基于ACID的snort入侵检测系统的搭建

目 录 摘要…… I Abstract II 第1章 绪论 1 1.1 选题目的和意义 1 1.2论文介绍的内容 1 第2章 入侵检测的相关知识 2 2.1 入侵检测系统定义 2 2.2 入侵检测系统组成 3 2.3 入侵检测系统的分类 3 2.3.1 基于主机的入侵检测系统 3 2.3.2 基于网络的入侵检测系统 4 2.4 基于内核的入侵检测系统 5 2.4.1 两种入侵检测系统的结合使用 5 2.4.2 分布式的入侵检测系统 5 2.5 入侵检测系统通信协议 6 2.6 检测入侵的方法 6 2.6.1 根据采用的技术分 6 2.6.2 根据其监测的对象分 6 2.7 根据工作方式分 7 2.8 入侵检测技术 7 2.9 入侵检测的技术途径 8 2. 9.1 入侵检测的第一步：信息收集 8 2.9.2 入侵检测的第二步：数据分析 8 2.10 IDS的缺点 10 第3章 Snort介绍 11 3.1 什么是Snort 11 3.2 Snort系统需求 12 3.3 Snort的功能及体系结构 12 3.4 数据包嗅探器 13 3.4.1 预处理器 13 3.4.2 检测引擎模块 14 3.4.3 报警/日志模块 15 3.5 Snort的缺陷 16 3.5.1 防欺骗能力 16 3.5.2 自身安全性 18 3.5.3 Snort与其他入侵监测系统的比较 18 第4章 基于ACID的Snort的IDS搭建 20 4.1 ACID概述 20 4.2 准备所需的软件 20 4.3 系统的搭建过程 21 4.3.1 安裝appserv-win32-2.4.1.exe 21 4.3.2 安装Snort_232_Build12_Installer.exe 23 4.3.3 安装WinPcap_3_1.exe 23 4.3.4 安装ACID 27 4.3.5 更新rules 32 4.3.6 开启snort服务 32 4.4 Snort+ACID的测试 34 结 论 35 基于ACID的snort入侵检测系统的搭建 摘 要 本文详细剖析著名的入侵检测系统Snort的结构、功能和工作原理。Snort是一种模式匹配的IDS,它使用规则来确定可疑或恶意的流量。定制的规则可以自定义流量特征,使Snort能适应特定的网络拓扑结构。Snort通过Libpcap来捕获网络的原始数据包。Libpcap可以移植到各种常见的操作系统,它让Snort成为真正平台独立的入侵检测系统。Snort采用灵活的插件体系结构,便于扩展以执行新的功能和任务。预处理程序是Snort的一种插件,它在数据进入特征检测引擎之前对数据进行处理,并且努力与不断变化的漏洞和攻击保持同步。大部分预处理程序都是针对新的IDS躲避技术而添加的,在预处理程序的辅助下,从多态shellcode到分段包都能够被检测,并且也能够检测到无明确特征的可疑流量。Snort的检测引擎负责进行实际的特征检测。规则被载入到检测引擎并以三维树形数据结构分类。这种树形结构通过最小化必要检测次数来提高匹配效率。Snort可以配置多种输出插件,以便容易对入侵数据进行储存和分析。输出插件种类众多,有简单的逗号分隔输出,也有复杂的关系数据库输出,还有专门设计的输出格式和输出工具,用来负责向数据库写入警报数据。 9.1 入侵检测的第一步：信息收集 8 2.9.2 入侵检测的第二步：数据分析 8 2.10 IDS的缺点 10 第3章 Snort介绍 11 3.1 什么是Snort 11 3.2 Snort系统需求 12 3.3 Snort的功能及体系结构 12 3.4 数据包嗅探器 13 3.4.1 预处理器 13 3.4.2 检测引擎模块 14 3.4.3 报警/日志模块 15 3.5 Snort的缺陷 16 3.5.1 防欺骗能力 16 3.5.2 自身安全性 18 3.5.3 Snort与其他入侵监测系统的比较 18 第4章 基于ACID的Snort的IDS搭建 20 4.1 ACID概述 20 4.2 准备所需的软件 20 4.3 系统的搭建过程 21 4.3.1 安裝appserv-win32-2.4.1.exe 21 4.3.2 安装Snort_232_Build12_Installer.exe 23 4.3.3 安装WinPcap_3_1.exe 23 4.3.4 安装ACID 27 4.3.5 更新rules 32 4.3.6 开启snort服务 32 4.4 Snort+ACID的测试 34 结 论 35 基于ACID的snort入侵检测系统的搭建 摘 要 本文详细剖析著名的入侵检测系统Snort的结构、功能和工作原理。Snort是一种模式匹配的IDS,它使用规则来确定可疑或恶意的流量。定制的规则可以自定义流量特征,使Snort能适应特定的网络拓扑结构。Snort通过Libpcap来捕获网络的原始数据包。Libpcap可以移植到各种常见的操作系统,它让Snort成为真正平台独立的入侵检测系统。Snort采用灵活的插件体系结构,便于扩展以执行新的功能和任务。预处理程序是Snort的一种插件,它在数据进入特征检测引擎之前对数据进行处理,并且努力与不断变化的漏洞和攻击保持同步。大部分预处理程序都是针对新的IDS躲避技术而添加的,在预处理程序的辅助下,从多态shellcode到分段包都能够被检测,并且也能够检测到无明确特征的可疑流量。Snort的检测引擎负责进行实际的特征检测。规则被载入到检测引擎并以三维树形数据结构分类。这种树形结构通过最小化必要检测次数来提高匹配效率。Snort可以配置多种输出插件,以便容易对入侵数据进行储存和分析。输出插件种类众多,有简单的逗号分隔输出,也有复杂的关系数据库输出,还有专门设计的输出格式和输出工具,用来负责向数据库写入警报数据。