第八章入侵檢測(cè)系統(tǒng)

1、第八章 入侵檢測(cè)系統(tǒng)2022-3-72內(nèi)容提要內(nèi)容提要 入侵檢測(cè)技術(shù)用來發(fā)現(xiàn)攻擊行為，進(jìn)而采取正確的響應(yīng)措施，是安全防御的重要環(huán)節(jié)。通過本章學(xué)習(xí)使學(xué)生能夠掌握入侵檢測(cè)系統(tǒng)的基本原理，在了解Snort工作原理的基礎(chǔ)上，掌握其安裝和使用方法，了解入侵防御技術(shù)的特點(diǎn)及其和入侵檢測(cè)的區(qū)別。2022-3-73第八章第八章 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng) 8.1 入侵檢測(cè)系統(tǒng)概述8.2 入侵檢測(cè)系統(tǒng)的組成8.3 入侵檢測(cè)的相關(guān)技術(shù)8.4 入侵檢測(cè)系統(tǒng)Snort8.5 入侵防御系統(tǒng)8.6 實(shí)驗(yàn)：基于snort的入侵檢測(cè)系統(tǒng)安裝和使用8.7 小結(jié) 習(xí)題2022-3-748.1 8.1 入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概

2、述 入侵檢測(cè)系統(tǒng)全稱為入侵檢測(cè)系統(tǒng)全稱為Intrusion Detection SystemIntrusion Detection System（IDSIDS），國際計(jì)算機(jī)安全協(xié)會(huì)（），國際計(jì)算機(jī)安全協(xié)會(huì)（International International Computer Security AssociationComputer Security Association，ICSAICSA）入侵檢測(cè)系統(tǒng)）入侵檢測(cè)系統(tǒng)論壇將其論壇將其定義為：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若定義為：通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否干關(guān)鍵點(diǎn)收集信息進(jìn)行分析，

3、從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。有違反安全策略的行為和遭到攻擊的跡象。 相對(duì)于防火墻來說，入侵檢測(cè)通常被認(rèn)為是一種相對(duì)于防火墻來說，入侵檢測(cè)通常被認(rèn)為是一種動(dòng)態(tài)動(dòng)態(tài)的防護(hù)手段的防護(hù)手段。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要較復(fù)雜的技術(shù)，它將得到的數(shù)據(jù)進(jìn)行分析，并得出有用要較復(fù)雜的技術(shù)，它將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大地的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大地簡化簡化管理員的管理員的工作，使管理員能夠更容易地工作，使管理員能夠更容易地監(jiān)視監(jiān)視、審計(jì)審計(jì)網(wǎng)絡(luò)和計(jì)算機(jī)系網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)，統(tǒng)，

4、擴(kuò)展擴(kuò)展了管理員的安全管理能力，了管理員的安全管理能力，保證保證網(wǎng)絡(luò)和計(jì)算機(jī)系網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的安全運(yùn)行。統(tǒng)的安全運(yùn)行。2022-3-758.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)） 防火墻防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但方法，能阻擋外部入侵者，但對(duì)內(nèi)部攻擊無能為力對(duì)內(nèi)部攻擊無能為力；同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火同時(shí)，防火墻絕對(duì)不是堅(jiān)不可摧的，即使是某些防火墻本身也會(huì)引起一些安全問題。防火墻不能墻本身也會(huì)引起一些安全問題。防火墻不能防止通向防止通向站點(diǎn)的后門，不提供對(duì)內(nèi)部的保護(hù)，無法防范數(shù)

5、據(jù)驅(qū)站點(diǎn)的后門，不提供對(duì)內(nèi)部的保護(hù)，無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊，不能防止用戶由動(dòng)型的攻擊，不能防止用戶由InternetInternet上下載被病毒上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。 入侵檢測(cè)是防火墻的入侵檢測(cè)是防火墻的合理補(bǔ)充合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力( (包括安全包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)) )，提高了信息安全基礎(chǔ)，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。結(jié)構(gòu)的完整性。 2022-3-768.1 入侵檢

6、測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）相關(guān)術(shù)語相關(guān)術(shù)語攻擊攻擊攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，攻擊者利用工具，出于某種動(dòng)機(jī)，對(duì)目標(biāo)系統(tǒng)采取的行動(dòng)，其后果是獲取其后果是獲取/ /破壞破壞/ /篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限篡改目標(biāo)系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件事件在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果在攻擊過程中發(fā)生的可以識(shí)別的行動(dòng)或行動(dòng)造成的后果。在在入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信入侵檢測(cè)系統(tǒng)中，事件常常具有一系列屬性和詳細(xì)的描述信息可供用戶查看。息可供用戶查看。也可以也可以將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)將入侵檢測(cè)系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件（稱為事

7、件（eventevent）2022-3-77入侵入侵 對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作中進(jìn)行操作入侵檢測(cè)入侵檢測(cè)對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程別的過程入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（IDSIDS）用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化自動(dòng)化工具工具8.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）2022-3-78 入侵檢測(cè)（入侵檢測(cè)（Intrusion DetectionIntrusion

8、 Detection）技術(shù)是一種動(dòng)態(tài)）技術(shù)是一種動(dòng)態(tài)的網(wǎng)絡(luò)檢測(cè)技術(shù)，的網(wǎng)絡(luò)檢測(cè)技術(shù)，主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的主要用于識(shí)別對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做戶的未經(jīng)授權(quán)活動(dòng)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)入侵現(xiàn)象，則應(yīng)當(dāng)做出適當(dāng)?shù)姆磻?yīng)出適當(dāng)?shù)姆磻?yīng)：對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)：對(duì)于正在進(jìn)行的網(wǎng)絡(luò)攻擊，則采取適當(dāng)?shù)姆椒▉碜钄喙簦ㄅc防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失；的方法來阻斷攻擊（與防火墻聯(lián)動(dòng)），以減少系統(tǒng)損失；對(duì)于已經(jīng)發(fā)生的網(wǎng)絡(luò)攻擊，則應(yīng)通過分析日志記錄找到對(duì)于已經(jīng)發(fā)生的網(wǎng)

9、絡(luò)攻擊，則應(yīng)通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安發(fā)生攻擊的原因和入侵者的蹤跡，作為增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系全性和追究入侵者法律責(zé)任的依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。 8.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）2022-3-798.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)） 入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)（IDSIDS）由）

10、由入侵檢測(cè)的軟件與硬件組合入侵檢測(cè)的軟件與硬件組合而而成，被認(rèn)為是防火墻之后的第二道安全閘門，在成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)： 1 1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。 2 2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。 3 3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。 4 4）

