入侵检测系统分类.pptx
《入侵检测系统分类.pptx》由会员分享,可在线阅读,更多相关《入侵检测系统分类.pptx(35页珍藏版)》请在咨信网上搜索。
1、SNORT原理简介与优化及GNORT初探刘斐然主要内容Snort原理是什么?Snort在实际应用中的缺陷有哪些?如何对Snort进行优化?Gnort初探。入侵检测系统的基本结构入侵检测系统的基本结构入侵检测系统通常包括三功能部件:信息收集,其来源如下:系统或网络的日志文件网络流量系统目录或文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析结果处理对异常进行记录/报警等入侵检测系统分类入侵检测系统分类Snort-基于特征检测的基于特征检测的NIDS在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,S
2、nort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。Snort的结构组成的结构
3、组成 Snort主要包含以下模块:数据包捕获模块:通过DAQ调用底层函数库,捕获来自网络的数据包解码模块对捕获的数据包进行协议解码预处理模块以插件形式存在,对IP分片进行重组,防止ARP欺骗等等规则匹配模块根据设置的规则对数据包进行匹配输出模块以插件形式存在,当匹配成功时进行记录或报警SnortSnort输出数据包规则匹配数据包规则匹配数据包预处理数据包预处理数据包解码数据包解码DAQDAQ(Data Acquisition libraryData Acquisition library)PCAPPCAPPFPACKETPFPACKETNFQNFQIPFWIPFWSnort原理分析原理分析-数
4、据包解码数据包解码在Snort内部用Packet数据结构表示一个数据包。数据包解码模块负责根据捕获到的数据包初始化Packet数据结构。(该结构定义在decode.h中)数据包解码函数均定义在decode.c中,由grinder指针指向其入口函数。解码流程如右图所示。最后生成完整的Packet结构。Snort原理分析原理分析-数据包预处理简介数据包预处理简介解码后的数据包还需经过预处理才能被主探测引擎进行规则匹配。预处理器的主要用来应对一些IDS攻击手段。其作用包括:针对可以行为检查包或修改包,以便探测引擎能对其正确解释。负责对流量标准化,以便探测引擎能精确匹配特征。目前已知的IDS逃避技术主
5、要有:多态URL编码;多态shellcode;会话分割;IP碎片;Snort原理分析原理分析-预处理器简介预处理器简介Snort主要包含以下预处理器:包重组预处理器:Frag3:IP分片重组和攻击监测。Stream5:维持TCP流状态,进行会话重组。协议规范化预处理器:HttpInspect:规范HTTP流,如将Unicode或hex翻译成snort可以识别的字符集。RpcDecode:规范RPC调用。异常检测预处理器:ARPspoof:检测ARP欺骗。SfPortscan:检测端口扫描。在Snort中,捕获的数据包要经过所有已经打开的预处理器。预处理器是由插件来实现的,这样的好处为:可以根据
6、实际环境启动或停止一个预处理插件,提高Snort效率。可以灵活添加自己编写的预处理插件,预防新型的IDS逃避手段。(如何编写预处理插件在源码doc/README.PLUGINS中有初步介绍)Snort原理分析原理分析-预处理器初始化预处理器初始化Snort预处理器初始化流程如下:首先调用RegisterPreprocessors函数,将所有预处理插件注册进全局preproc_config_funcs链表中,内容包括:关键字及相关预处理插件的初始化函数等。调用ConfigurePreprocessors函数,根据配置文件和命令行参数遍历preproc_config_funcs链表,比对关键字。如
7、相同则运行预处理插件的初始化函数。预处理插件的初始化函数通过调用AddFuncToPreprocList将其实际的预处理函数添加到preproc_eval_funcs链表中,插入时会根据预处理插件的priority进行排序。当程序捕获到数据包时,首先通过grinder指向的函数进行解码。然后执调用preproc_eval_funcs链中的预处理程序进行预处理。Snort原理分析原理分析-规则简介规则简介Snort规则分为Rules Headers和Rules Options,格式为:rule headers(rule options)规则头(Rules Headers)包含结果处理模式,协议,
8、来源与目地的IP地址,来源与目地的端口等。规则选项(Rules Options)包含匹配内容,匹配位置,报警信息,引用说明等等。例:alert tcp$EXTERNAL_NET any-$HTTP_SERVERS$HTTP_PORTS(msg:WEB-PHP Opt-X header.php remote file include attempt;flow:to_server,established;content:/header.php;nocase;http_uri;content:systempath=;.)Snort原理分析原理分析-规则表现形式规则表现形式在Snort中,规则头由Ru
