入侵检测SNORT系统部署过程记录
原理背景知识:
一、入侵检测系统介绍
1、入侵检测系统
入侵检测(Intrusion Detection)
指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IDS)
是从网络和系统中收集并分析信息,找出入侵和滥用权限行为的检测系。入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。
2、入侵检测模型
入侵检测模型由D. Denning 提出,该模型包括检测器、分析器和用户接口三个主要组成部分,与具体系统、输入类型以及具体的入侵行为无关。
- 检测器(Sensor)
主要负责收集网络及系统的输入数据流,并检查数据流中的任何可能包含入侵行为线索的数据。例如网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来,然后发送到分析器进行处理。
- 分析器(Analyzer)
又称为检测引擎(Detection Engine),分析由检测器收集的数据,并通过一定的分析手段分析确定当前系统是否发生了入侵活动。分析器组件的输出为标识入侵行为是否发生的指示信号,例如一个警告信号。该指示信号中还可能包括相关的证据信息。另外,分析器组件还能够提供关于可能的反应措施的相关信息。
- 用户接口(User Interface)
使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又称为“管理器”、“控制器”或者“控制台”等。
3、入侵检测系统组成
- 信息收集系统
入侵检测的第一步就是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。信息收集由放置在不同网段的传感器或不同主机的代理来进行,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,很有必要只利用所知道的真正的和精确的软件来报告这些信息。
- 信息分析系统
信息分析系统收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析,此外还有专家系统。当检测到某种滥用模式时,产生一个告警并发送给控制台。 此部分可以说是IDS的核心,信息分析的效果决定着IDS的效果。其中主要方法有:
- 响应
响应是一个入侵检测系统必须的一个部分,没有它入侵检测就失去了存在的价值。入侵检测的响应策略应该与当前目标组织内的总体安全策略协调一致。在目标组织的安全策略中,一般都会规定在检测到入侵攻击行为或者安全威胁事件时,应该采取哪些行动或者措施来做出恰当的响应。
4、入侵检测的分类
- 基于网络的入侵检测系统
基于网络的入侵检测系统(NIDS)通常放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。
- 基于主机的入侵检测系统
基于主机的入侵检测系统(HIDS)信息来源为操作系统事件日志、管理工具审计记录和应用程序审计记录。它通过监视系统运行情况(文件的打开和访问、文件权限的改变、用户的登录和特权服务的访问等)、审计系统日志文件(Syslog)和应用程序(关系数据库、Web服务器)日志来检测入侵来检测入侵。HIDS可以检测到用户滥用权限、创建后门帐户、修改重要数据和改变安全配置等行为,同时还可以定期对系统关键文件进行检查,计算其校验值来确信其完整性。
- 分布式入侵检测
分布式入侵检测系统一般指的是部署于大规模网络环境下的入侵检测系统,任务是用来监视整个网络环境中的安全状态,包括网络设施本身和其中包含的主机系统。
二、Snort
1、 Snort系统概述
Snort系统是一个以开放源代码(Open Source)形式发行的、基于libpcap的轻量级网络入侵检测系统。Snort运行在Libpcap库函数基础之上,并支持多种系统软硬件平台,它能够跨系统平台操作,自带轻量级的入侵检测工具可以用于监视小型的TCP/IP网络,在进行网络监视时snort能够把网络数据和规则进行模式匹配,从而检测出可能的入侵企图,同时它也可以使用SPADE插件,使用统计学方法对网络数据进行异常检测,这些强大的检测功能为网络管理员对于入侵行为做出适当的反击提供了足够的信息。
与许多昂贵而庞大的商用系统相比较,Snort系统具有系统尺寸小、易于安装、便于配置、功能强大、使用灵活等诸多有点。实质上,Snort不仅是一个网络入侵检测系统,它还可以作为网络数据包分析器(Sniffer)和记录器(Logger)来使用。它采用基于规则的工作方式,对数据包内容进行规则匹配来检测多种不同的入侵行为和探测活动,例如缓存溢出、隐蔽端口扫描、CGI攻击、SMB探测等等。Snort具备实时报警功能,可以发送警报消息到系统日志文件、SMB消息或者是制定的警报文件中。系统采用命令行开关选项和可选BPF命令的形式进行配置。系统检测引擎采用了一种简单规则语言进行编程,用于描述对每一个数据包所应进行的测试和对应的可能相应动作。
Snort使用一种易于扩展的模块化体系结构,开发人员可以加入自己