11、異常行為模式的統(tǒng)計(jì)分析。）異常行為模式的統(tǒng)計(jì)分析。 5 5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6 6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。略的行為。 2022-3-710入侵檢測(cè)系統(tǒng)的作用入侵檢測(cè)系統(tǒng)的作用監(jiān)控網(wǎng)絡(luò)和系統(tǒng)監(jiān)控網(wǎng)絡(luò)和系統(tǒng)發(fā)現(xiàn)入侵企圖或異常現(xiàn)象發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象實(shí)時(shí)報(bào)警實(shí)時(shí)報(bào)警主動(dòng)響應(yīng)主動(dòng)響應(yīng)審計(jì)跟蹤審計(jì)跟蹤 形象地說，它就是網(wǎng)絡(luò)攝形象地說，它就是網(wǎng)絡(luò)攝像像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝的所有數(shù)據(jù)，同時(shí)它也是智能攝像像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)

12、據(jù)并機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X X光攝光攝像像機(jī)，能夠機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像像機(jī)，還包括保安員的攝機(jī)，還包括保安員的攝像像機(jī)機(jī)。2022-3-7118.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）2022-3-7128.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)的發(fā)展歷程入侵檢測(cè)的發(fā)展歷程 19801980年年，概念的誕生，概念的誕生1984198419861986年，模型的發(fā)展年，模型的發(fā)展 1990

13、1990年，形成網(wǎng)絡(luò)年，形成網(wǎng)絡(luò)IDSIDS和主機(jī)和主機(jī)IDSIDS兩大陣營兩大陣營九十年代后至今，百家爭鳴、繁榮昌盛九十年代后至今，百家爭鳴、繁榮昌盛2022-3-713入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實(shí)入侵檢測(cè)系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實(shí)現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類現(xiàn)方式，一般地可分為網(wǎng)絡(luò)型、主機(jī)型，也可是這兩種類型的混合應(yīng)用。型的混合應(yīng)用?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDSNIDS）基于主機(jī)的入侵檢測(cè)系統(tǒng)（基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDSHIDS）混合型入侵檢測(cè)系統(tǒng)（混合型入侵檢測(cè)系統(tǒng)

14、（Hybrid IDSHybrid IDS）2022-3-714入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 1 1、網(wǎng)絡(luò)、網(wǎng)絡(luò)IDSIDS： 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備是網(wǎng)絡(luò)上的一個(gè)監(jiān)聽設(shè)備( (或一個(gè)專用主機(jī)或一個(gè)專用主機(jī)) )，通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告通過監(jiān)聽網(wǎng)絡(luò)上的所有報(bào)文，根據(jù)協(xié)議進(jìn)行分析，并報(bào)告網(wǎng)絡(luò)中的非法使用者信息。網(wǎng)絡(luò)中的非法使用者信息。 安裝在被保護(hù)的網(wǎng)段（共享網(wǎng)絡(luò)、交換環(huán)境中交換機(jī)要安裝在被保護(hù)的網(wǎng)段（共享網(wǎng)絡(luò)、交換環(huán)境中交換機(jī)要 支持端口映射）中支持端口映射）中混雜模式監(jiān)聽混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測(cè)和

15、響應(yīng)實(shí)時(shí)檢測(cè)和響應(yīng)2022-3-7158.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）圖圖8-1 8-1 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS工作模型工作模型 NY2022-3-7168.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)網(wǎng)絡(luò)IDS優(yōu)勢(shì)優(yōu)勢(shì)(1) (1) 實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)分析網(wǎng)絡(luò)數(shù)據(jù)，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為；，檢測(cè)網(wǎng)絡(luò)系統(tǒng)的非法行為；(2) (2) 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS系統(tǒng)系統(tǒng)單獨(dú)架設(shè)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；源；(3) (3) 網(wǎng)絡(luò)網(wǎng)絡(luò)IDSIDS系統(tǒng)是一個(gè)系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透，可以做

16、到對(duì)黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4) (4) 它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到做到實(shí)時(shí)保護(hù)實(shí)時(shí)保護(hù)，事后取證分析事后取證分析；(5) (5) 通過通過與防火墻的聯(lián)動(dòng)與防火墻的聯(lián)動(dòng)，不但可以對(duì)攻擊預(yù)警，還可以更，不但可以對(duì)攻擊預(yù)警，還可以更有效地阻止非法入侵和破壞。有效地阻止非法入侵和破壞。(6)(6)不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)擔(dān)。2022-3-7178.1 8.1 入侵檢測(cè)系統(tǒng)概述（續(xù)）入侵檢測(cè)系統(tǒng)概述（續(xù)）網(wǎng)絡(luò)網(wǎng)絡(luò)IDS的劣勢(shì)的劣勢(shì)(1) (1) 交換環(huán)境和高速環(huán)境需附加條

17、件交換環(huán)境和高速環(huán)境需附加條件(2) (2) 不能處理加密數(shù)據(jù)不能處理加密數(shù)據(jù)(3) (3) 資源及處理能力局限資源及處理能力局限(4) (4) 系統(tǒng)相關(guān)的脆弱性系統(tǒng)相關(guān)的脆弱性2022-3-718 入侵檢測(cè)的實(shí)現(xiàn)方式入侵檢測(cè)的實(shí)現(xiàn)方式 2 2、主機(jī)、主機(jī)IDSIDS 運(yùn)行于被檢測(cè)的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)運(yùn)行于被檢測(cè)的主機(jī)之上，通過查詢、監(jiān)聽當(dāng)前系統(tǒng)的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和的各種資源的使用運(yùn)行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進(jìn)行上報(bào)和處理。修改的事件，進(jìn)行上報(bào)和處理。 安裝于被保護(hù)的主機(jī)中安裝于被保護(hù)的主機(jī)中 主要主要分析主機(jī)內(nèi)部活動(dòng)分析主機(jī)內(nèi)部活

18、動(dòng) 占用一定的系統(tǒng)資源占用一定的系統(tǒng)資源2022-3-719主機(jī)主機(jī)IDS優(yōu)勢(shì)優(yōu)勢(shì)(1) (1) 精確地判斷攻擊行為是否成功。精確地判斷攻擊行為是否成功。(2) (2) 監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況(3) HIDS(3) HIDS能夠檢測(cè)到能夠檢測(cè)到NIDSNIDS無法檢測(cè)的攻擊無法檢測(cè)的攻擊(4) (4) HIDSHIDS適用加密的和交換的環(huán)境適用加密的和交換的環(huán)境(5) (5) 不需要額外的硬件設(shè)備不需要額外的硬件設(shè)備2022-3-720主機(jī)主機(jī)IDS的劣勢(shì)的劣勢(shì)(1) HIDS(1) HIDS對(duì)被保護(hù)主機(jī)的影響對(duì)被保護(hù)主機(jī)的影響(2) HIDS

