1、 本文由蔡澤恩貢獻 pdf文檔可能在WAP端瀏覽體驗不佳。建議您優(yōu)先選擇TXT，或下載源文件到本機查看。 入侵檢測技術 羅森林 信息安全與對抗技術實驗室 內容 入侵檢測技術的概念 入侵檢測系統(tǒng)的功能 入侵檢測技術的分類 入侵檢測技術的原理,結構和流程 入侵檢測技術的未來發(fā)展 基于SNORT的入侵檢測系統(tǒng) 基本概念 入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能 夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于 檢測計算機網(wǎng)絡中違反安全策略行為的技術. 違反安全策略的行為有:入侵非法用戶的違規(guī)行為;濫用 用戶的違規(guī)行為. 入侵檢測(Intrusion Detection)就是對

2、計算機網(wǎng)絡和計算機系統(tǒng)的 關鍵結點的信息進行收集分析,檢測其中是否有違反安全策略的 事件發(fā)生或攻擊跡象,并通知系統(tǒng)安全管理員. 一般把用于入侵檢測的軟件,硬件合稱為入侵檢測系統(tǒng). 為什么會出現(xiàn)IDS 客觀因素: 入侵者總可以找到防火墻的弱點和漏洞 防火墻一般不能阻止來自內部的襲擊 由于性能的限制,防火墻通常不能提供實時的監(jiān)控 防火墻對于病毒的網(wǎng)絡內部傳播也是無能為力的 漏洞是普遍存在的 主觀因素入侵和攻擊不斷增多 網(wǎng)絡規(guī)模不斷擴大 網(wǎng)絡用戶不斷增加 黑客水平不斷提高 IDS的發(fā)展史 1980年4月,James Anderson為美國空軍做了一份題為 Computer Security Thre

3、at Monitoring and Surveillance(計算機安全威脅監(jiān)控與監(jiān)視)的技術 報告,第一次提出了入侵檢測. 1986年,為檢測用戶對數(shù)據(jù)庫異常訪問,在IBM主機 上用Cobol開發(fā)的Discovery系統(tǒng)成為最早的基于主機 的IDS雛形之一. IDS的發(fā)展史 1987年,Dorothy E.Dennying 提出了異常入侵檢測系 統(tǒng)的抽象模型,首次將入侵檢測的概念作為一種計算 機系統(tǒng)安全防御問題的措施提出. 1988年, Morris Internet蠕蟲事件使得Internet約5天 無法正常使用,該事件導致了許多IDS系統(tǒng)的開發(fā)研制. Teresa Lunt等人進一步改進

4、了Dennying提出的入侵檢 測模型,并創(chuàng)建了IDES(Intrusion Detection Expert System),它提出了與系統(tǒng)平臺無關的實時檢測思想. IDS的發(fā)展史 1990年, Heberlein等人提出基于網(wǎng)絡的入侵檢測 NSM(Network Security Monitor),NSM可以通過在局 域網(wǎng)上主動地監(jiān)視網(wǎng)絡信息流量來追蹤可疑的行為. 1991年,分布式入侵檢測系統(tǒng)(DIDS)的研究,將基 于主機和基于網(wǎng)絡的檢測方法集成到一起.DIDS是分 布式入侵檢測系統(tǒng)歷史上的一個里程碑式的產(chǎn)品,它 的檢測模型采用了分層結構,包括數(shù)據(jù),事件,主體, 上下文,威脅,安全狀態(tài)

5、等6層. IDS的發(fā)展史 1994年,Mark Crosbie 和Gene Spafford建議使用自治 代理(Autonomous Agents)以便提高IDS的可伸縮性, 可維護性,效率和容錯性. 1995年,IDES后續(xù)版本NIDES(Next-Generation Intrusion Detection System)實現(xiàn)了可以檢測多個主機 上的入侵. 1996年, GRIDS(Graph-based Intrusion Detection System)設計和實現(xiàn)解決了入侵檢測系統(tǒng)伸縮性不足的 問題,使得對大規(guī)模自動或協(xié)同攻擊的檢測更為便利. Forrest 等人將免疫原理用到分布式

