入侵检测系统--snort知识

最新推荐文章于 2025-05-14 16:45:08 发布

沈万三gz

最新推荐文章于 2025-05-14 16:45:08 发布

阅读量1.8k

点赞数

CC 4.0 BY-SA版权

分类专栏：计算机基础 suricata

本文链接：https://blog.youkuaiyun.com/shenwansangz/article/details/38068503

计算机基础同时被 2 个专栏收录

604 篇文章

订阅专栏

suricata

11 篇文章

订阅专栏

本文介绍了入侵检测系统的概念及工作原理，详细探讨了异常入侵检测与滥用入侵检测两种主要技术的区别与实现方法。此外，还对比分析了基于网络与基于主机的入侵检测系统的优缺点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. IPS简介

入侵指的是破坏目标系统资源的完整性、机密性或可用性的一系列活动。 I D S 所检测的入侵不包括物理入侵 , 而仅包括以电子方式从系统内部或者外部发起的 , 尝试或者实施对系统资源的非授权访问、操纵或破坏的行为。其工作原理基本基于一个假设 , 即入侵者的行为与正常用户的行为不同 , 而且这种不同会通过某种可观察的方式表现出来 , 这种不同寻常的表现 , 就形成了“ 入侵迹象 ” , “ 入侵迹象” 被以攻击规则的形式存储在规则库中。 I DS 自动收集并分析审计数据 , 一旦发现入侵迹象 , 则采取适当措施( 如报警、断开相应连接等) , 保护系统不被攻击。

2.入侵检测技术主要分为异常入侵检测和滥用入侵检测两类。
　　异常入侵检测( Ano ma l y I ntr us io n De te c tio n) 是假定所有入侵行为都是与正常行为不同的。如果建立目标系统( 受监控系统) 及其用户的正常活动轮廓 , 那么理论上可以把所有与正常活动轮廓不同的系统状态视为可疑企图。对异常阀值与特征的选择是异常入侵检测技术的关键。异常入侵检测主要有概率统计方法、预测模式生成和神经网
络方法等。
　　滥用入侵检测( Misus e I ntr us io n De te ct io n) 是将符合已知入侵特征的行为视为入侵 , 它事先对已知的攻击方法进行分析 , 提取其特征 , 并将它们编码为程序可以理解的形式 , 存放在参照信息数据库中 , 以便分析器据此对实际的审计数据进行比较分析 , 一旦发现真实的信息与信息数据库中的特征相匹配 , 则报警。

3. 根据入侵者在进行入侵时所执行程序的某些行为为特征 , 建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征 , 来判断用户执行的操作是否是属于入侵行为。然而要建立一个这样的特征信息( 又称攻击签名) 库的前提是必须建立一个有效、可扩展的特征描述方法 , 能够描述所有的入侵事件。

4.网络协议变量就是把网络协议中的各个数据域分解为一个个标准变量。Sno r t 规则中定义的网络协议变量较少 , 仅是攻击特征中常用的网络协议数据域。

5.传统的划分方法是根据信息的来源将入侵检测系统分为基于网络的入侵检测系统(Newto改IntursionDeteetionSystem，NDS)和基于主机的入侵检测系统(Host nItursionDeteetionSystem、HIDS)两大类。

6.基于网络的入侵检测能够实时监控网络中的数据流量，发现潜在的攻击行为，并做出迅速响应。另外，它的分析对象是网络协议，通常而言是标准化的，独立于主机的操作系统类型，因此NDIS一般没有移植性的问题。同时它的运行丝毫不影响主机或服务器的自身运行，因为基于网络的入侵检测系统经常采取独立主机和被动监听的工作模式。

7.基于主机的入侵检测系统的信息来源为操作系统事件日志、管理工具审计记录和应用程序审计一记录。它通过监视系统运行情况(文件的打开和访问、文件权限的改变、用户的登录和特权服务的访问等)、审计系统日志文件(Sysofg)和应用程序(关系数据库、Web服务器)日志来检测入侵来检测入侵。HDIS可以检测到用户滥用权限、创建后门帐户、修改重要数据和改变安全配置等行为，同时还可以定期对系统关键文件进行检查，计算其校验值来确信其完整性。HDS检测发生在主机上的活动，处理的都是操作系统事件或应用程序事件而不是网络包，所以高速网络对它没有影响。同时它使用的是操作系统提供的信息，经过加密的数据包在到达操作系统后，都已经被解密，所以HDIS能很好地处理包加密的问题。并且，HDS还可以综合多个数据源进行进一步的分析，利用数据挖掘技术来发现入侵。但是，HDIS也有依赖特定的操作系统、影响系统性能、配置和维护困难等缺陷。

8.公共许可证GPL(The GUN Genearl Public License).

9.libcap程序从链路层捕获数据包，但是在上面各层都有解码程序。

10.Snort规则树有5个单独的规则链，这些链作为“树”顶部的链表头。
1.Activatino报警并且开启另外一个动态规则。
2.D扭maci当被上层的激活规则调用时一记录网络流量的日志。
3.Alert产生报警并记录这个数据包。
4.Pass忽略这个数据包。
5.Lgo记录网络的流量(不报警)。

11.Boye-rMoore(BM)算法，匹配过程中，模式从左向右移动，但字符的比较却从右向左进行，即按patetm【m一1]，pattenrlm一2]，·“pattem[0]的次序进行比较，在发现不匹配时，算法根据预先计算好的两个数组将模式向右移动尽可能远的距离·

12.从AC一Coasrcik算法的基本思想是:在预处理阶段，有限自动机算法建立三个函数，转向函数got。，失效函数afiluer和输出函数uoPtut，由此构造一个树型有限自动机。这样模式匹配的处理过程就变成了状态转换的处理过程，由“start”状态开始。在搜索查找阶段，通过这三个函数的交叉使用扫描文本，定位出关键字在文本中的所有出现位置。在算法中，有限自动机可用一个二维表描述，其中表的每一行代表自动机的一个状态，列坐标为256个ASCll码字符。

13.