助eif布thi獎sis陜aT盆CPp航acke注t*/28i孤f(i淡p->i適p_pr只otoc盡ol=奶=6)壇{/*Th鄭isi敬sa牲TCP觀pack戀et*/29p辰rint豎f(″味IPh寫eade看rle扎ngth領∷:%奪d\\n形″,ip脈->ip邪_len制gth)序;30p峰rint息f(″泥Prot溜ocol使∷:%幟d\\n窮″,ip催->ip走_pro量toco脾l);31搶tcp系=嚴(st溜ruc午tt兔cp點*)(羨buf勢fer螞+恰(4*陵ip-悶>ip吼_le刮ngt等h))喘;32越pri煩ntf得(″釣Sou驕rce維po濫rt∷最:%焦d\\命n″,田nto變hs蔥(tc期p->顫tcp邪_so光urc榆e_p雜ort鍬));33p駕rint求f(″些Dest徐por時t∷:座%d\浴\n″,周ntoh乎s(t擴cp->換tcp_徐dest岔_por較t));34零}35留}36}37int獸Open旨_Raw更_Soc下ket京(){38i接nts雕ock;39i友f((江sock毅=s貿ocke喉t(A側F_IN脅ET,的SOCK灘_RAW接,IP所PROT群O_TC焰P))真<0)農{40料per鞭ror萬(″猶The煙ra胞ws暢ock討et搞was仍no默tc茄rea閉ted興″);41e京xit及(0);42}巾;43r屑etur缺n(s規ock)喇;44}45int晝Se宏t_P細rom樂isc圈(c劍har錢*i涌nte倉rfa奇ce,雜in孫ts賢ock皆){46s凈truc按tif柳req泛ifr;47筋str守ncp苦y(您ifr梁.if癢r_n吼ame救,i役nte公rfa拐ce,簡str脾nle敵n(i都nte渠rfa丟ce)音+1)炮;48i在f((戒ioct陪l(s靈ock,坡SIO化CGIF劣FLAG供S,&翻ifr)敬==-被1))疤{/*C粒oul獻dn色ot好ret究rie緩ve堡fla鈴gs績for失th手ei勇nte透rfa奏ce*值/49p遼erro齡r(″肌Coul律dno已tre童triv奪efl患ags兆for稍the霧inte傍rfac堅e″);50竟exi佩t(雀0);51穩}52p竭rint考f(″淡The朱inte求rfac奪eis浩∷:%仰s\\n悉″,i薯nter晴face蓮);53p盒erro罵r(″赴Retr酷ieve發dfl澤ags績from徹int墾erfa渡ces牢ucce踐ssfu季lly″侍);/*n雄ow屯tha效tt塊he努fla坑gs達hav歌eb桶een的re虹tri橫eve俊d*//*s稠ett廈hef澆lags成to杜PROM作ISC丙*/54朽ifr駛.if舌r_f賭lag同s|繞=I插FF_捕PRO膝MIS悉C;55i虹f(i貴octl獎(so牢ck,瀉SIOC繳SIFF時LAGS慣,&i鍛fr)粱==-1賄){/*C窄oul米dn末ot親set傻th故ef艱lag迎so雨nt餅he哭int抓erf蘿ace培*/56譯per始ror陶(″戶Cou漠ld肌not匪se飯tt炒he誼PRO彩MIS尖Cf武lag調:″)續;57e敞xit肆(0);58毛}59p翅rint息f(″前Sett硬ing待inte換rfac奔e∷:爬%s∷:任to殃prom澆isc″滋,in綁terf狼ace)橋;60r專etur甚n(0饅);61悲}/**梳***拜***蠶***爭***轎**E飄OF*田***甩***邪***乖***痰***贏***藍***父/一個Linu蓋x環境下添的數據英包截獲炎示例上述程序棍的工作主毀流程如下奏：1）在18行調用Open啞_Raw津_Soc告ket（），率獲得可繪直接訪鹿問IP層數據吳包的SOCK鼻_RAW類型套接撿字設備句圾柄。2）在19行調用Set_凱Prom污isc（），塵將指定庸的網絡言接口設摘置為混否雜模式崇。3）進入懇主循環，護打印所截倡獲的網絡雁數據包的隙相關信息耳，例如IP地址和TCP端口等碧。不同的腳操作系村統提供旱的接口畝功能并佛不相同無，因此直接采哲用套接覽字設備怒的編程考代碼在觸不同系刻統平臺夠上不能廁通用。Lib職pca酬p庫解決這敵一問題鋼的辦法采之一是頌使用由域美國洛膠侖茲伯旨克利國趣家實驗漲室所編績寫的專用于斗數據包堵截獲功托能的API函數庫—Lib貨pcap。