网络攻防学习笔记 Day44

入侵检测的关键是对收集到的各种安全事件进行分析，从中发现违反安全策略的行为。入侵检测的分析方法主要包括两类。一类称为特征检测（SignatureDetection,SD），另外一类称为异常检测（Anomaly Detection,AD）。

特征检测，也常常被称为滥用检测（misuse detection），这种检测方法的基本思路是事先提取出描述各类攻击活动的特征信息，利用攻击特征对指定的数据内容进行监视，一旦发现攻击特征在监视的数据中出现，即判定系统内发生了相应的攻击活动。

判断入侵检测的效能，主要依据两项参数。误报率，即正常的用户活动被判定为入侵的比率。漏报率，即入侵活动发生了，但却没有被发现的比率。

特征库的完备问题是特征检测的核心，要确保特征库内容全面、及时更新需要耗费大量的时间和精力。

模式匹配法、专家系统法和状态迁移法是特征检测的三种典型实现方式。

异常检测也是常用的一种入侵检测分析方法。异常检测基于这样一种假设，即用户行为、网络行为或者系统行为通常有相对稳定的模式，如果在监视过程中发现行为明显偏离了正常模式，则认为出现了入侵。

统计分析法、神经网络法、聚类分析法和人工免疫系统是异常检测的四种典型的实现方式。

Snort 是采用 C 语言编写的一款开源网络入侵检测系统，符合 GNU GPL（GeneralPublic License）协议。Snort 由 Martin Roesch 编写，可以免费使用。

Snort 主要采用特征检测的工作方式，通过预先设置的检测规则对网络数据包进行匹配，发现各种类型的网络攻击。Snort 由数据包解析器、检测引擎、日志与报警子系统三个模块组成。

Snort 解析规则的工作流程较为简单。首先读取规则文件，然后依次解析每一条规则，在内存中将规则组织成检测规则链。