6、入侵檢測領域 IDS的發(fā)展史 1997年,Mark crosbie 和 Gene Spafford將遺傳算法運用到入侵檢 測中. 1998年,Ross Anderson和Abida Khattak將信息檢索技術引進到 了入侵檢測系統(tǒng). 中國的IDS也得到了長足的發(fā)展.據(jù)IDC的報告,2000年中國安全 市場中,IDS與評估軟件占了19%的份額.IDC在2001年4月的調 查顯示,用戶接下來對網(wǎng)絡安全產(chǎn)品的需求中,對IDS的需求占 到了18.5%.從廠商方面來說,從1999年前后,國外一些軟件商 開始將其IDS引入到國內,如安氏,CA,NAI,賽門鐵克等.國 內如冠群金辰,金諾網(wǎng)安等也占據(jù)著該市

7、場的較大份額. IDS的功能與作用 防火墻明顯的不足和弱點 防火墻不能防范如TCP,IP等本身存在的協(xié)議漏洞 無法解決安全后門問題; 不能阻止網(wǎng)絡內部攻擊,而調查發(fā)現(xiàn),80%以上的 攻擊都來自內部,對于企業(yè)內部心懷不滿的員工來 說,防火墻形同虛設; 不能提供實時入侵檢測能力,而這一點,對于現(xiàn)在 層出不窮的攻擊技術來說是至關重要的; 對于病毒等束手無策. IDS的功能與作用 識別黑客常用入侵與攻擊手段.入侵檢測系統(tǒng)通過分析各種 攻擊特征,可以全面快速地識別探測攻擊,拒絕服務攻擊, 緩沖區(qū)溢出攻擊,電子郵件攻擊,瀏覽器攻擊等各種常用攻 擊手段,并做相應的防范和向管理員發(fā)出警告 監(jiān)控網(wǎng)絡異常通信.I

8、DS系統(tǒng)會對網(wǎng)絡中不正常的通信連接 做出反應,保證網(wǎng)絡通信的合法性;任何不符合網(wǎng)絡安全策 略的網(wǎng)絡數(shù)據(jù)都會被IDS偵測到并警告. IDS的功能與作用 鑒別對系統(tǒng)漏洞及后門的利用. 完善網(wǎng)絡安全管理.IDS通過對攻擊或入侵的 檢測及反應,可以有效地發(fā)現(xiàn)和防止大部分的 網(wǎng)絡入侵或攻擊行為,給網(wǎng)絡安全管理提供了 一個集中,方便,有效的工具.使用IDS系統(tǒng) 的監(jiān)測,統(tǒng)計分析,報表功能,可以進一步完 善網(wǎng)管. IDS的功能與作用 IDS只能位于第二安全防線 IDS僅僅是一種實時監(jiān)控報警工具,雖能夠在檢測到非法訪 問時自動報警,但其本身無法防范攻擊行為的發(fā)生; 不能將IDS與如防病毒或防火墻產(chǎn)品混淆在一起

9、. IDS一般無法實現(xiàn)精確的攻擊檢測,可能會出現(xiàn)誤報現(xiàn)象. 目前IDS面臨的最主要的挑戰(zhàn)之一是檢測速度太慢.大多數(shù) IDS系統(tǒng)在不犧牲檢測速度的前提下,會無法處理百兆位網(wǎng) 絡滿負荷時的數(shù)據(jù)量,而千兆位更是難以企及的目標. 技術分類 根據(jù)入侵檢測的時序 實時入侵檢測.實時入侵檢測在網(wǎng)絡連接過程中進行,系統(tǒng) 根據(jù)用戶的歷史行為模型,存儲在計算機中的專家知識以及 神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷,一旦發(fā)現(xiàn)入侵跡 象立即斷開入侵者與主機的連接,并收集證據(jù)和實施數(shù)據(jù)恢 復,這個檢測過程是不斷循環(huán)進行的. 事后入侵檢測.事后入侵檢測需要由網(wǎng)絡管理人員進行,他 們具有網(wǎng)絡安全的專業(yè)知識,根據(jù)計算機系統(tǒng)對