19、(2) HIDS的安全性受到宿主操作系統(tǒng)的限制的安全性受到宿主操作系統(tǒng)的限制(3) HIDS(3) HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制(4) (4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDSHIDS(5) (5) 維護(hù)維護(hù)/ /升級(jí)不方便升級(jí)不方便2022-3-7213 3、兩種實(shí)現(xiàn)方式的比較、兩種實(shí)現(xiàn)方式的比較： 1)1)如果攻擊不經(jīng)過網(wǎng)絡(luò)如果攻擊不經(jīng)過網(wǎng)絡(luò), ,基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS無法檢測(cè)到只無法檢測(cè)到只能通過使用基于主機(jī)的能通過使用基于主機(jī)的IDSIDS來檢測(cè)；來檢測(cè)； 2 2) )基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS通過檢查所有的包頭來

20、進(jìn)行檢測(cè)通過檢查所有的包頭來進(jìn)行檢測(cè)，而，而基于主機(jī)的基于主機(jī)的IDSIDS并不查看包頭。并不查看包頭。主機(jī)主機(jī)IDSIDS往往不能識(shí)別基于往往不能識(shí)別基于IPIP的拒絕服務(wù)攻擊和碎片攻擊的拒絕服務(wù)攻擊和碎片攻擊； 3)3)基于網(wǎng)絡(luò)的基于網(wǎng)絡(luò)的IDSIDS可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實(shí)時(shí)檢查包序列擊中使用的命令或語法，這類攻擊可以被實(shí)時(shí)檢查包序列的的IDSIDS迅速識(shí)別；而基于主機(jī)的系統(tǒng)無法看到負(fù)載，因此也迅速識(shí)別；而基于主機(jī)的系統(tǒng)無法看到負(fù)載，因此也無法識(shí)別嵌入式的數(shù)據(jù)包攻擊。無法識(shí)別嵌入式的數(shù)據(jù)包攻擊。2022-3-7

21、224 4、混合型入侵檢測(cè)系統(tǒng)（、混合型入侵檢測(cè)系統(tǒng)（Hybrid IDSHybrid IDS） 在新一代的入侵檢測(cè)系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基在新一代的入侵檢測(cè)系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來，提供集成化的攻于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來，提供集成化的攻擊簽名檢測(cè)報(bào)告和事件關(guān)聯(lián)功能。擊簽名檢測(cè)報(bào)告和事件關(guān)聯(lián)功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標(biāo)可以深入地研究入侵事件入侵手段本身及被入侵目標(biāo)的漏洞等的漏洞等。2022-3-723入侵檢測(cè)系統(tǒng)的功能（小結(jié)）入侵檢測(cè)系統(tǒng)的功能（小結(jié)）n1、監(jiān)視并分析用戶和系統(tǒng)的活動(dòng)，查找非法用戶和合法用戶的越權(quán)操作

22、；n2、檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞；n3、對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；n4、檢查系統(tǒng)程序和數(shù)據(jù)一致性與正確性，如計(jì)算和比較文件系統(tǒng)的校驗(yàn)；n5、能夠?qū)崟r(shí)對(duì)檢測(cè)到的入侵行為作出反應(yīng)；n6、操作系統(tǒng)的審計(jì)跟蹤管理。2022-3-7248.2 入侵檢測(cè)系統(tǒng)的組成 根據(jù)不同的網(wǎng)絡(luò)環(huán)境和系統(tǒng)的應(yīng)用，入侵檢測(cè)系統(tǒng)在根據(jù)不同的網(wǎng)絡(luò)環(huán)境和系統(tǒng)的應(yīng)用，入侵檢測(cè)系統(tǒng)在具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，具體實(shí)現(xiàn)上也有所不同。從系統(tǒng)構(gòu)成上看，入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)至少包括數(shù)據(jù)提取、人侵分析、響應(yīng)處理三個(gè)部分至少包括數(shù)據(jù)提取、人侵分析、響應(yīng)處理三個(gè)部分，另外，另外

23、還可能還可能結(jié)合安全知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊結(jié)合安全知識(shí)庫、數(shù)據(jù)存儲(chǔ)等功能模塊，提供更為，提供更為完善的安全檢測(cè)及數(shù)據(jù)分析功能。如完善的安全檢測(cè)及數(shù)據(jù)分析功能。如19871987年年DenningDenning提出提出的通用入侵檢測(cè)模型主要由六部分構(gòu)成，的通用入侵檢測(cè)模型主要由六部分構(gòu)成，IDESIDES與它的后繼與它的后繼版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型；另外，在總結(jié)現(xiàn)有的模型；另外，在總結(jié)現(xiàn)有的入侵檢測(cè)系統(tǒng)的基礎(chǔ)上提出了一個(gè)入侵檢測(cè)系統(tǒng)的通用的入侵檢測(cè)系統(tǒng)的基礎(chǔ)上提出了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型如圖模型如圖8-28-2所示。所示。 202

24、2-3-7258.2 入侵檢測(cè)系統(tǒng)的組成 通用入侵檢測(cè)框架通用入侵檢測(cè)框架 (Common Intrusion Detection (Common Intrusion Detection FrameworkFramework，CIDF)CIDF)把一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件把一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件: :圖圖8-2 CIDF8-2 CIDF的入侵檢測(cè)通用模型的入侵檢測(cè)通用模型2022-3-7268.2 入侵檢測(cè)系統(tǒng)的組成 CIDFCIDF把一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件把一個(gè)入侵檢測(cè)系統(tǒng)分為以下組件: :事件產(chǎn)生器：事件產(chǎn)生器：負(fù)責(zé)原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉(zhuǎn)負(fù)責(zé)原始數(shù)據(jù)采集，并將

25、收集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器換為事件，向系統(tǒng)的其他部分提供此事件，又稱傳感器(sensor)(sensor)。事件分析器：事件分析器：接收事件信息，對(duì)其進(jìn)行分析，判斷是否為入接收事件信息，對(duì)其進(jìn)行分析，判斷是否為入侵行為或異常現(xiàn)象，最后將判斷結(jié)果變?yōu)榫嫘畔?。侵行為或異常現(xiàn)象，最后將判斷結(jié)果變?yōu)榫嫘畔ⅰＪ录?shù)據(jù)庫：事件數(shù)據(jù)庫：存放各種中間和最終入侵信息的地方，并從事存放各種中間和最終入侵信息的地方，并從事件產(chǎn)生器和事件分析器接收需要保存的事件，一般會(huì)將數(shù)件產(chǎn)生器和事件分析器接收需要保存的事件，一般會(huì)將數(shù)據(jù)長時(shí)間保存。據(jù)長時(shí)間保存。事件響應(yīng)器：事件響應(yīng)器：

