基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上对通 信数据的侦听采集数据，使用原始网络包作为数 据源，分析可疑现象，是根据被监控网络中的数 据包内容检测入侵。其优点在于它可以防止数据 包序列和数据包内容的攻击，不会改变服务器等 主机的配置，也不会影响系统的功能；即使入侵 检测系统发生故障，也不会影响到整个网络的运 行。
Snort规则动作
规则的第一项是"规则动作"（rule action），"规则动作"告诉snort在发现 匹配规则的包时要干什么。在snort中有五种动作：alert、log、pass、 activate和dynamic。 （1）Alert-使用选择的报警方法生成一个警报，然后记录（log）这个包 。 （2）Log-记录这个包。 （3）Pass-丢弃（忽略）这个包。 （4）activate-报警并且激活另一条dynamic规则。 （5）dynamic-保持空闲直到被一条activate规则激活，被激活后就作为 一条log规则执行。 你可以定义你自己的规则类型并且附加一条或者更多的输出模块给它，然后 你就可以使用这些规则类型作为snort规则的一个动作。
规则头部
规则选项
Snort规则头部
规则头包含报文关键的地址信息、协议信息以及当报文符 合此规则时各元素应该采取的行为。
操作
协议类型
目标地址
目标端口
方向
源地址
源端口
例： alert tcp any any -> any 3306 (msg:"MySQL Server Geometry Query Integer溢出攻击";) 规则头：alert tcp any any -> any 3306 含义：匹配任意源IP和端口到任意目的IP和端口为3306的TCP数据包发送 告警消息。 规则选项：msg:"MySQL Server Geometry Query Integer溢出攻击"; 含义：在报警和包日志中打印的消息内容。
丢弃
并行深层检查ASIC
否
流 入 的 数 据 流
过滤器1 分 类
命中 =？
过滤器2
过滤器n
命中 =？
命中 =？
是 否 通 过
是
流 出 的 数 据 流
部署方式
内部网络
在线部署方式（IPS）： 对流经的数据流进行 2-7层深度分析，实时 防御外部和内部攻击。
因特网
SecPath IPS
路由器
交换机
10.2 入侵检测/防御系统分类
入侵检测系统
入侵防御系统
基于主机的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上 ，通过提取被保护系统的运行数据并进行入侵分析实现入 侵检测的功能。目前基于主机的入侵检测系统很多是基于 主机日志分析，基于主机日志的安全审计，通过分析主机 日志来发现入侵行为。它的主要目的是在事件发生后提供 足够的分析来阻止进一步的攻击。
基于主机的入侵防御系统（HIPS）
基于主机的入侵防御系统：操作系统内核控制着 对如内存、I/O设备和CPU这些系统资源的访问， 一般禁止用户直接访问。
磁盘读写操作
应 用 程 序
网络连接请求
内存读写操作
注册入口操作
操 作 系 统 内 核
CPU 内存 IO
H I P S
基于网络的入侵防御系统（NIPS）
Snort规则解析流程
Snort首先读取规则文件，依次读取每一条规则，按照规则语法对其进行解 析，建立规则语法树。Snort程序调用规则文件读取函数ParseRulesFile() 进行规则文件的检查、规则读取和多行规则的整理。ParseRulesFile()只是 Snort进入规则解析的接口函数，规则解析主要由ParseRule()来完成。
基于网络的入侵防御系统，它通常是作为一个独立的个体 放置在被保护的网络上，它使用原始的网络分组数据报作 为进行攻击分析的数据源，一般利用一个网络适配器来实 时监视和分析所有通过网络传输的数据。
规则库
网络链路
接收网络数据包
分析数据包
入侵检测
转发
否
是否有攻击
丢弃
是
NIPS的实现
NIPS实现实时检查和阻止入侵的原理在于NIPS拥有数目 众多的过滤器，能够防止各种攻击。
Snort结构如图所示，该系统由五个基本模块组成:数据包 捕获器、包解码器、预处理器、检测引擎和报警日志模块( 需要说明的，本文把snort系统作为网络入侵检测系统进行 分析，所有流程都是以snort系统的入侵检测状态为前提)
Snort系统工作流程
初始化
首先执行主函数，其中包括 对命令行参数的解析及各种标 识符的设置。主函数还调用相 关例程对预处理器模块、输出 模块和规则选项关键字模块进 行初始化工作，其实质是构建 各种处理模块或初始化模块的 链表结构。而后调用规则解析 工作，其实质是构建各种处理 模块或初始化模块的链表结构。 而后调用规则解析模块，实质 是构建规则链表。接着启动数 据包的截获和处理。
旁路部署方式（IDS）： 对网络流量进行监测 与分析，记录攻击事 件并告警。
镜像 内部网络
Internet 路由器 交换机
10.3入侵检测系统Snort工具介绍
Snort基本架构 Snort规则结构 Snort规则解析流程 规则匹配流程 Snort的安装预配置
Snort基本架构
解析命令行
生成规则链表
规则库
打开libcap接口
获取数据包
解析数据包
与库中某节是否匹 配
是
响应
Snort规则结构
Snort是基于模式匹配的网络入侵检测系统，简单的说可以分成两个模块， 一是基于libpcap的嗅探器，二是规则拆分引擎和规则匹配。
Snort规则可以划分为两个逻辑部分： （1）、规则头（Rule Header） （2）、规则选项（Rule Options）
第十章
入侵检测技术与实践Fra bibliotek主要内容
入侵检测技术原理 入侵检测/防御系统分类 入侵检测系统Snort工具介绍 Snort配置实践
10.1 入侵检测技术原理
入侵检测是指通过计算机系统或网络中的若干关键点收集 并分析信息,从中发现系统或网络中是否有遭到攻击的迹象 并做出响应。和防火墙比较，入侵检测是一种从更深层次 上进行主动网络安全防御的措施,它可以通过监测网络实现 对内部攻击、外部入侵和误操作的实时保护,同时还能结合 其它网络安全产品, 对网络安全进行全方位的保护,具有主 动性和实时性的特点。