11-2019050385-李媛-SNORT入侵检测系统1
需积分: 0 108 浏览量
2022-08-08
20:14:30
上传
评论
收藏 1.03MB DOCX 举报
暨南大学本科实验报告专用纸
课程名称 网络安全实验 成绩评定
实验项目名称 SNORT 入侵检测系统 指导教师 潘冰
实验项目编号 11 实验项目类型 实验地点信息安全实验室
学生姓名 李媛 学号 2019050385
学院 智能科学与工程学院 系 专业 2019 信息安全
实验时间 2022 年 5 月 10 日 上午~ 5 月 7 日 上午 温度℃湿度
(一)实验目的
一.snort IDS 概述
snort IDS(入侵检测系统)是一个强大的网络入侵检测系统。它具有实时数据流量分析
和记录 IP 网络数据包的能力,能够进行协议分析,对网络数据包内容进行搜索/匹配。它能
够检测各种不同的攻击方式,对攻击进行实时报警。此外,snort 是开源的入侵检测系统,
并具有很好的扩展性和可移植性。
二.snort IDS 体系结构
snort 的结构由 4 大软件模块组成,它们分别是:
(1)数据包嗅探模块——负责监听网络数据包,对网络进行分析;
(2)预处理模块——该模块用相应的插件来检查原始数据包,从中发现原始数据的“行
为”,如端口扫描,IP 碎片等,数据包经过预处理后才传到检测引擎;
(3)检测模块——该模块是 snort 的核心模块。当数据包从预处理器送过来后,检测引擎
依据预先设置的规则检查数据包,一旦发现数据包中的内容和某条规则相匹配,就通知报警
模块;
(4)报警/日志模块——经检测引擎检查后的 snort 数据需要以某种方式输出。如果检测引
擎中的某条规则被匹配,则会触发一条报警,这条报警信息会通过网络、UNIX socket、
Windows Popup(SMB)、SNMP 协议的 trap 命令传送给日志文件,甚至可以将报警传送给第三
方插件(如 SnortSam),另外报警信息也可以记入 SQL 数据库。
三.snort 三种工作方式
snort 拥有三大基本功能:嗅探器、数据包记录器和入侵检测。嗅探器模式仅从网络上
读取数据包并作为连续不断的流显示在终端上,常用命令 snort -dev。数据包记录器模式是
把数据包记录到硬盘上,常用命令 snort -b。网络入侵检测模式是最复杂的,而且是可配置
的。我们可以让 Snort 分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一
定的动作。
(二)实验步骤以及结果展示
2.1 任务一
剩余10页未读,继续阅读
评论0