9、leTreeNode(RTN)结构表示,规则选项由OptTreeNode(OTN)表示。RTN结构中主要包括:IpAddrSet*sip,*dip:源IP地址,目的IP地址。PortObject*src_portobject,*dst_portobject:源端口,目的端口。OptTreeNode*down:指向相关的OTN。RuleFpList*rule_func:规则匹配函数。OTN结构中主要包括:OptFpList*opt_func:规则匹配函数。void*ds_listPLUGIN_MAX:插件需要的数据结构指针。RuleTreeNode*proto_nodes:指向其关联的RTN。S
10、nort原理分析原理分析-RTN初始化初始化RTN及OTN均由ParseRule负责初始化。首先读入一行规则,传给ParseRule函数进行分析。ParseRule函数会将规则头取出并进行拆分,然后执行如下函数对RTN进行初始化:ProcessIP函数:将源IP地址,目的IP地址写入RTN的*sip,*dip中。ParsePortList函数:将源端口,目的端口写入RTN的*src_portobject,*dst_portobject中。ProcessHeadNode函数:调用SetupRTNFuncList函数,将具体的规则匹配函数插入rule_func链表中,其函数根据标志位不同可选用如下
11、几个:CheckSrcPortNotEq/CheckSrcPortEq/CheckDstPortNotEq/CheckDstPortEqualCheckSrcIP/CheckDstIPRuleListEnd:rule_func的链结尾函数匹配RTN时会依次执行rule_func链表中的函数进行匹配,如匹配不成功则返回0。最终如果执行到RuleListEnd函数则表明匹配成功。Snort原理分析原理分析-OTN初始化初始化与检测RTN不同,系统检测OTN时会用到规则检测插件(例如针对TCP flags的匹配的检测是由TCPFlagCheck插件中的CheckTcpFlags函数来完成的),所以先
12、介绍一下规则检测插件的初始化:通过调用RegisterRuleOptions函数,将所有的规则检测插件添加到rule_opt_config_funcs链表中,包括关键字与具体的检测初始化函数。OTN初始化是由ParseRuleOptions函数完成的。其执行如下操作:调用addRtnToOtn,将关联的RTN指针添加到OTN的proto_nodes中遍历rule_opt_config_funcs规则链,进行关键字匹配,如匹配成功则执行其对应的检测初始化函数检测初始化函数负责将需要的数据指针添加到OTN的ds_list中,并将检测函数插入OTN的opt_func链表中最后将OptListEnd插
13、入到opt_func链的末尾Snort原理分析原理分析-快速规则匹配初始化快速规则匹配初始化fpCreateFastPacketDetection:构建快速规则匹配结构:第一层是由四个PORT_RULE_MAP构成,分别对应TCP,UDP,ICMP及其他IP协议。第二层由PORT_GROUP结构构成,分别对应源端口、目的端口及通用端口三种第三层由RULE_NODE结构构成,分别对应以下三类规则:uri-content:URI中的包含规则;Content:内容包含规则;non-content:非content规则。Snort原理分析原理分析-规则匹配流程规则匹配流程调用Detect(Packet
14、*p)对数据包进行规则检测,首先判断是TCP,UDP或者ICMP协议,然后调用相关函数:fpEvalHeaderTcp,fpEvalHeaderUdp,fpEvalHeaderIcmp进行处理。如均不是则调用fpEvalHeaderIp进行处理。fpEvalHeaderXXX的处理过程为首先通过对应协议的PORT_RULE_MAP,根据源端口与目的端口号,找到相关的PORT_GROUP。执行fpEvalHeaderSW(),通过规则类型从PORT_GROUP中找到RULE_NODE,然后对相应规则进行匹配。具体如下:对于url-content或content,执行多模式匹配函数mpseSear
15、ch()进行匹配;对于非content规则,则逐一运行OTN中opt_func链中的所有规则匹配函数。如均执行成功,则继续运行其指向RTN中的rule_func链中的匹配函数。如均匹配成功,则最后会调用输出插件进行输出。Snort目前存在的问题目前存在的问题snort是一款轻量级的网络入侵检测系统。如果将其应用在大规模、大流量的网络中,snort的报警性能会非常低下。可见snort以下两方面的效率还无法满足我们的需求:数据包捕获效率数据包捕获效率数据包分析处理效率数据包分析处理效率改进思路为:首先需保证snort可以捕获到网络中的所有数据包。然后需要保证这些数据包可以及时得到处理。高效的数据包
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 系统 分类
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。