欢迎来到天天文库
浏览记录
ID:30619736
大小:19.17 KB
页数:7页
时间:2019-01-01
《snort规则的分析与制定》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果Snort规则的分析与制定随着网络应用的普及,安全性变得日益重要,作为网络安全的一个重要组成部分网络入侵检测系统(NetworkIn.trusionDetectionSystem,NIDS)受到业界更多的关注,Snort正是一款基于libpcap库、开放源码的NIDS系统。这些开放源代码的数据分析软件包,为我们构建规则处理模块提供了便利条件,但通常它又有一定的局限性,所以,要开发一个真正功能强大、
2、实用的网络入侵检测系统,开发者需要对各种网络协议、系统漏洞、攻击手法、可疑行为等有一个很清晰、深入的研究,才能制定相应的安全规则集和安全策略。它正是构建NIDS的工作重点。也是本文关注的焦点。1Snort简介代写论文Snort是用c语言编写的开放源代码软件,它是一个功能强大、跨平台、轻量级的网络入侵检测工具。当前最新的版本是snort-2.7.0.1.tar.gzMonAug10:14:5EDT007(LastModified)⋯。新版与以前的版本相比,增加的核心功能就是引入了数据匹配相对偏移的概念。在规则方面增加了若干选项,如
3、content选项增加了distance和within修饰选项,可以使匹配多个有一定顺序和固定间隔的模式成为可能。目前课题份量和难易程度要恰当,博士生能在二年内作出结果,硕士生能在一年内作出结果,特别是对实验条件等要有恰当的估计。从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果ourcdire公司开始推行snort的许可证协议,以使其可以对一些具有及时性的,经过测试的规则进行收费。nort系统由四个基本模块组成,如1所示。数据采集模块,在数据采
4、集模块中可以加入预处理模块,对网络数据进行合并、去除冗余信息,从而提高系统的效率;预处理模块,用来扩展Snort的功能;检测引擎,这是Snort的核心模块;日志与报警输出模块,管理员通过它来指定记录日志和告警的输出。用户还可以自己编写模块来扩展Snort的功能,以应对不断出现的威胁。Snort规则与制定2.1Snort的规则与链表snort的工作原理是解析规则集形成规则树,然后利用lihpcap对采集来的数据进行模式匹配,若匹配成功,则认为是有入侵行为发生,进入报警理模块。所以Snort规则是它的核心,必须拥有一个强大的入侵特征
5、数据库,才能准确、高效地捕捉入侵行为。Snort规则被写成“规则头(选项)”的形式。规则头包含规则动作、协议、源和目标II,地址与网络掩码、源和目标端口信息和、方向操作符;规则选项部分包含报警消息内容和要检查的包的具体部分]。规则选项中可能有一个或多个选项,不同选项之间使用“;”分隔开了,它们之间为“与”的关系。选项由关键字和参数组成,每个关键字和它的参数问使用冒号“:”分隔。一条规则可书写为:alerttcp“EXTERNAL—NETany一>”HOME—NETl(msg:“FSITECPWDoverflOW课题份量和难易程度
6、要恰当,博士生能在二年内作出结果,硕士生能在一年内作出结果,特别是对实验条件等要有恰当的估计。从本学科出发,应着重选对国民经济具有一定实用价值和理论意义的课题。课题具有先进性,便于研究生提出新见解,特别是博士生必须有创新性的成果attempt”:flow:estab-lished,to—server;content“SITE”;nocase;content“CP-这条规则的动作选项是发出alert,协议类型是tcp,源IP地址是“EXTERNAL。NET,指任意外网地址,源端口为任意端口(any),目的IP地址是”HOME—NE
7、T,指任意内网地址.目的端口是21号端口,网络流量的方向是一>,指需要从外网到内网的网络流量中匹配该特征。Snort将检测规则利用链表的形式进行组织,建立链表时,首先按规则类型分类,分成了五个单独的规则链;然后针对这五个规则链的每一个按协议类型分成相应的节点链表;在节点链表之下又分为若干规则树节点(RuleTreeNodeRTN);每个规则树节点下又有若干规则选项,称为选项树节点(Opfion~TreeNodeOTN)。每一个RTN对应于规则头,其中包含协议类型、源和目的地址、源和目的端口号等;每一个OTN对应于规则选项结点,其
8、中包含报警信息(msg)、匹配内容(content),TCP标志位(flags)等选项。当数据包到达检测引擎时,Snort将首先匹配规则链,然后根据数据包协议匹配相应的节点链表,于是从左至右遍历RTN,参看源、目的IP及端口号是否匹配,找到一个匹配后,算法向下进
此文档下载收益归作者所有