10、用戶操作所 做的歷史審計記錄判斷用戶是否具有入侵行為,如果有就斷 開連接,并記錄入侵證據(jù)和進行數(shù)據(jù)恢復.事后入侵檢測由 管理員定期或不定期進行. 技術分類 從入侵檢測系統(tǒng)所使用的技術的角度 基于特征的檢測.特征檢測假設入侵者活動可以用一種模式 來表示,系統(tǒng)的目標是檢測主體活動是否符合這些模式.它 可以將已有的入侵方法檢查出來,但對新的入侵方法無能為 力.其難點在于如何設計模式既能夠表達"入侵"現(xiàn)象又不會 將正常的活動包含進來. 基于異常的檢測.異常檢測假設入侵者活動異常于正常主體 的活動.根據(jù)這一理念建立主體正常活動的"模板",將當前 主體的活動狀況與&

11、quot;模板"相比較,當違反其統(tǒng)計規(guī)律時,認 為該活動可能是"入侵"行為.異常檢測的難題在于如何建立 "模板"以及如何設計統(tǒng)計算法,從而不把正常的操作作為"入 侵"或忽略真正的"入侵"行為. 技術分類 從入侵檢測的范圍來講 基于網(wǎng)絡的入侵檢測系統(tǒng).網(wǎng)絡入侵檢測系統(tǒng)能夠檢測那些 來自網(wǎng)絡的攻擊,它能夠檢測到超越授權的非法訪問,而不 需要改變其它設備的配置,也不需要在其它主機中安裝額外 的軟件,因此不會影響業(yè)務系統(tǒng)的性能. 弱點:(1)網(wǎng)絡入侵檢測系統(tǒng)只檢查它直接連接到網(wǎng)段的通 信,不能檢測在不同網(wǎng)段的網(wǎng)絡

12、包,存在監(jiān)測范圍的局限. 而安裝多臺設備顯然增加了成本.(2)采用特征檢測的方法 可以檢測出普通的一些攻擊,很難檢測復雜的需要大量時間 和分析的攻擊.(3)大數(shù)據(jù)流量網(wǎng)絡入侵檢測上存在一定的 困難.(4)加密通信檢測上存在困難,而加密通信將會越來 越多. 技術分類 基于主機的入侵檢測系統(tǒng).通常安裝在被重點檢測的主機 上,主要是對該主機的網(wǎng)絡實時連接以及系統(tǒng)審計日志進行 智能分析和判斷,如果其中主體活動十分可疑,入侵檢測系 統(tǒng)就會采取相應措施. 弱點:(1)安裝在保護的設備上會降低系統(tǒng)的效率,也會帶 來一些額外的安全問題.(2)系統(tǒng)依賴于服務器固有的日志 與監(jiān)視能力,如果服務器沒有配置日志功能,

13、則必需重新配 置,這將會給運行中的系統(tǒng)帶來不可預見的性能影響.(3) 全面布署基于主機的入侵檢測系統(tǒng)代價較大,則未安裝檢測 系統(tǒng)的設備將成為保護的盲點,入侵者可利用這些機器達到 攻擊目標.(4)對網(wǎng)絡入侵行為無法檢測. 技術分類 從使用的檢測方法 基于特征的檢測.特征檢測對已知的攻擊或入侵的 方式作出確定性的描述,形成相應的事件模式.當 被審計的事件與已知的入侵事件模式相匹配時,即 報警.原理上與專家系統(tǒng)相仿.其檢測方法上與計 算機病毒的檢測方式類似.目前基于對包特征描述 的模式匹配應用較為廣泛,該方法預報檢測的準確 率較高,但對于無經(jīng)驗知識的入侵與攻擊行為無能 為力. 技術分類 從使用的檢測

