第10章 網(wǎng)絡安全技術

第10章網(wǎng)絡安全技術第10章網(wǎng)絡安全技術10.1網(wǎng)絡安全概述10.2數(shù)據(jù)加密技術10.3防火墻技術10.4網(wǎng)絡病毒與防范技術10.5入侵檢測技術10.1網(wǎng)絡安全概述10.1.1什么是網(wǎng)絡安全網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科。

網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。

網(wǎng)絡安全從其本質上來講就是網(wǎng)絡上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。10.1.2網(wǎng)絡安全的特征概括起來說，網(wǎng)絡安全的主要特征表現(xiàn)如下：1完整性完整性是指網(wǎng)絡中的信息安全、精確與有效，不因種種不安全因素而改變信息原有的內容、形式與流向，確保信息在存儲或傳輸過程中不被修改、不被破壞和丟失。2保密性保密性是指網(wǎng)絡上的保密信息只供經過允許的人員，以經過允許的方式使用，信息不泄露給未授權的用戶、實體或過程，或供其利用。10.1.2網(wǎng)絡安全的特征3可用性可用性是指網(wǎng)絡資源在需要時即可使用，不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用。4不可否認性不可否認性，是面向通信雙方信息真實統(tǒng)一的安全要求，包括收、發(fā)方均不可抵賴。也就是說，所有參與者不可能否認或抵賴曾經完成的操作和承諾。利用信息源證據(jù)可以防止發(fā)方不真實地否認已發(fā)送的信息，利用遞交接收證據(jù)可以防止收方事后否認已經接收的信息。信息傳輸中信息的發(fā)送方可以要求提供回執(zhí)，但是不能否認從未發(fā)過任何信息并聲稱該信息是接收方偽造的。信息的接收方不能對收到的信息進行任何的修改和偽造，也不能抵賴收到的信息。10.1.2網(wǎng)絡安全的特征5可控性可控性是指對信息的傳播及內容具有控制能力的特性。信息接收方應能證實它所收到的信息內容和順序都是真實、合法、有效的，應能檢驗收到的信息是否過時或為重播的信息。信息交換的雙方應能對對方的身份進行鑒別，以保證收到的信息是由確認的對方發(fā)送過來的。10.1.3網(wǎng)絡安全體系結構OSI安全體系結構的研究始于1982年，于1988年完成，其成果標志是ISO發(fā)布了ISO7498-2標準，作為OSI基本參考模型的補充。這是基于OSI參考模型的七層協(xié)議之上的信息安全體系結構。它定義了5類安全服務、9種安全機制。它確定了安全服務與安全機制的關系以及在OSI七層模型中安全服務的配置。它還確定了OSI安全體系的安全管理。10.1.3網(wǎng)絡安全體系結構OSI網(wǎng)絡安全體系定義的5類安全服務是：1對等實體鑒別服務確認有關的對等實體是所需的實體。這種服務由N層提供時，將使N+1層實體確信與之打交道的對等實體正是它所需要的N+1實體。2訪問控制服務防止對資源的未授權使用，包括防止以未授權方式使用某一資源。這種服務提供保護以對付開放系統(tǒng)互連可訪問資源的非授權使用。3數(shù)據(jù)完整性服務這種服務對付主動威脅。在一次連接上，連接開始時使用對某實體的鑒別服務，并在連接的存活期使用數(shù)據(jù)完整性服務就能聯(lián)合起來為在此連接上傳送的所有數(shù)據(jù)單元的來源提供確證，為這些數(shù)據(jù)單元的完整性提供確證。10.1.3網(wǎng)絡安全體系結構4禁止否認服務這種服務可取如下兩種形式，或兩者之一：（1）有數(shù)據(jù)原發(fā)證明的抗否認為數(shù)據(jù)的接收者提供數(shù)據(jù)的原發(fā)證據(jù)。這將使發(fā)送者不承認未發(fā)送過這些數(shù)據(jù)或否認其內容的企圖不能得逞。