入侵檢測技術(shù)

1、入侵檢測技術(shù)一、實驗目的通過實驗深入理解入侵檢測系統(tǒng)的原理和工作方式，熟悉入侵檢測系統(tǒng)的配置和使用。實驗具體要求如下：1.理解入侵檢測的作用和原理2.理解誤用檢測和異常檢測的區(qū)別3.掌握Snort的安裝、配置和使用等實用技術(shù)二、實驗原理1、入侵檢測概念及其功能入侵檢測是指對入侵行為的發(fā)現(xiàn)、報警和響應(yīng)，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 入侵檢測系統(tǒng)(intrusion detection system,IDS)是完成入侵檢測功能的軟件和硬件的集合。入侵檢測的功能主要體現(xiàn)在以下幾個方面：1）. 監(jiān)視并分

2、析用戶和系統(tǒng)的活動。2）. 核查系統(tǒng)配置和漏洞。3）. 識別已知的攻擊行為并報警。4）. 統(tǒng)計分析異常行為。5）. 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。6）. 操作系統(tǒng)的審計跟蹤管理，并識別違反安全策略的用戶行為。2、入侵檢測的分類根據(jù)IDS檢測對象和工作方式的不同，可以將IDS分為基于網(wǎng)絡(luò)的IDS(簡稱NIDS)和基于主機的IDS(簡稱HIDS)。NIDS和HIDS互為補充，兩者的結(jié)合使用使得IDS有了更強的檢測能力。1）. 基于主機的入侵檢測系統(tǒng)。HIDS歷史最久，最早用于審計用戶的活動，比如用戶登錄、命令操作、應(yīng)用程序使用資源情況等。HIDS主要使用主機的審計記錄和日志文件作為輸入，某些

3、HIDS也會主動與主機系統(tǒng)進行交互以獲得不存在于系統(tǒng)日志的信息。 HIDS所收集的信息集中在系統(tǒng)調(diào)用和應(yīng)用層審計上，試圖從日志尋找濫用和入侵事件的線索。HIDS用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在保護的主機上。2）. 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。NIDS是在網(wǎng)絡(luò)中的某一點被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁浚⑼ㄟ^協(xié)議分析、特征、統(tǒng)計分析等分析手段發(fā)現(xiàn)當前發(fā)生的攻擊行為。NIDS通過對流量分析提取牲模式，再與已知攻擊牲相匹配或與正常網(wǎng)絡(luò)行為原形相比較來識別攻擊事件。3、入侵檢測系統(tǒng)1）. 入侵檢測系統(tǒng)的特點：入侵檢測系統(tǒng)(Intrusion Detection System)是對防火墻有益

4、的補充，它對網(wǎng)絡(luò)和主機行為進行檢測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控，增強了網(wǎng)絡(luò)的安全性。在安全防范方面，入侵檢測系統(tǒng)可以實現(xiàn)事前警告、事中防護和事后取證。入侵檢測系統(tǒng)能夠在入侵攻擊行為對網(wǎng)絡(luò)系統(tǒng)造成危害前，及時檢測到入侵攻擊的發(fā)生，并進行報警；入侵攻擊發(fā)生時，入侵檢測系統(tǒng)可以通過與防火墻聯(lián)動等方式進行報警及動態(tài)防護；被入侵攻擊后，入侵檢測系統(tǒng)可以提供詳細的攻擊信息日志，便于取證分析。相對于防火墻提供的靜態(tài)防護而言，入侵檢測系統(tǒng)側(cè)重于提供動態(tài)實時檢測防護，因此防火墻和入侵檢測系統(tǒng)的結(jié)合，能夠給網(wǎng)絡(luò)帶來更全面的防護。2). 入侵檢測系統(tǒng)的實現(xiàn)原理：入侵檢測系統(tǒng)的實現(xiàn)技術(shù)可以簡單地分為兩

5、大類：基于特征的檢測和基于異常的檢測?；谔卣鞯臋z測技術(shù)主要包括模式匹配和協(xié)議分析兩種主要檢測方法。模式匹配就是將已知入侵事件悼念到網(wǎng)絡(luò)入侵和系統(tǒng)誤用知識庫中，對入侵檢測系統(tǒng)悼念的信息和知識庫中的規(guī)則進行比較，以發(fā)現(xiàn)入侵行為。協(xié)議分析技術(shù)則對數(shù)據(jù)包進行協(xié)議解析后進行分析。這種技術(shù)需要首先捕捉數(shù)據(jù)包，然后對數(shù)據(jù)包進行解析，包括網(wǎng)絡(luò)協(xié)議分析和命令解析，即使在高負載的調(diào)整網(wǎng)絡(luò)上，也能逐個分析所有的數(shù)據(jù)包。基于牲的檢測技術(shù)只需收集相關(guān)的數(shù)據(jù)，和所維護的知識庫規(guī)則比較就能進行判斷，檢測準確率和效率較高。但是，該技術(shù)需要不斷進行知識庫規(guī)則的升級以對付不斷出現(xiàn)的新攻擊手法，而且，它不能檢測未知攻擊手段。3)