26、是根據(jù)入侵檢測(cè)的結(jié)果，對(duì)入侵的行為作出適是根據(jù)入侵檢測(cè)的結(jié)果，對(duì)入侵的行為作出適當(dāng)?shù)姆从常蛇x的響應(yīng)措施包括主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。當(dāng)?shù)姆从常蛇x的響應(yīng)措施包括主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。2022-3-7278.2 入侵檢測(cè)系統(tǒng)的組成IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 無論無論IDSIDS系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可系統(tǒng)是網(wǎng)絡(luò)型的還是主機(jī)型的，從功能上看，都可分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和分為兩大部分：探測(cè)引擎和控制中心。前者用于讀取原始數(shù)據(jù)和產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。產(chǎn)生事件；后者用于顯示和分析事件以及策略定制等工作。 2022-3-72

27、88.2 入侵檢測(cè)系統(tǒng)的組成（續(xù)）IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖8-3 8-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能為：原始數(shù)據(jù)讀取、為：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、策略匹配、事件處理、通信等功能通信等功能 2022-3-7298.2 入侵檢測(cè)系統(tǒng)的組成（續(xù)）IDSIDS的基本結(jié)構(gòu)的基本結(jié)構(gòu) 圖圖8-4 8-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能為：通信、事件讀取、事件顯示、策控制中心的主要功能為：通信、事件讀取、事件顯示、策略定制、日志分析、系統(tǒng)幫助等。略定制、日志分析、系統(tǒng)幫助等。通信事件讀取

28、事件顯示策略定制日志分析系統(tǒng)幫助事件/策略數(shù)據(jù)庫2022-3-7308.38.3入侵檢測(cè)的相關(guān)技術(shù)入侵檢測(cè)的相關(guān)技術(shù)IDSIDS采用的技術(shù)采用的技術(shù) 入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析入侵檢測(cè)主要通過專家系統(tǒng)、模式匹配、協(xié)議分析或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測(cè)技術(shù)有：或狀態(tài)轉(zhuǎn)換等方法來確定入侵行為。入侵檢測(cè)技術(shù)有：靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù)異常檢測(cè)技術(shù)異常檢測(cè)技術(shù)誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù) 1 1靜態(tài)配置分析技術(shù)靜態(tài)配置分析技術(shù) 靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者如系統(tǒng)文

29、件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞?？赡軙?huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征( (系統(tǒng)配系統(tǒng)配置信息置信息) )，而不是系統(tǒng)中的活動(dòng)，而不是系統(tǒng)中的活動(dòng)。 2022-3-7318.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）IDSIDS采用的技術(shù)采用的技術(shù) 2 2、異常檢測(cè)技術(shù)、異常檢測(cè)技術(shù) 通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析通過對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體建立起系統(tǒng)主體( (單個(gè)用戶、單個(gè)用戶、一組用戶、主機(jī)，甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等一組用戶、主機(jī)，甚至是系統(tǒng)中的某個(gè)關(guān)鍵的程序和文件等) )的的正常行為特征輪廓正常行為特征輪

30、廓；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建；檢測(cè)時(shí)，如果系統(tǒng)中的審計(jì)數(shù)據(jù)與已建立的主體的正常行為特征有立的主體的正常行為特征有較大出入較大出入就認(rèn)為是一個(gè)入侵行為。就認(rèn)為是一個(gè)入侵行為。這一檢測(cè)方法稱這一檢測(cè)方法稱“異常檢測(cè)技術(shù)異常檢測(cè)技術(shù)”。 一般采用統(tǒng)計(jì)或基于規(guī)則描述的方法一般采用統(tǒng)計(jì)或基于規(guī)則描述的方法建立系統(tǒng)主體的行為建立系統(tǒng)主體的行為特征輪廓，即統(tǒng)計(jì)性特征輪廓和基于規(guī)則描述的特征輪廓特征輪廓，即統(tǒng)計(jì)性特征輪廓和基于規(guī)則描述的特征輪廓。2022-3-7328.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）IDSIDS采用的技術(shù)采用的技術(shù) 3 3誤用檢測(cè)技術(shù)誤用檢測(cè)技術(shù) 誤用檢測(cè)技

31、術(shù)誤用檢測(cè)技術(shù)(Misuse Detection)(Misuse Detection)通過檢測(cè)用戶行為中通過檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測(cè)系統(tǒng)中的中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種入侵活動(dòng)，是一種基于已有知識(shí)的檢測(cè)基于已有知識(shí)的檢測(cè)。 這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵這種入侵檢測(cè)技術(shù)的主要局限在于它只是根據(jù)已知的入侵序列和系統(tǒng)缺陷的模式來檢測(cè)系統(tǒng)中的可疑行為，序列和系統(tǒng)缺陷的模式來檢測(cè)系統(tǒng)中的可疑行為，而

32、不能處理而不能處理對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)對(duì)新的入侵攻擊行為以及未知的、潛在的系統(tǒng)缺陷的檢測(cè)。2022-3-7338.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)入侵檢測(cè)分析分析技術(shù)的比較技術(shù)的比較 1 1模式匹配的缺陷模式匹配的缺陷 1 1）計(jì)算負(fù)荷大）計(jì)算負(fù)荷大 2 2）檢測(cè)準(zhǔn)確率低）檢測(cè)準(zhǔn)確率低 2 2協(xié)議分析新技術(shù)的優(yōu)勢(shì)協(xié)議分析新技術(shù)的優(yōu)勢(shì) 1 1）提高了性能）提高了性能 2 2）提高了準(zhǔn)確性）提高了準(zhǔn)確性 3 3）反規(guī)避能力）反規(guī)避能力 4 4）系統(tǒng)資源開銷?。┫到y(tǒng)資源開銷小 2022-3-7348.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢

33、測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)系統(tǒng)的性能指標(biāo)1 1、入侵檢測(cè)系統(tǒng)的主要相關(guān)術(shù)語：、入侵檢測(cè)系統(tǒng)的主要相關(guān)術(shù)語： 警告警告(Alert/Alarm)(Alert/Alarm)：用來表示一個(gè)系統(tǒng)被攻擊者攻擊，用來表示一個(gè)系統(tǒng)被攻擊者攻擊，一般包含從攻擊內(nèi)容中得到的攻擊信息，或者異常事件和統(tǒng)一般包含從攻擊內(nèi)容中得到的攻擊信息，或者異常事件和統(tǒng)計(jì)信息。計(jì)信息。 誤警誤警(False Positive)(False Positive)：也成誤報(bào)，指入侵檢測(cè)系統(tǒng)對(duì)也成誤報(bào)，指入侵檢測(cè)系統(tǒng)對(duì)那些良性事件的報(bào)警，這表明那些良性事件的報(bào)警，這表明IDSIDS的錯(cuò)誤報(bào)警，太多的誤警的錯(cuò)誤報(bào)警，太多的誤警可能導(dǎo)致正常的

34、報(bào)警事件被淹沒。可能導(dǎo)致正常的報(bào)警事件被淹沒。 漏警漏警(False Negative)(False Negative)：也稱漏報(bào)，當(dāng)一個(gè)攻擊事件已也稱漏報(bào)，當(dāng)一個(gè)攻擊事件已經(jīng)發(fā)生，而入侵檢測(cè)系統(tǒng)卻沒有有效地檢測(cè)出來，如果漏警經(jīng)發(fā)生，而入侵檢測(cè)系統(tǒng)卻沒有有效地檢測(cè)出來，如果漏警太多，或者關(guān)鍵入侵事件的漏報(bào)就使入侵檢測(cè)系統(tǒng)失去了其太多，或者關(guān)鍵入侵事件的漏報(bào)就使入侵檢測(cè)系統(tǒng)失去了其存在意義；存在意義；2022-3-7358.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）噪聲噪聲(Noise)(Noise)：指入侵檢測(cè)系統(tǒng)生成但又沒有真正威脅的報(bào)指入侵檢測(cè)系統(tǒng)生成但又沒有真正威脅的報(bào)警，

35、這些報(bào)警是正確的，并且也是可疑的，如配置于防火警，這些報(bào)警是正確的，并且也是可疑的，如配置于防火墻之外的入侵檢測(cè)系統(tǒng)檢測(cè)到的掃描事件，可能被防火墻墻之外的入侵檢測(cè)系統(tǒng)檢測(cè)到的掃描事件，可能被防火墻過濾而沒有產(chǎn)生掃描攻擊，但是入侵檢測(cè)系統(tǒng)卻檢測(cè)到并過濾而沒有產(chǎn)生掃描攻擊，但是入侵檢測(cè)系統(tǒng)卻檢測(cè)到并產(chǎn)生報(bào)警。產(chǎn)生報(bào)警。重復(fù)報(bào)警重復(fù)報(bào)警(Repetitive Alarm)(Repetitive Alarm)： 指入侵檢測(cè)系統(tǒng)對(duì)某一入指入侵檢測(cè)系統(tǒng)對(duì)某一入侵事件的反復(fù)報(bào)警，重復(fù)報(bào)警并不表示入侵檢測(cè)系統(tǒng)的錯(cuò)侵事件的反復(fù)報(bào)警，重復(fù)報(bào)警并不表示入侵檢測(cè)系統(tǒng)的錯(cuò)誤行為，太多的重復(fù)報(bào)警也可能使網(wǎng)絡(luò)管理員產(chǎn)生視覺

36、疲誤行為，太多的重復(fù)報(bào)警也可能使網(wǎng)絡(luò)管理員產(chǎn)生視覺疲勞，影響對(duì)其他攻擊產(chǎn)生適當(dāng)響應(yīng)，另外與其他安全技術(shù)勞，影響對(duì)其他攻擊產(chǎn)生適當(dāng)響應(yīng)，另外與其他安全技術(shù)協(xié)同工作也可能產(chǎn)生嚴(yán)重問題，過多的重復(fù)報(bào)警可能會(huì)產(chǎn)協(xié)同工作也可能產(chǎn)生嚴(yán)重問題，過多的重復(fù)報(bào)警可能會(huì)產(chǎn)生拒絕服務(wù)。生拒絕服務(wù)。入侵檢測(cè)系統(tǒng)的性能指標(biāo)2022-3-736入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)2 2、準(zhǔn)確性指標(biāo)準(zhǔn)確性指標(biāo)在很大程度上取決于測(cè)試時(shí)采用的樣本集和測(cè)試環(huán)境。包括：在很大程度上取決于測(cè)試時(shí)采用的樣本集和測(cè)試環(huán)境。包括：檢測(cè)率檢測(cè)率(%)(%)：指被監(jiān)控系統(tǒng)在受到入侵攻擊時(shí)，檢測(cè)系統(tǒng)能：指被監(jiān)控系統(tǒng)在受到入侵攻擊時(shí)，檢測(cè)

37、系統(tǒng)能夠正確報(bào)警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)夠正確報(bào)警的概率。通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測(cè)試系統(tǒng)的檢測(cè)率。其值為：檢測(cè)到的攻擊數(shù)集合來測(cè)試系統(tǒng)的檢測(cè)率。其值為：檢測(cè)到的攻擊數(shù)/ /攻擊事件總數(shù)；攻擊事件總數(shù)；誤警率誤警率(%)(%)：是指把那些正確事件誤報(bào)為攻擊以及把一種攻：是指把那些正確事件誤報(bào)為攻擊以及把一種攻擊行為誤報(bào)為另一種攻擊的概率，其值為：擊行為誤報(bào)為另一種攻擊的概率，其值為：1 1( (正確的正確的告警數(shù)告警數(shù)/ /總的告警數(shù)總的告警數(shù)) )；漏警率漏警率(%)(%)：已經(jīng)攻擊而沒有檢測(cè)出來的攻擊占所有攻擊的：已經(jīng)攻擊而沒有檢測(cè)出來的攻擊占所有攻擊的概率，通常

38、利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測(cè)試系概率，通常利用已知入侵攻擊的實(shí)驗(yàn)數(shù)據(jù)集合來測(cè)試系統(tǒng)的漏報(bào)率。其值為統(tǒng)的漏報(bào)率。其值為( (攻擊事件檢測(cè)到的攻擊數(shù)攻擊事件檢測(cè)到的攻擊數(shù))/)/攻攻擊事件總數(shù)；擊事件總數(shù)；重復(fù)報(bào)警率重復(fù)報(bào)警率(%)(%)：重復(fù)報(bào)警占所有報(bào)警的比率，其值為重復(fù)：重復(fù)報(bào)警占所有報(bào)警的比率，其值為重復(fù)報(bào)警數(shù)報(bào)警數(shù)/ /總的報(bào)警數(shù)?？偟膱?bào)警數(shù)。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）2022-3-737入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)3 3、效率指標(biāo)效率指標(biāo) 根據(jù)用戶系統(tǒng)的實(shí)際需求，根據(jù)用戶系統(tǒng)的實(shí)際需求，以保證入侵檢測(cè)準(zhǔn)確以保證入侵檢測(cè)準(zhǔn)確性的前提