（2）有交付證明的抗否認為數(shù)據(jù)的發(fā)送者提供數(shù)據(jù)交付證據(jù)。這將使接收者事后不承認收到過這些數(shù)據(jù)或否認其內容的企圖不能得逞。10.1.3網(wǎng)絡安全體系結構5數(shù)據(jù)保密性服務數(shù)據(jù)保密性服務是針對信息泄露、竊聽等威脅的防御措施，它的目的是保護網(wǎng)絡中各系統(tǒng)之間交換的數(shù)據(jù)，防止因數(shù)據(jù)被截獲而造成的泄密。這種服務又分為信息保密、選擇段保密和業(yè)務流保密。信息保密是保護通信系統(tǒng)中的信息或網(wǎng)絡數(shù)據(jù)庫的數(shù)據(jù)；選擇段保密是保護信息中被選擇的部分數(shù)據(jù)段；業(yè)務流保密是防止攻擊者通過觀察業(yè)務流，如信源、信宿、轉送時間、頻率和路由等來得到敏感的信息。10.1.3網(wǎng)絡安全體系結構OSI網(wǎng)絡安全體系定義的9種安全機制是：1加密機制加密機制主要用來加密存儲數(shù)據(jù)，是保護數(shù)據(jù)最常用的方法。2數(shù)字簽名機制數(shù)字簽名機制由兩個過程組成：對信息進行簽字的過程和對已簽字信息進行證實的過程。簽名機制必須保證簽名只能由簽名者的私有信息產生。10.1.3網(wǎng)絡安全體系結構3訪問控制機制訪問控制機制是從計算機系統(tǒng)的處理能力方面對信息提供保護。它根據(jù)實體的身份及其信息，來決定該實體的訪問權限。訪問控制按照事先確定的規(guī)則決定主體對客體的訪問是否合法。4數(shù)據(jù)完整性機制在網(wǎng)絡中傳輸或存儲數(shù)據(jù)可能會因為一些因素，使數(shù)據(jù)的完整性受到破壞。10.1.3網(wǎng)絡安全體系結構5認證機制在計算機網(wǎng)絡中認證主要有站點認證、報文認證、用戶和進程的認證等。多數(shù)認證過程采用密碼技術和數(shù)字簽名技術。對于用戶身份認證，隨著科學技術的發(fā)展，用戶生理特性認證技術將得到越來越多的應用。6業(yè)務流量填充機制攻擊者攻擊的方法之一就是流量分析。攻擊者通常通過分析網(wǎng)絡中某一路徑上的業(yè)務流量和流向來判斷某些事件的發(fā)生。10.1.3網(wǎng)絡安全體系結構7路由控制機制在大型計算機網(wǎng)絡中，數(shù)據(jù)從源節(jié)點到達目的節(jié)點可能存在多條路徑，其中有些路徑是安全的，而有些路徑是不安全的。路由控制機制可根據(jù)信息發(fā)送者的申請，選擇安全路徑，以確保數(shù)據(jù)安全。為了使用安全的子網(wǎng)、中繼站和鏈路，既可預先安排網(wǎng)絡中的路由，也可對其動態(tài)地進行選擇。8公證機制引入公證機制后，通信雙方進行數(shù)據(jù)通信時必須經過這個機構來交換，以確保公證機構能得到必要的信息，供以后仲裁時使用。仲裁數(shù)字簽名技術就是這種公證機制的一種技術支持。10.1.3網(wǎng)絡安全體系結構9安全審計跟蹤機制審計跟蹤機制能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權的用戶對它進行訪問或破壞。審計跟蹤機制提供了一種不可忽視的安全機制，它潛在的價值在于經事后的安全審計可以檢測和調查網(wǎng)絡中的安全漏洞。安全服務與安全機制有著密切的聯(lián)系，安全服務由安全機制來實現(xiàn)，它體現(xiàn)了網(wǎng)絡安全模型的功能。一個安全服務可以由一個或幾個安全機制來實現(xiàn)，同樣，一個安全機制也可用于實現(xiàn)不同的安全服務中。10.2數(shù)據(jù)加密技術10.2.1數(shù)據(jù)加密算法一個密碼體制通常由5個部分構成，如圖10-1所示：（1）全體明文集合M，稱為明文空間（2）全體密文集合C，稱為密文空間（3）全體密鑰集合K，稱為密鑰空間（4）加密算法E，由加密密鑰控制的加密變換集合（5）加密算法D，由解密密鑰控制的解密變換集合任意m屬于M，k屬于K，有Dk（Ek（m））＝m。