6、. 入侵檢測系統(tǒng)的部署原則：NIDS總的來說包括探測器和控制臺兩大部分。探測器是專用的硬件設(shè)備，負責網(wǎng)絡(luò)數(shù)據(jù)流的捕獲、分析檢測和報警等功能。控制臺是管理探測器的工具，它負責接收探測器的檢測日志數(shù)據(jù)，并提供數(shù)據(jù)查詢和報告生成等功能，一個控制臺可以管理多個探測器。HIDS安裝在被保護的機器上，在主機系統(tǒng)的審計日志或操作中查找信息源進行智能分析和判斷，例如操作系統(tǒng)日志、系統(tǒng)進程、文件訪問和注冊表訪問等信息。由于HIDS安裝在需要保護的主機系統(tǒng)上，這將影響應(yīng)用系統(tǒng)的運行效率。HIDS對主機系統(tǒng)固有的日志與監(jiān)視能力有很高的依賴性，它一般針對其所在的系統(tǒng)進行檢測。4/Snort簡介及使用原理：1). Sn

7、ort是一款免費的NIDS，具有小巧靈便、易于配置、檢測效率高等特性，常被稱為輕量級的IDS。Snort具有實時數(shù)據(jù)流量分析和IP數(shù)據(jù)包日志分析能力，具有跨平臺特征，能夠進行協(xié)議分析和對內(nèi)容的搜索或匹配。Snort能夠檢測不同的攻擊行為，如緩沖區(qū)溢出、端口掃描和拒絕服務(wù)攻擊等，并進行實時報警。Snort可以根據(jù)用戶事先定義的一些規(guī)則分析網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)檢測結(jié)果采取一定的行動。Snort有3種工作模式，即嗅探器、數(shù)據(jù)包記錄器和NIDS。嗅探器模式僅從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上；數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上，以備分析之用；NIDS模式功能強大，可以通過配置實現(xiàn)。2

8、). Snort的結(jié)構(gòu)由四大軟件模塊組成：(1)數(shù)據(jù)包嗅探模塊。負責監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包，對網(wǎng)絡(luò)進行分析。(2)預處理模塊。該模塊用相應(yīng)的插件來檢查原始數(shù)據(jù)包，從中發(fā)現(xiàn)原始數(shù)據(jù)的"行為"。(3)檢測模塊。該模塊是Snort的核心模塊。當數(shù)據(jù)包從預處理器送過來后，檢測引擎依據(jù)預先設(shè)置的規(guī)則檢查數(shù)據(jù)包，一旦發(fā)現(xiàn)數(shù)據(jù)包中的內(nèi)容和某條規(guī)則相匹配，就通知報警模塊。(4)報警/日志模塊。經(jīng)檢測引擎檢查后的Snort數(shù)據(jù)需要以某種方式輸出。如果檢測引擎中的某條規(guī)則被匹配，則會觸發(fā)一條報警。3). Snort規(guī)則。Snort的每條規(guī)則邏輯上都可以分成規(guī)則頭部和規(guī)則選項。規(guī)則頭部包括規(guī)則行為、協(xié)議

9、、源或目的IP地址、子網(wǎng)掩碼、源端口和目的端口；規(guī)則選項包含報警信息和異常包的信息（特征碼），基于特征碼決定是否采取規(guī)則規(guī)定的行動。對于每條規(guī)則來說，規(guī)則選項不是必需的，只是為了更加詳細地定義應(yīng)該收集或者報警的數(shù)據(jù)包。 只有匹配所有選項的數(shù)據(jù)包，Snort都會執(zhí)行其規(guī)則行為。如果許多選項組合在一起，它們之間是“邏輯與“的關(guān)系。三、實驗步驟實驗內(nèi)容一：Windows平臺下Snort的安裝與配置由于需要對網(wǎng)絡(luò)底層進行操作，安裝Snort前需要預先安裝WinpCap（WIN32平臺上網(wǎng)絡(luò)分析和捕獲數(shù)據(jù)包的鏈接庫）。1. 下載Windows平臺下的Snort安裝程序，選擇安裝目錄為c:Snort。進行

10、到選擇日志文件存放方式時，為簡單起見，選擇不需要數(shù)據(jù)庫支持或者Snort默認的MySQL和ODBC數(shù)據(jù)庫支持的方式。 (即選擇"I do not plan to log to a database,or I am planning to log to one of the databases listed above.")2. 單擊“開始”菜單，選擇“運行”命令，輸入cmd并按Enter鍵，在命令行方式下輸入如下命令c:>cd c:Snortbin，然后輸入c:Snortbin>snort -W。如果Snort安裝成功，系統(tǒng)將顯示如下圖所示信息。3. 從返回的結(jié)