Lib創pca苦p庫函數腫對上層洞程序屏武蔽了底理層系統腔的不同召數據包廟截獲方棟法，提泰供了統為一的編紛程接口批，使得采用飼該編程接顧口的數據昏包截獲模稿塊可以方們便地在不肅同平臺上鞭進行移植。Libp歸cap庫（續）Lib這Cap所提供的寺若干函數剃接口：1）pcap洽_ope笨n_li肅ve()巧:用來獲這得一個頁數據截舍獲描述括符，該搜描述符位用于查日看在網所絡上傳維輸的數純據包。2）pcap嫩_sta逃ts()設:用來返回謹相關的狀詢態參數。3）pcap圖_rea菠d():用于讀鐮取底層與數據包霧過濾機獎制緩沖逮區中的續數據包雪，并對貪每個數谷據包用挎參數所不設定的訪回調（Call弦back）函數進普行處理。4）pcap幕_set作filt哀er()名:用于設定掠一個過濾斥器程序。5）pca眉p_c悲los休e()著:關閉相臂關的文挺件并釋飼放對應嚼資源。Libp微cap庫（續斤）Libp熟cap庫函數支持數據彈包過濾機滅制，即著慎名的伯箭克利數褲據包過宵濾器(BP愈F)，它是藏一種用男于UNIX的內核數明據包過濾攏體制。當一個冤數據包鳥到達網益絡接口蝕設備時補，鏈路謊層設備話驅動器慶通常把欺它傳送察給系統蜂協議堆慕棧進行哥處理，粉但是，當BPF也在該網驕絡接口上拋監聽時，茂驅動器將后會首先調細用BPF。Libp親cap結構Win悉pca臨p庫WIN走32平臺不檢提供直墻接的網肉絡底層紗訪問接泛口，必姨須通過維虛擬設閘備驅動存程序（VxD）實現網聲絡數據包須的截獲功訴能，對應于Libp也cap庫的Win做dow嫁s版本是Winp睬cap庫。Winp柱cap架構包夫括3個模塊：1）NPF升:是一個虛猜擬設備驅黨動程序文天件，它的頓功能是過草濾數據包芽，并把數卸據包傳遞窯給用戶態曉模塊，這筍個過程中攔包括了一隱些操作系絲式統所特有驅的代碼。2）Pac售ket悉.dl壓l:該動態量鏈接庫乖為WIN沫32平臺提供賄了一個公紅共的接口肆。3）Wip做cap型.dl扎l:該動態鏈時接庫提供旋了一個不乞依賴于操癢作系統類騰型的高層校接口庫，它提供她了更加膊高層、洞抽象的稿函數。Winp扎cap架構Win址pca本p主要函數1、pca詳p_f積ind罩all餐dev淋s函數2、pcap更_fre杏eall制devs函數3、pcap跪_ope務n_li票ve函數4、pcap棕_nex侵t_ex函數5、pcap固_loo久p函數6、pca齡p_s織etf勒ilt腐er函數7、pcap會_com引pile函數8、pcap兼_clo蘋se函數．Win浪pca搖p包捕獲虎一般流濱程7.1.淚2交換網絡誤環境下的拴數據截獲在實際的編網絡環境帶中，許多弦網絡采取留了交換運頂行環境（論例如交換柏機、路由紀器等），默此時傳輸搬媒體不再釘具備廣播喬特性，所叮以不能夠巖單憑設置虧網絡接口孫的混雜模土式來截獲眼所有的數妻據包。常用的方討法是利用碎交換機或譽者路由器消上設置的監葬聽端口或故者鏡像端遣口。實際工作病中，采用乘鏡像端口悼的方法常必碰到兩個刃問題：1）隨著范交換帶劣寬的不攏斷增長檢，并非鍛所有的侮網絡流寒量都會底反映在蕩鏡像端猶口上。2）并非所鵝有的交換遷設備都提室供類似的糟鏡像端口哥。7.2檢測引擎盜的設計在IDS的檢測丸引擎的環設計中且，存在植兩點關貿鍵問題辦：檢測規則和引擎架榆構設計。以Sno養rt系統為縣例，介聚紹這兩腦個關鍵帝設計問歪題。7.2給.1著Sno狐rt的檢測味規則對于Snor拘t系統而崇言，它遣采用的圣是自己定他義的檢刮測規則防格式。由于Snor迷t規則格式裕定義的良滋好特性，遇類似的規吼則格式在嘆很多實際瓣系統中得票到采納。Snor界t的檢測規流則示例如纏下圖所示皆：alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)Snor士t規則格撕式Snor股t規則可以撒分為兩部摘分：規則頭和規則選敘項規則頭：包含了規則動作、協議、IP源地址御和目的方地址、子網掩碼以及源端口凍和目標枯端口值等信息。規則選飛項：包含警報信息，以及用保于確定是愚否觸發規咬則響應動械作而需檢慨查的數據包區偉域位置的匆相關信息。規則選支項不是療必需的膝；如果存箭在選項襯，則只扒有匹配膽所有選皮項的包防，才會鉗執行其最規則規肌定的動蠻作；如果多悟個選擇少組合在珍一起，笑它們之依間是邏丈輯與的冊關系。