10.2.1數(shù)據(jù)加密算法10.2.1數(shù)據(jù)加密算法按密鑰管理方式的不同來分，密碼體制可以分為對稱密鑰體制和非對稱密鑰體制兩類。對稱密鑰體制也稱私密鑰、單密鑰；非對稱密鑰體制也稱公開密鑰、雙密鑰。1對稱加密算法對稱密碼技術采用的解密算法是加密算法的逆運算。該技術的特點是在保密通信系統(tǒng)中發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方通信所用的秘密密鑰必須妥善保管。對稱密碼技術的典型代表有：古典密碼技術、序列密碼技術和分組密碼技術(如DES、IDEA、AES等)。10.2.1數(shù)據(jù)加密算法2非對稱加密算法非對稱加密算法，也稱為公用密鑰算法。在非對稱加密算法中，用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來。非對稱加密算法的典型代表是RSA算法。10.2.2常用的數(shù)據(jù)加密標準1美國數(shù)據(jù)加密標準（DataEncryptionStandard，DES）美國數(shù)據(jù)加密標準是在20世紀70年代中期由美國IBM公司的一個密碼算法發(fā)展而來的，1977年美國國家標準局公布DES密碼算法作為美國數(shù)據(jù)加密標準。直到今日，盡管DES已經經歷了20多個年頭，但在已知的公開文獻中，還是無法完全地、徹底地把DES給破解掉。換句話說，DES這套加密方法至今仍被公認是安全的。DES算法從誕生開始，就被各個領域廣泛采用，包括ATM柜員機、POS系統(tǒng)、收費站等，DES以它高強度的保密性能為大眾服務。10.2.2常用的數(shù)據(jù)加密標準2國際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）國際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm，IDEA）是由瑞士聯(lián)邦理工學院XuejiaLai和JamesMassey的在1990年提出的。IDEA是最近幾年提出的用來替代DES的許多算法中的一種，是一個對稱分組密碼算法。IDEA是一種使用128位密鑰以64位分組為單位加密數(shù)據(jù)的分組密碼算法。10.2.2常用的數(shù)據(jù)加密標準3RSA算法RSA算法是一個非對稱密鑰加密算法，是公開密碼體制中最著名的一個。它由Rivest、Shamir和Adleman于1978年提出。RSA的取名就是來源于三個人名字的首寫字母。它是基于數(shù)論中大整數(shù)的素數(shù)分解是困難的(即尋求兩個人素數(shù)比較簡單，但是將它們的乘積分解開卻是極其困難的)這一問題而提出的。10.2.2常用的數(shù)據(jù)加密標準運用RSA算法進行加密和解密，按以下步驟進行。(1)先任意選取兩個不同的質數(shù)p和q。 (2)計算n=p×q和歐拉函數(shù)z=(p-1)×(q-1)。(3)選擇一個與z互質的數(shù)d。(4)求出e，滿足d×e=lmodz。(5)(e,n)作為公開的加密密鑰，將明文分成長度小于lnn位的明文塊，欲加密的明文信息為P(0≤P<n)，加密過程為C=Pemodn。(6)(d，n)作為秘密的解密密鑰，解密過程為P=Cdmodn。10.3防火墻技術10.3.1防火墻概述防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災發(fā)生的時候蔓延到別的房屋。防火墻的英文名為“Firewall”，是位于兩個或多個網(wǎng)絡間，實施網(wǎng)絡之間訪問安全控制的一組組件集合。10.3.1防火墻概述路由器Internet防火墻交換機用戶內部網(wǎng)外部網(wǎng)網(wǎng)絡管理平臺內網(wǎng)服務器群外網(wǎng)服務器群10.3.2防火墻的功能（1）防火墻是網(wǎng)絡安全的屏障（2）防火墻可以強化網(wǎng)絡安全策略（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計（4）防止內部信息的外泄10.3.2防火墻的功能同時防火墻還有一定的局限性：（1）不能防范惡意知情者泄密。