39、下，提高入侵檢測(cè)系統(tǒng)的最大處理能力性的前提下，提高入侵檢測(cè)系統(tǒng)的最大處理能力。效。效率指標(biāo)也取決于不同的設(shè)備級(jí)別，如百兆網(wǎng)絡(luò)環(huán)境下率指標(biāo)也取決于不同的設(shè)備級(jí)別，如百兆網(wǎng)絡(luò)環(huán)境下和千兆網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)的效率指標(biāo)一定有很和千兆網(wǎng)絡(luò)環(huán)境下入侵檢測(cè)系統(tǒng)的效率指標(biāo)一定有很大差別。效率指標(biāo)主要包括：大差別。效率指標(biāo)主要包括：最大處理能力、每秒能最大處理能力、每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)等監(jiān)控的網(wǎng)絡(luò)連接數(shù)、每秒能夠處理的事件數(shù)等。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）2022-3-738入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)n最大處理能力最大處理能力： 指網(wǎng)

40、絡(luò)入侵檢測(cè)系統(tǒng)在維持其正常檢測(cè)率的情況指網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在維持其正常檢測(cè)率的情況下，系統(tǒng)低于其漏警指標(biāo)的最大網(wǎng)絡(luò)流量。下，系統(tǒng)低于其漏警指標(biāo)的最大網(wǎng)絡(luò)流量。目的是驗(yàn)?zāi)康氖球?yàn)證系統(tǒng)在維持正常檢測(cè)的情況下能夠正常報(bào)警的最大證系統(tǒng)在維持正常檢測(cè)的情況下能夠正常報(bào)警的最大流量。流量。以每秒數(shù)據(jù)流量（以每秒數(shù)據(jù)流量（MbpsMbps或或GbpsGbps）來表示。取決）來表示。取決于三個(gè)因素，其一是入侵檢測(cè)系統(tǒng)抓包能力，其二是于三個(gè)因素，其一是入侵檢測(cè)系統(tǒng)抓包能力，其二是分析引擎的分析能力，最后還與數(shù)據(jù)包的大小有直接分析引擎的分析能力，最后還與數(shù)據(jù)包的大小有直接關(guān)系，相同流量下，網(wǎng)絡(luò)數(shù)據(jù)包越小，數(shù)據(jù)包越多

41、，關(guān)系，相同流量下，網(wǎng)絡(luò)數(shù)據(jù)包越小，數(shù)據(jù)包越多，處理能力越差。處理能力越差。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）2022-3-739入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)n每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)每秒能監(jiān)控的網(wǎng)絡(luò)連接數(shù)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不僅要：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)不僅要對(duì)單個(gè)的數(shù)據(jù)包作檢測(cè)，對(duì)單個(gè)的數(shù)據(jù)包作檢測(cè)，還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)還要將相同網(wǎng)絡(luò)連接的數(shù)據(jù)包組合起來作分析包組合起來作分析。網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包重網(wǎng)絡(luò)連接的跟蹤能力和數(shù)據(jù)包重組能力是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入組能力是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)進(jìn)行協(xié)議分析、應(yīng)用層入侵分析的基礎(chǔ)侵分析的基礎(chǔ)。例如：

42、檢測(cè)利用。例如：檢測(cè)利用HTTPHTTP協(xié)議的攻擊、敏協(xié)議的攻擊、敏感內(nèi)容檢測(cè)、郵件檢測(cè)、感內(nèi)容檢測(cè)、郵件檢測(cè)、TelnetTelnet會(huì)話的記錄與回放、會(huì)話的記錄與回放、硬盤共享的監(jiān)控等。硬盤共享的監(jiān)控等。n每秒能夠處理的事件數(shù)每秒能夠處理的事件數(shù)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊和可疑事件后，會(huì)生成安全事件或稱報(bào)警事件，絡(luò)攻擊和可疑事件后，會(huì)生成安全事件或稱報(bào)警事件，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，并將事件記錄在事件日志中。每秒能夠處理的事件數(shù)，反映了檢測(cè)分析引擎的處理能力和事件日志記錄的后反映了檢測(cè)分析引擎的處理能力和事件日志記錄的后端處理能力。端

43、處理能力。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）2022-3-740入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)n系統(tǒng)指標(biāo)系統(tǒng)指標(biāo) 系統(tǒng)指標(biāo)主要表示系統(tǒng)本身運(yùn)行的穩(wěn)定性和使用系統(tǒng)指標(biāo)主要表示系統(tǒng)本身運(yùn)行的穩(wěn)定性和使用的方便性。系統(tǒng)指標(biāo)主要包括：最大規(guī)則數(shù)、平均的方便性。系統(tǒng)指標(biāo)主要包括：最大規(guī)則數(shù)、平均無故障間隔等。無故障間隔等。 最大規(guī)則數(shù)最大規(guī)則數(shù)：系統(tǒng)允許配置的入侵檢測(cè)規(guī)則條目：系統(tǒng)允許配置的入侵檢測(cè)規(guī)則條目的最大數(shù)目。的最大數(shù)目。 平均無故障間隔平均無故障間隔：系統(tǒng)無故障連續(xù)工作的時(shí)間。：系統(tǒng)無故障連續(xù)工作的時(shí)間。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)

44、技術(shù)（續(xù)）2022-3-741入侵檢測(cè)系統(tǒng)的性能指標(biāo)入侵檢測(cè)系統(tǒng)的性能指標(biāo)n其它指標(biāo)其它指標(biāo)系統(tǒng)結(jié)構(gòu)：系統(tǒng)結(jié)構(gòu)：完備的完備的IDSIDS應(yīng)能采用分級(jí)、遠(yuǎn)距離分式式部署和管理。應(yīng)能采用分級(jí)、遠(yuǎn)距離分式式部署和管理。8.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）2022-3-7428.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）事件數(shù)量：事件數(shù)量：考察考察IDSIDS系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的系統(tǒng)的一個(gè)關(guān)鍵性指標(biāo)是報(bào)警事件的多少。一般而言，事件越多，表明多少。一般而言，事件越多，表明IDSIDS系統(tǒng)能夠處理的能系統(tǒng)能夠處理的能力越強(qiáng)。力越強(qiáng)。 處理帶寬處理帶寬 ：I