Snor久t規則頭霜的字段1、規則動等作規則動舟作定義黑了在當邪前數據色包滿足霸所有在巴規則中梨指定的喝屬性特停征的情微況下，仙所應該剃采取的封行動，喂它位于綁規則的映首位。在Snor搖t中定義桶了3種基本那的動作騾類型：1）Ale厚rt:使用選定烈的報警方拍式生成警屈報信號，當然后記錄待當前數據勢包。2）Log:記錄當前削數據包。3）Pas妄s:丟棄（忽通略）當前殊數據包。在Sno戰rt的后繼粱版本中臺，引入誤以下新去的動作花類型：Act渣iva絞te:激活指定喜的特定Dyna婚mic類型的檢潑測規則。Dyna安mic:在特定Acti陷vate類型規點則觸發標后，得抄到激活政。Acti悠vate和Dyn旁ami交c類型的獅規則必漏須成對轎出現。Sno夫rt規則頭的奮字段（續朱）2、協議規則中剛的下一增個字段勢為協議醫字段。Snor葛t主要支挑持對3種IP協議進淋行分析事，以發暴現可疑曾行為，它們是TCP、UDP和ICMP協議。3、IP地址規則頭趣的下一臨個字段燒主要用悄來指定己當前規蔥則的IP地址和端徑口信息，湖可以使用關鍵字Any來指定任餅何地址。在下圖鑰中，源IP地址指縣定為任崖何主機欲的地址殃，而目關的地址鋪則設定壘為在C類網絡地狐址192.佛168.摔1.0上進行匹述配。其中/24表示C類網絡須；/16表示B類網絡責；/32表示特嫁定的主熊機地址。Sno寨rt規則頭驕的字段歉（續）對IP地址還降可以應絮用一種列稱為“求反客算子”的操作醬符，該惹操作符往告訴Sno逗rt系統匹矛配除了罵所指定撓地址之虹外的任勿意IP地址。求反操作諸符使用符號“域！”來憲表示。alerttcpanyany->/24111(content:″|000186a5|″;msg:″mountdaccess″;)alerttcp!/24any->/24111(content:″|000186a5|″;msg:″externalmountdaccess″;)Snor筐t規則頭貸的字段果（續）4、端口透號端口號愈可以使頃用多種移方法進辱行指定凡，包括Any關鍵字縣指定、靜態端口定義、范圍定義和求反操作軋符指定等。Any關鍵字指定的端鑄口為一通域配符值，符意味著所怖有的端口碼號。靜態端戲口由某一造單獨端香口號來妖指定，潮如111為端口映桑射，23為Teln丘et端口，80為HTTP服務端口孤等。范圍定收義的端口求值用范瓶圍操作紅符“：湖”來指郊示；范峰圍操作沈符的使平用可以扶有多種泄形式，跨對應的率含義也龜不同。端口求尿反指定使用瞇求反操作忽符“！”乒來表示。！能夠應球用于其他受幾種端口添的指定形國式（除了Any端口）。端口范圍翠示例logudpanyany->/241:1024記錄來自任意端口且目標端口為1~1024范圍內的UDP數據包logtcpanyany->/24:6000記錄目標端口小于或等于6000的TCP數據包logtcpany:1024->/24500:記錄源端口號小于或等于1024而目標端口號大于或等于500的TCP數據包logtcpanyany->/24!6000:6010利用“!”，對XWindows端口之外所有端口的數據流量進行記錄。Sno級rt規則頭載的字段膚（續）5、方向奧操作符方向操作劈燕符“->”指示規則緒所適用的敢流量方向斷。位于方向符操作符左凡側的IP地址和端墓口號被認柜為是指示斗來自源主左機的數據興包流量，稅而位于右啟側的部分烤則指示目濱的主機。還有一冬種稱為“雙向操瓜作符”的符號醉定義，徐表示為獲“<>”。雙向操按作符告鉗訴Snor棉t，將任一雀地址/端口對甩視為源科地址或愈者目的捷地址均棍可，這于對于需乒要同時闊記錄并跟分析對慕話雙方減流量的啟場合是乎十分適愧合的。下圖所示青的情況就色是使用雙要向操作符璃來記錄一合個Tel儲net會話雙漿方的數桂據流量得的例子喉。log!/24any<>/2423Snor馬t的規則糾選項規則選項是Snor晌t檢測規模則設計議中的核湖心部分Sno蛾rt規則選項句的設計將凳易用性和鞏檢測性能奶以及靈活呈性結合起致來。Sno鳴rt不斷引莖入新的矩規則選嘗項類型樸，其中北的基本進選項類補型如下供：msg：在警報燭信號和吳數據包桃日志中副顯示一怒條消息甩；log：將數據廁包記錄棚到用戶跟指定名攔稱的文買件，而執不是標本準輸出