11、果可知主機上有哪個物理網(wǎng)卡正在工作及該網(wǎng)卡的詳細信息。其中第五個是具有物理地址的網(wǎng)卡。輸入snort -v -i5命令啟用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i5表示監(jiān)聽第五個網(wǎng)卡。如下圖所示：4. 為了進一步查看Snort的運行狀況，可以人為制造一些ICMP網(wǎng)絡(luò)流量。在局域網(wǎng)段中的另一臺主機上使用Ping指令，探測運行Snort的主機。5. 回到運行Snort的主機，發(fā)現(xiàn)Snort已經(jīng)記錄了這次探測的數(shù)據(jù)包，Snort在屏幕上輸出了局域網(wǎng)中另一臺主機到本主機的ICMP數(shù)據(jù)包頭。7. 配置網(wǎng)段內(nèi)提供網(wǎng)絡(luò)服務(wù)的IP地址，只需要把默認的$HOME_NET改成對

12、應(yīng)主機地址即可：var DNS_SERVERS $ HOME_NET; var SMTP_SERVERS $ HOME_NET; var HTTP_SERVERS $ HOME_NET; var SQL_SERVERS $ HOME_NET; var TELNET_SERVERS $ HOME_NET; var SNMP_SERVERS $ HOME_NET 如果不需要監(jiān)視某種類型的服務(wù)，可用#號將上述語句其注釋掉。8. 修改設(shè)置監(jiān)測包含的規(guī)則。在配置文件末尾，定義了與規(guī)則相關(guān)的配置，格式如下：include $RULE_PATH/local.rules; include $RULE_PATH

13、/bad-traffic.rules; include $RULE_PATH/exploit.rules。其中變量$RULE_PATH指明了規(guī)則文件存放的路徑，可以在語句var RULE_PATH./rules中將變量RULE_PATH改為存放規(guī)則集的目錄，如：c:snortrules。9. 在Snort.conf文件中，修改配置文件Classification.conf和Reference.conf的路徑：include c:Snortetcclassification.conf; include c:Snortetcreference.config。其中，Classification.co

14、nf文件保存的是和規(guī)則的警報級別相關(guān)的配置，Reference.conf文件保存了提供更多警報相關(guān)信息的鏈接。實驗內(nèi)容二：Windows平臺下Snort的使用1. Snort嗅探器模式。檢測Snort安裝是否成功時，用到的就是Snort嗅探器模式。輸入命令如下：snort -v -i5使Snort只將IP和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如果要看到應(yīng)用層的數(shù)據(jù)，可以輸入如下命令：snort -v -d -i5。 如果需要輸出更詳細的信息，輸入命令：snort -v -d -e -i5可以顯示數(shù)據(jù)鏈路層的信息。2. 數(shù)據(jù)包記錄器模式。上面的命令只是在屏幕上輸出，如果要記錄在LOG

15、文件上，需要預先建立一個Log目錄。輸入下面的命令啟用數(shù)據(jù)包記錄器模式：snort -dve -i5 -l c:Snortlog -h /24 -K ascii。 其中，-l選項指定了存放日志的文件夾；-h指定目標主機，這里檢測對象是局域網(wǎng)段內(nèi)的所有主機，如不指定-h，則默認檢測本機；-K指定了記錄的格式，默認是Tcpdump格式，此處使用ASCII碼。3. 網(wǎng)絡(luò)IDS模式。Snort最重要的用途還是作為基于誤用檢測技術(shù)的NIDS。輸入下面的命令啟動IDS模式：snort -i5 -dev -l./log -h /24 -K ascii -c c:S

16、nort/etc/snort.conf。相比數(shù)據(jù)包記錄器模式中使用的命令，該命令只增加了一個選項-c，用于告訴Snort使用Snort.conf中的規(guī)則集文件。 Snort會對每個包和規(guī)則集進行匹配，如符合規(guī)則就采取規(guī)則所指定的動作。4. 下面將通過對運行了Snort的目標主機進行有意攻擊，來觀察Snort檢測入侵的能力。首先，向目標主機發(fā)送ICMP長數(shù)據(jù)包來觀測Snort的反映，ICMP長數(shù)據(jù)包是有潛在危險的，一般會被視為入侵；然后，使用網(wǎng)絡(luò)端口掃描工具Nmap對目標主機進行掃描，觀察Snort的檢測情況。具體操作步驟如下：(2)在目標主機中打開Log文件夾，此時可以發(fā)現(xiàn)在Log的根目錄下自