45、DSIDS的處理帶寬，即的處理帶寬，即IDSIDS能夠處理的網(wǎng)絡(luò)流量，能夠處理的網(wǎng)絡(luò)流量，是是IDSIDS的一個(gè)重要性能。目前的網(wǎng)絡(luò)的一個(gè)重要性能。目前的網(wǎng)絡(luò)IDSIDS系統(tǒng)一般能夠處系統(tǒng)一般能夠處理理202030M30M網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理網(wǎng)絡(luò)流量，經(jīng)過專門定制的系統(tǒng)可以勉強(qiáng)處理404060M60M的流量。的流量。 入侵檢測(cè)系統(tǒng)的性能指標(biāo)2022-3-7438.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)） 入侵檢測(cè)系統(tǒng)的性能指標(biāo)探測(cè)引擎與控制中心的通信：探測(cè)引擎與控制中心的通信：作為分布式結(jié)構(gòu)的作為分布式結(jié)構(gòu)的IDSIDS系統(tǒng)，系統(tǒng)，通信是其自身安全的關(guān)鍵因素

46、。通信是其自身安全的關(guān)鍵因素。通信安全通過身份認(rèn)證通信安全通過身份認(rèn)證和數(shù)據(jù)加密兩種方法來實(shí)現(xiàn)和數(shù)據(jù)加密兩種方法來實(shí)現(xiàn)。 身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能身份認(rèn)證是要保證一個(gè)引擎，或者子控制中心只能由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻由固定的上級(jí)進(jìn)行控制，任何非法的控制行為將予以阻止。止。身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公身份認(rèn)證采用非對(duì)稱加密算法，通過擁有對(duì)方的公鑰，進(jìn)行加密、解密完成身份認(rèn)證鑰，進(jìn)行加密、解密完成身份認(rèn)證。2022-3-7448.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)） 入侵檢測(cè)系統(tǒng)的性能指標(biāo)事件定義：事件定義：事件的可定義

47、性或可定義事件是事件的可定義性或可定義事件是IDSIDS的一個(gè)主要的一個(gè)主要特性。特性。 二次事件：二次事件：對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事對(duì)事件進(jìn)行實(shí)時(shí)統(tǒng)計(jì)分析，并產(chǎn)生新的高級(jí)事件能力。件能力。事件響應(yīng)：事件響應(yīng)：通過事件上報(bào)、事件日志、通過事件上報(bào)、事件日志、EmailEmail通知、手機(jī)短通知、手機(jī)短信息、語音報(bào)警等方式進(jìn)行響應(yīng)，也可通過信息、語音報(bào)警等方式進(jìn)行響應(yīng)，也可通過TCPTCP阻斷、防火阻斷、防火墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。墻聯(lián)動(dòng)等方式主動(dòng)響應(yīng)。2022-3-7458.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)） 入侵檢測(cè)系統(tǒng)的性能指標(biāo)自身安全：自身安全：自身安

48、全指的是自身安全指的是探測(cè)引擎的安全性探測(cè)引擎的安全性。要有良。要有良好的隱蔽性，一般使用定制的操作系統(tǒng)。好的隱蔽性，一般使用定制的操作系統(tǒng)。終端安全終端安全 ：主要指控制中心的安全性。有多個(gè)用戶、多主要指控制中心的安全性。有多個(gè)用戶、多個(gè)級(jí)別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保個(gè)級(jí)別的控制中心，不同的用戶應(yīng)該有不同的權(quán)限，保證控制中心的安全性。證控制中心的安全性。2022-3-7468.38.3入侵檢測(cè)的相關(guān)技術(shù)（續(xù)）入侵檢測(cè)的相關(guān)技術(shù)（續(xù)） 入侵檢測(cè)系統(tǒng)面臨的主要問題 入侵檢測(cè)系統(tǒng)作為一種新型網(wǎng)絡(luò)安全防護(hù)手段，發(fā)揮入侵檢測(cè)系統(tǒng)作為一種新型網(wǎng)絡(luò)安全防護(hù)手段，發(fā)揮很大作用，但是與諸如防火

49、墻等技術(shù)高度成熟的產(chǎn)品相比，很大作用，但是與諸如防火墻等技術(shù)高度成熟的產(chǎn)品相比，入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問題：入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問題：1 1、層出不窮的入侵手段、層出不窮的入侵手段2 2、越來越多的信息采用加密的方法傳輸、越來越多的信息采用加密的方法傳輸3 3、不斷增大的網(wǎng)絡(luò)流量、不斷增大的網(wǎng)絡(luò)流量4 4、缺乏標(biāo)準(zhǔn)、缺乏標(biāo)準(zhǔn)5 5、誤報(bào)率過高、誤報(bào)率過高2022-3-7478.4 8.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)SnortSnort8.4.1 Snort概述概述 nSnortSnort是一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢是一個(gè)功能強(qiáng)大、跨平臺(tái)、輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，從入侵檢

50、測(cè)分類上來看，測(cè)系統(tǒng)，從入侵檢測(cè)分類上來看，SnortSnort應(yīng)該是個(gè)基于應(yīng)該是個(gè)基于網(wǎng)絡(luò)和誤用的入侵檢測(cè)軟件。它可以運(yùn)行在網(wǎng)絡(luò)和誤用的入侵檢測(cè)軟件。它可以運(yùn)行在LinuxLinux、OpenBSDOpenBSD、FreeBSDFreeBSD、SolarisSolaris、以及其它、以及其它Unix Unix 系統(tǒng)、系統(tǒng)、WindowsWindows等操作系統(tǒng)之上。等操作系統(tǒng)之上。SnortSnort是一個(gè)用是一個(gè)用C C語言編寫的語言編寫的開放源代碼軟件，符合開放源代碼軟件，符合GPL(GNUGPL(GNU通用公共許可證通用公共許可證 GNU GNU General Public Lice

51、nse)General Public License)的要求，由于其是開源且免的要求，由于其是開源且免費(fèi)的，許多研究和使用入侵檢測(cè)系統(tǒng)都是從費(fèi)的，許多研究和使用入侵檢測(cè)系統(tǒng)都是從SnortSnort開始，開始，因而因而SnortSnort在入侵檢測(cè)系統(tǒng)方面占有重要地位。在入侵檢測(cè)系統(tǒng)方面占有重要地位。SnortSnort的的網(wǎng)站是網(wǎng)站是。用戶可以登陸網(wǎng)站得到。用戶可以登陸網(wǎng)站得到源代碼，在源代碼，在LinuxLinux和和WindowsWindows環(huán)境下的安裝可執(zhí)行文件，環(huán)境下的安裝可執(zhí)行文件，并可以下載描述入侵特征