（2）不能防御繞過防火墻的攻擊。（3）不能防御完全新的威脅。（4）不能防止特洛伊木馬。（5）不能防止傳送已感染病毒的軟件或文件。（6）不能防御內部攻擊。（7）影響網(wǎng)絡性能。10.3.3防火墻的分類防火墻有很多種分類方法：（1）按軟、硬件形式劃分軟件防火墻：軟件防火墻運行于特定的計算機上，它需要客戶預先安裝好的計算機操作系統(tǒng)的支持，一般來說這臺計算機就是整個網(wǎng)絡的網(wǎng)關。硬件防火墻：傳統(tǒng)硬件防火墻一般至少應具備三個端口，分別接內網(wǎng)，外網(wǎng)和DMZ區(qū)（非軍事化區(qū)），現(xiàn)在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。芯片級防火墻：芯片級防火墻基于專門的硬件平臺，沒有操作系統(tǒng)。10.3.3防火墻的分類（2）按防火墻技術劃分防火墻技術雖然出現(xiàn)了許多，但總體來講可分為“分組過濾型”、“應用代理型”以及“分組過濾型”與“應用代理型”相結合的“狀態(tài)檢測型”三大類?！胺纸M過濾型”以以色列的Checkpoint防火墻和美國Cisco公司的PIX防火墻為代表，“應用代理型”后者以美國NAI公司的Gauntlet防火墻為代表。10.3.3防火墻的分類（3）按防火墻結構劃分從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。（4）按防火墻的應用部署位置劃分如果按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。（5）按防火墻性能劃分按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。10.3.3防火墻的分類防火墻的部類比較多，但總的來說可以分為兩種：包過濾防火墻和代理服務器。（1）包過濾防火墻（IPFiltingFirewall）包過濾（PacketFilter）是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過，依據(jù)系統(tǒng)事先設定好的過濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標地址、以及包所使用端口確定是否允許該類數(shù)據(jù)包通過。2）代理服務器（ProxyServer）代理服務器通常也稱作應用級防火墻。包過濾防火墻可以按照IP地址來禁止未授權者的訪問。但是它不適合單位用來控制內部人員訪問外界的網(wǎng)絡，對于這樣的企業(yè)來說應用級防火墻是更好的選擇。10.3.4防火墻的主要技術（1）分組過濾技術其原理在于監(jiān)視并過濾網(wǎng)絡上流入流出的包，拒絕發(fā)送那些可疑的包。由于分組過濾技術無法有效地區(qū)分相同IP地址的不同用戶，安全性相對較差。（2）代理服務技術其原理是在網(wǎng)關計算機上運行應用代理程序，運行時由兩部分連接構成：一部分是應用網(wǎng)關同內部網(wǎng)用戶計算機建立的連接，另一部分是代替原來的客戶程序與服務器建立的連接。10.3.4防火墻的主要技術（3）網(wǎng)絡地址轉換技術（NAT）其原理如同電話交換總機，當不同的內部網(wǎng)絡用戶向外連接時，使用相同的IP地址(總機號碼)；內部網(wǎng)絡用戶互相通信時則使用內部IP地址(分機號碼)。內部網(wǎng)絡對外部網(wǎng)絡來說是不可見的，防火墻能詳盡記錄每一個內部網(wǎng)計算機的通信，確保每個數(shù)據(jù)包的正確傳送。（4）虛擬專用網(wǎng)VPN技術虛擬專用網(wǎng)(VPN)是局域網(wǎng)在廣域網(wǎng)上的擴展，是專用計算機網(wǎng)絡在Internet上的延伸。VPN通過專用隧道技術在公共網(wǎng)絡上仿真一條點到點的專線，實現(xiàn)安全的信息傳輸。