17、動生成了一個名為Alert的文件。打開文件并觀察其內(nèi)容，Snort警報中記錄了剛才發(fā)送的ICMP長數(shù)據(jù)包，每條記錄包括警報的類型和數(shù)據(jù)包的包頭。發(fā)送的ICMP長數(shù)據(jù)包之所以出現(xiàn)在警報中，是因為它的特征和Snort預先定義的規(guī)則相符。警報如下圖所示：(3)在Snort的安裝目錄下打開Rules文件夾，打開Icmp.rules文件，可以發(fā)現(xiàn)和該攻擊對應(yīng)的規(guī)則如下圖所示：(4)執(zhí)行端口掃描的檢測。把Snort.conf文件中相應(yīng)端口配置部分的內(nèi)容修改為：preprocessor sfportscan:protoall memcap10000000 sense_levelmedium logfilep

18、ortscan。其中，proto指定了需要檢測的協(xié)議類型，包括TCP、UDP、ICMP和IP，all表示檢測所有的協(xié)議；sense_level指定檢測的靈敏度，靈敏度高可以增加檢測率， 但有可能會同時增加誤報率，Snort的默認選項是Low；logfile指定檢測結(jié)果的輸出文件名，該文件將創(chuàng)建在Log目錄下。(5)在局域網(wǎng)的另一臺主機上運行Nmap，對目標主機進行SYN掃描，在命令行方式下輸入如下命令：nmap -sS 00如圖所示，掃描探測到了兩個開放端口139和455。(6)在目標主機上查看記錄端口掃描檢測結(jié)果的文件Portscan?？梢钥闯?，Snort準確識別并分析

19、記錄了端口掃描攻擊相關(guān)的信息，如攻擊者的IP地址，掃描的范圍從21號端口到38037號端口，攻擊者掃描到2個開放的端口：139和455。 Portscan文件中記錄的并不是單條的網(wǎng)絡(luò)數(shù)據(jù)包記錄，而是Snort的端口模塊對數(shù)據(jù)包和其他特性綜合分析的結(jié)果，如在單位時間內(nèi)來自同一IP的警報信息或TCP數(shù)據(jù)包的統(tǒng)計特征等。(7)打開Alarm文件。發(fā)現(xiàn)在Alarm文件里增加了與端口掃描相關(guān)的警告。Alarm文件中記錄的是單個數(shù)據(jù)包和規(guī)則匹配的結(jié)果；在Rules文件夾中打開檢測端口掃描的規(guī)則集，可以找到與端口掃描警報相對應(yīng)的規(guī)則：alert tcp $EXTERNAL_NET any -> $HO

20、ME_NET any (msg:"SCAN XMAS"flow:stateless; flags:SRAFPU,12;reference:arachnids,144;classtype:attempted-recon;sid:625;rev:7)實驗內(nèi)容三：編寫Snort規(guī)則1. snort使用一種簡單的，輕量級的規(guī)則描述語言，這種語言靈活而強大。在開發(fā)snort規(guī)則時要雇幾個簡單的原則：(1)大多數(shù)snort規(guī)則都寫在一個單行上，或都在多行之間的行尾用/分隔。(2)snort被分成兩個邏輯部分：規(guī)則頭和規(guī)則項。規(guī)則頭包含規(guī)則的動作、協(xié)議、源和目標IP地址與網(wǎng)絡(luò)掩碼，以及源

21、和目標端口信息；規(guī)則選項部分包含報警消息內(nèi)容和要檢查的包的部分。(3)例如：alert tcp any any -> /24 111(content:"|00 01 86 a5|"msg:"mountd access")。第一個括號前的部分是規(guī)則頭(rule header)，包含的括號內(nèi)的部分是規(guī)則選項(rule options)。規(guī)則選項部分中冒號前的單詞稱為選項關(guān)鍵字(option keywords)。 注意，不是所有規(guī)則都必須包含規(guī)則選項部分，選項部分只是為了使對要悼念或報警，或丟棄的包的定義更加嚴格。組成一個規(guī)則的所有

22、元素對于指定的要采取的行動都必須是真的。當多個元素放在一起時，可以認為它們組成一個邏輯與語句。同時，snort規(guī)則庫文件中的不同規(guī)則可以認為組成一個大的邏輯或語句。2. 編寫一個規(guī)則，通過捕捉關(guān)鍵字Search記錄打開Google網(wǎng)頁的動作，并將符合規(guī)則的數(shù)據(jù)包輸出到Alert文件中。(1)在Snort的Rules文件夾下創(chuàng)建Myrule文件，在Myrule文件中輸入如下內(nèi)容：alert tcp $EXTERNAL_NET any -> any 80(content:"search"nocase;msg:"Google Search Query")(2)在Snort.conf文件中添加新建的規(guī)則文件。在Snort.conf的規(guī)則區(qū)域中（也可在文件末）添加下面的語句：include $RULE_PATH/myrule.rules(3)以IDS模式啟動Snort，打開瀏覽器，輸入到goog