52、的規(guī)則文件。并可以下載描述入侵特征的規(guī)則文件。2022-3-7488.4 8.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)SnortSnort.2系統(tǒng)組成和處理流程系統(tǒng)組成和處理流程 圖85 Snort程序流程圖2022-3-7498.4 8.4 入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)SnortSnort（續(xù)）（續(xù)）n雖然雖然SnortSnort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，但是它的功能是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)，但是它的功能卻非常強(qiáng)大，其特點(diǎn)如下：卻非常強(qiáng)大，其特點(diǎn)如下： 1 1、跨平臺(tái)性、跨平臺(tái)性 2 2、功能完備、功能完備 3 3、使用插件的形式、使用插件的形式 4 4、SnortSnort規(guī)則描述簡單

53、規(guī)則描述簡單nSnortSnort基于規(guī)則的檢測(cè)機(jī)制十分簡單和靈活，使得可以迅基于規(guī)則的檢測(cè)機(jī)制十分簡單和靈活，使得可以迅速對(duì)新的入侵行為做出反應(yīng)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全漏速對(duì)新的入侵行為做出反應(yīng)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全漏洞。同時(shí)該網(wǎng)站提供幾乎與洞。同時(shí)該網(wǎng)站提供幾乎與http:/（應(yīng)急（應(yīng)急響應(yīng)中心，負(fù)責(zé)全球的網(wǎng)絡(luò)安全事件以及漏洞的發(fā)布）響應(yīng)中心，負(fù)責(zé)全球的網(wǎng)絡(luò)安全事件以及漏洞的發(fā)布）同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測(cè)軟件同步的規(guī)則庫更新，因此甚至許多商業(yè)的入侵檢測(cè)軟件直接就使用直接就使用SnortSnort的規(guī)則庫。的規(guī)則庫

54、。2022-3-7501、SNORT的優(yōu)點(diǎn)的優(yōu)點(diǎn)snortsnort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng) snortsnort的可移植性很好的可移植性很好 snortsnort的功能非常強(qiáng)大的功能非常強(qiáng)大 擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速 snortsnort的擴(kuò)展能力較強(qiáng)。的擴(kuò)展能力較強(qiáng)。遵循公共通用許可證遵循公共通用許可證GPLGPL2022-3-751 2、SNORT的安裝的安裝 （1 1）如何獲得）如何獲得snortsnort 可以從可以從snortsnort的站點(diǎn)的站點(diǎn)httphttp：//www.

55、獲得其源獲得其源代碼或者代碼或者RPMRPM包。使用源代碼安裝包。使用源代碼安裝snortsnort需要需要libpcaplibpcap庫，庫，可以從可以從ftpftp：//下載下載。 （2 2）安裝）安裝snortsnort bash#rpm -ihv -nodepsbash#rpm -ihv -nodeps snort-1.7-1.i386.rpm snort-1.7-1.i386.rpm 2022-3-752 3、SNORT的應(yīng)用的應(yīng)用 （1 1）作為嗅探器）作為嗅探器 把把TCP/IPTCP/IP包頭信息打印在屏

56、幕上，輸入下面的命令：包頭信息打印在屏幕上，輸入下面的命令： ./snort -v./snort -v 要看到應(yīng)用層的數(shù)據(jù)，可以使用下面的命令：要看到應(yīng)用層的數(shù)據(jù)，可以使用下面的命令： ./snort -vd./snort -vd 要顯示數(shù)據(jù)鏈路層的信息，使用下面的命令：要顯示數(shù)據(jù)鏈路層的信息，使用下面的命令： ./snort -vde./snort -vde 下面的命令就和上面最后的一條命令等價(jià)：下面的命令就和上面最后的一條命令等價(jià)： ./snort -d -v -e./snort -d -v -e2022-3-753 （2 2）記錄數(shù)據(jù)包）記錄數(shù)據(jù)包 指定一個(gè)日志目錄：指定一個(gè)日志目錄：

57、./snort -dev -l ./log./snort -dev -l ./log 目錄以數(shù)據(jù)包目的主機(jī)的目錄以數(shù)據(jù)包目的主機(jī)的IPIP地址命名，例如地址命名，例如： ./snort -dev -l ./log -h /24./snort -dev -l ./log -h /24 把所有的包日志到一個(gè)單一的二進(jìn)制文件中：把所有的包日志到一個(gè)單一的二進(jìn)制文件中： ./snort -l ./log -b./snort -l ./log -b 在嗅探器模式下把一個(gè)在嗅探器模式下把一個(gè)tcpdumptcpdu

58、mp格式的二進(jìn)制文件中的格式的二進(jìn)制文件中的包打印到屏幕上，可以輸入下面的命令：包打印到屏幕上，可以輸入下面的命令： ./snort -dv -r packet.log./snort -dv -r packet.log 從日志文件中提取從日志文件中提取ICMPICMP包，只需要輸入下面的命令行：包，只需要輸入下面的命令行： ./snort -dvr packet.log icmp./snort -dvr packet.log icmp2022-3-754 （3 3）作為入侵檢測(cè)系統(tǒng)）作為入侵檢測(cè)系統(tǒng) 使用下面命令行可以啟動(dòng)入侵檢測(cè)模式：使用下面命令行可以啟動(dòng)入侵檢測(cè)模式： ./snort -d

59、ev -l ./log -h /24 -c ./snort -dev -l ./log -h /24 -c snort.confsnort.conf 如果想長期使用如果想長期使用snortsnort作為自己的入侵檢測(cè)系統(tǒng)，最作為自己的入侵檢測(cè)系統(tǒng)，最好不要使用好不要使用-v-v選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng)，使選項(xiàng)。因?yàn)槭褂眠@個(gè)選項(xiàng)，使snortsnort向屏幕向屏幕上輸出一些信息，會(huì)大大降低上輸出一些信息，會(huì)大大降低snortsnort的處理速度，從而在的處理速度，從而在向顯示器輸出的過程中丟棄一些包。向顯示器輸出的過程中丟棄一些包。 此外，在絕大多數(shù)情況

60、下，也沒有必要記錄數(shù)據(jù)鏈此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以路層的包頭，所以-e-e選項(xiàng)也可以不用：選項(xiàng)也可以不用： ./snort -d -h /24 -l ./log -c ./snort -d -h /24 -l ./log -c snort.confsnort.conf2022-3-755 （4 4）配置實(shí)例配置實(shí)例 使用默認(rèn)的日志方式（以解碼的使用默認(rèn)的日志方式（以解碼的ASCIIASCII格式）并格式）并且把報(bào)警發(fā)給且把報(bào)警發(fā)給syslogsyslog： ./snort -c snort.conf./snort -