雖然VPN不是真正的專用網(wǎng)絡，但卻能夠實現(xiàn)專用網(wǎng)絡的功能。10.3.4防火墻的主要技術（5）審計技術通過對網(wǎng)絡上發(fā)生的各種訪問過程進行記錄和產生日志，并對日志進行統(tǒng)計處理，從而對網(wǎng)絡資源的使用情況進行分析，對異?，F(xiàn)象進行追蹤監(jiān)視。（6）信息加密技術加密路由器對路由的信息進行加密處理，然后通過Internet傳輸?shù)侥康亩诉M行解密。10.4網(wǎng)絡病毒與防范技術10.4.1什么是網(wǎng)絡病毒計算機病毒是一種人為制造的、在計算機運行中對計算機信息或系統(tǒng)起破壞作用的程序。這種程序不是獨立存在的，它隱蔽在其他可執(zhí)行的程序之中，既有破壞性，又有傳染性和潛伏性。輕則影響機器運行速度，使機器不能正常運行；重則使機器處于癱瘓，會給用戶帶來不可估量的損失。通常就把這種具有破壞作用的程序稱為計算機病毒。10.4.2網(wǎng)絡病毒的特點計算機病毒具有以下幾個特點：（1）寄生性計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。（2）傳染性計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復制或產生變種，其速度之快令人難以預防。（3）潛伏性有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預先設計好的。比如黑色星期五病毒，不到預定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。

（4）隱蔽性計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。10.4.3常見網(wǎng)絡病毒的種類（1）蠕蟲病毒蠕蟲病毒的前綴是Worm，是一種與傳統(tǒng)計算機病毒相近的獨立程序，通常不依附于其他程序。這種病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡的特性。比如沖擊波（阻塞網(wǎng)絡）、小郵差（發(fā)帶毒郵件）等。（2）特洛伊木馬病毒特洛伊木馬病毒簡稱木馬病毒，其前綴是Trojan，是一種計算機程序，它駐留在目標計算機里。木馬病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。（3）惡意網(wǎng)頁惡意網(wǎng)頁是指網(wǎng)頁中的“地雷”程序，它主要是利用軟件或系統(tǒng)操作平臺等存在的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁內的JavaApplet小應用程序、JavaScript腳本語言程序和ActiveX可自動執(zhí)行的代碼程序等，強行修改用戶操作系統(tǒng)的注冊表、更改系統(tǒng)實用配置程序。10.4.4網(wǎng)絡病毒防范技術（1）安裝防毒殺毒軟件不少DOS防毒殺毒軟件都兼顧網(wǎng)絡上的DOS病毒。如：CPAV中的VSAFE就具有探測網(wǎng)絡安全能力，設置相應的參數(shù)后，每當遇到網(wǎng)絡訪問時，它都會提供安全檢測。CPAV中還有網(wǎng)絡支撐文件ISCPSTSR.EXE，用于檢測VSAFE是否常駐內存。（2）及時修補操作系統(tǒng)和應用程序的漏洞操作系統(tǒng)中的漏洞給網(wǎng)絡病毒開啟了方便之門。例如紅色代碼蠕蟲（CodeRed）在Windows操作系統(tǒng)的IIS服務器中引起緩沖區(qū)溢出。網(wǎng)絡病毒以操作系統(tǒng)中的漏洞作為突破口時，根本不需要借助計算機操作者的任何干預，而自動感染和傳播。因此，網(wǎng)絡用戶一定要及時對操作系統(tǒng)軟件進行及時升級，還要盡快為系統(tǒng)軟件和應用軟件打上最新補丁。（3）數(shù)據(jù)備份及恢復對于計算機中存放的重要數(shù)據(jù)要有定期數(shù)據(jù)備份計劃，用磁盤、光盤等介質及時備份數(shù)據(jù)，妥善存檔保管。