基于Snort的入侵检测系统方案.doc

.

基于 Snort 的入侵检测系统

用 Snort,Apache,MySQL,PHP 与 ACID 构建高级 IDS

第一章 入侵检测系统与 Snort 介绍

在当今的企业应用环境中，安全是所有网络面临的大问题。黑客和入侵者

已成功的入侵了一些大公司的网络与。目前已经存在一些保护网络架构与通信

安全的方法，例如防火墙、虚拟专用网（VPN）、数据加密等。入侵检测是最

近几年出现的相对较新的网络安全技术。利用入侵检测技术，我们可以从已知

源 码 产 品 中 都 有 很 多 。 最 著 名 的 商 业 化 防 火 墙 产 品 有 Checkpoint

(.checkpoint.), Cisco (.cisco.)与 Netscreen(.netscreen.)。最著名的

开放源码防火墙是 Netlter/Iptables(.netlter.org)。

 入侵检测系统（IDS）：用来发现是否有人正在侵入或者试图侵入你的网络。

最著名的 IDS 是 Snort,可以在.snort.org

下载。

 弱点评估工具：用来发现并堵住网络中的安全漏洞。弱点评估工具收集的

信息可以指导我们设置恰当的防火墙规则，以挡住恶意的互联网用户。现

在 有 许 多 弱 点 评 估 工 具 ， 比 如 Nmap(.nmap.org/) 和

.

特定的主机上并检测攻击目标是主机的行为的系统。IDS 迄今为止还是一门相

当新的技术，而 Snort 在 IDS 中处于领先的地位。

本书由入侵检测介绍与相关概念入手，你将学习如何安装与管理 Snort 以

与 与 Snort 协 同 工 作 的 其 他 产 品 。 这 些 产 品 包 括 MySQL 数 据 库

（ .mysql.org ） 、 入 侵 数 据 库 分 析 管 理 工 具 ACID （ .cert.org/kb/

acid）。Snort 能够将日志数据（例如告警和其他日志消息）记录到数据库中。

MySQL 用 作 存 储 所 有 这 些 数 据 的 数 据 库 引 擎 。 利 用 ACID 与 Apache

(.apache.)Web 服务器，我们可以分析这些数据。Snort、Apache、MySQL

与 ACID 的共同协作，使我们可以将入侵检测数据记录到数据库，然后用 web

界面察看和分析这些数据。

统环境与需要建立自己的规则。建立良好的规则是构建入侵检测系统的关键，

因此本章非常重要。本章同时也介绍 Snort 不同版本间规则的不同。

第四章介绍 input 与 output 插件。插件与 Snort 一同编译，并用来调整检

测引擎的输入和输出部分。Input 插件用在实际检测过程发生前准备好捕获的

数据包。Output 插件用来将数据数据格式化，以用于特定的目的，例如一种

output 插件可以将输出的检测信息转换成 SNMP trap 信息，而另外一种

output 插件可以将信息转换成数据库信息。这一章将详细介绍如何配置与使用

这些插件。

.

MySQL 中建立数据库，如何配置数据库插件，以与将日志数据记录到数据库

中。

在读完此书后，你将建立一个完整的，具有多个组件的系统，如图 1-1 所

示。

在图中你可以看到，Snort 捕获并分析数据，然后用 output 插件将数据储

存在 MySQL 数据库中。Apache 服务器在 ACID,PHP、GD library 与 PHP 包

的帮助下使连接到服务器的用户能够通过浏览器显示数据。用户可以在网页上

应用不同的查询来分析、备份、删除数据或者显示图表。

基本上，你可以将 Snort、MySQL、Apache、PHP、ACID、GD 库以与

ACID 都安装到一台计算机上，而实际上在读完本书后，你可以建立一个类似

于如图 1-2 所示得更加贴近实际应用的系统。

在企业中，人们通常使用多个 Snort 探测器，在每个路由器或者防火墙后

示。

测包含已知入侵行为特征或者异常于 IP 协议的数据包。基于一系列的特征

.

比基于特征的入侵检测系统要更好一些。通常情况下，入侵检测系统在网络

上捕获数据包与规则比对或者检测其中的异常。Snort 基本上是一个基于规

则的 IDS,但是 input 插件可以分析协议头部异常。

们是一项具有技巧性的工作，因为在实时检测中你应用越多的规则，那么你

将需要越多的处理能力，所以用尽量少的规则来捕获尽量多的特征是非常重

要的。Snort 已经预先定义了许多入侵检测规则，并且你可以自由添加自定

义的规则。同时，你也可以移除一些建规则以防止错误告警。

1．1．1 一些定义

于理解其他更加复杂的安全概念是非常必要的。

件的复杂度与精巧性。实体的 IDS 是硬件和软件的结合，很多公司可以提

供与决方案。如前面提到的，IDS 可以采用特征分析技术、异常检测技术，

或者两者同时应用。

1．1．1．2 网络 IDS 或 NIDS

检测系统。跟据数据包与特征数据库的匹配情况，IDS 产生告警或者将日志

1．1．1．3 主机 IDS 或 HIDS

.

HIDS 是被动状态的，只有当某些事情发生了才会通知你，另外一些是主动

状态的，可以嗅探网络中针对某一主机的通信状况并实时产生告警。

现攻击特征。你将在本书的后面更多的了解攻击特征。

化的 IDS 需要从厂商那里得到更新的特征库。另外一些 IDS,比如 Snort,你

可以自己更新特征库。

1．1．1．5 告警

来通知安全管理员。告警的形式可以使弹出窗口、终端显示与发送 e-mail

等等。告警同时也被存储到日志文件或者数据库中，以便供安全专家察看。

在本书的后面，你将得到关于告警的详细信息。

这个目录。日志信息可以存储为文本格式或者二进制格式，二进制格式的文

件可以供 Snort 或者 Tcpdump 随后访问，现在也有一个叫做 Barnyard 的