有數(shù)據(jù)恢復方案，在系統(tǒng)癱瘓或出現(xiàn)嚴重故障時，能夠進行數(shù)據(jù)恢復。10.5入侵檢測技術10.5.1入侵檢測概述入侵檢測（IntrusionDetection）是對入侵行為的檢測。它通過收集和分析網(wǎng)絡行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測。10.5.1入侵檢測概述入侵檢測研究最早可追溯到1980年，JamesAderson首先提出了入侵檢測的概念。Aderson提出審計追蹤可應用于監(jiān)視入侵威脅的思想，但由于當時所有的系統(tǒng)安全程序都側重于拒絕未經認證主體對重要數(shù)據(jù)的訪問，這一思想的重要性當時并未被理解。1987年Dorothy.E.Denning提出了入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）的抽象模型，首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御的策略提出，與傳統(tǒng)加密和訪問控制的方法相比，IDS是全新的計算機安全策略。10.5.2入侵檢測系統(tǒng)的作用入侵檢測系統(tǒng)是一種積極主動的安全防護工具，它的主要作用有：（1）通過檢測和記錄網(wǎng)絡中的安全違規(guī)行為，懲罰網(wǎng)絡犯罪，防止網(wǎng)絡入侵事件的發(fā)生；（2）檢測其它安全措施未能阻止的攻擊或安全違規(guī)行為；（3）檢測黑客在攻擊前的探測行為，預先給管理員發(fā)出警報；（4）報告計算機系統(tǒng)或網(wǎng)絡中存在的安全威脅；（5）提供有關攻擊的信息，幫助管理員診斷網(wǎng)絡中存在的安全弱點，利于其進行修補；（6）在大型、復雜的計算機網(wǎng)絡中布置入侵檢測系統(tǒng)，可以顯著提高網(wǎng)絡安全管理的質量。10.5.3入侵檢測系統(tǒng)的結構數(shù)據(jù)采集（Sensor）分析器知識庫響應/控制響應政策

配置信息告警控制遠程管理10.5.3入侵檢測系統(tǒng)的結構10.5.4入侵檢測系統(tǒng)Snortsnort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡入侵檢測系統(tǒng)。1嗅探器所謂的嗅探器模式就是snort從網(wǎng)絡上讀出數(shù)據(jù)包然后顯示在控制臺上。首先，我們從最基本的用法入手。如果只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：./snort-v使用這個命令將使snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果要看到應用層的數(shù)據(jù)，可以使用：./snort-vd

這條命令使snort在輸出包頭信息的同時顯示包的數(shù)據(jù)信息。如果還要顯示數(shù)據(jù)鏈路層的信息，就使用下面的命令：./snort-vde注意這些選項開關還可以分開寫或者任意結合在一塊。例如：下面的命令就和上面最后的一條命令等價：./snort-d-v–e10.5.4入侵檢測系統(tǒng)Snort2數(shù)據(jù)包記錄器如果要把所有的包記錄到硬盤上，需要指定一個日志目錄，snort就會自動記錄數(shù)據(jù)包：./snort-dev-l./log為了只對本地網(wǎng)絡進行日志，需要給出本地網(wǎng)絡：./snort-dev-l./log-h192.168.1.0/24這個命令告訴snort把進入C類網(wǎng)絡192.168.1的所有包的數(shù)據(jù)鏈路、TCP/IP以及應用層的數(shù)據(jù)記錄到目錄./log中。使用下面的命令可以把所有的包記錄到一個單一的二進制文件中：./snort-l./log–b如果在嗅探器模式下把一個tcpdump格式的二進制文件中的包打