14、方法 基于統(tǒng)計的檢測.統(tǒng)計模型常用異常檢測, 在統(tǒng)計模型中常用的測量參數(shù)包括:審計事 件的數(shù)量,間隔時間,資源消耗情況等.操 作模型,計算參數(shù)的方差,馬爾柯夫過程模 型,時間序列分析. 技術分類 從使用的檢測方法 基于專家系統(tǒng)的檢測.專家系統(tǒng)的建立依賴于知識 庫的完備性,知識庫的完備性又取決于審計記錄的 完備性與實時性.入侵的特征抽取與表達,是基于 專家系統(tǒng)的入侵檢測的關鍵.在系統(tǒng)實現(xiàn)中,就是 將有關入侵的知識轉化為if-then結構(也可以是復 合結構),條件部分為入侵特征,then部分是系統(tǒng) 防范措施.運用專家系統(tǒng)防范有特征入侵行為的有 效性完全取決于專家系統(tǒng)知識庫的完備性. 入侵檢測技術

15、的原理 物理鏈路 網(wǎng)絡流量 網(wǎng)絡流量 入侵檢測數(shù)據(jù) 入侵檢測系統(tǒng)的結構 傳感器 傳感器 傳感器 信 息 處 理 分 析 管 理 與 控 制 數(shù)據(jù)庫 工作流程 信息收集,入侵檢測的第一步是信息收集,內 容包括網(wǎng)絡流量的內容,用戶連接活動的狀態(tài) 和行為. 數(shù)據(jù)分析,對上述收集到的信息,一般通過三 種技術手段進行分析:模式匹配,統(tǒng)計分析和 完整性分析.其中前兩種方法用于實時的入侵 檢測,而完整性分析則用于事后分析. 結果處理,實時記錄,報警或有限度反擊. 系統(tǒng)中IDS的位置 系統(tǒng)中IDS的位置 部署1: 放在防火墻和外部網(wǎng)絡之間 優(yōu)點:可充分檢測到針對網(wǎng)絡和系統(tǒng)的攻擊 缺點:無法檢測防火墻內部用戶之

16、間的事件 ; 容易成為黑客入侵的對象; 部署2 放在防火墻與路由器之間 優(yōu)點:可發(fā)現(xiàn)防火墻配置是否合理;可檢測內部事件; 部署3 放于主要的網(wǎng)絡中樞 部署4 部署于一些安全級別需求高的子網(wǎng) IDS面臨的主要問題 較高的誤報和漏報率 不斷增大的網(wǎng)絡流量 基于模式匹配的工作方式無法防御未知的攻擊 基于網(wǎng)絡的IDS基本上無法防止本地緩沖區(qū)溢 出的攻擊 對DoS的檢測能力問題 技術發(fā)展方向 入侵技術的發(fā)展與演化 大范圍的分布式入侵檢測.針對分布式網(wǎng)絡攻擊的檢測方 法,使用分布式的方法來檢測分布式的攻擊,其中的關鍵技 術為檢測信息的協(xié)同處理與入侵攻擊的全局信息獲取 智能化入侵檢測.即使用智能化的方法與手

17、段來進行入侵檢 測,神經(jīng)網(wǎng)絡,遺傳算法,模糊技術,免疫原理等方法可能 用于入侵特征的辨識與泛化.智能代理技術可能廣泛應用于 入侵檢測技術. 系統(tǒng)層的安全保障體系.將其它安全技術融入到入侵檢測系 統(tǒng)中,或者入侵檢測系統(tǒng)與其它網(wǎng)絡安全設備進行互動,互 相協(xié)作,構成較為全面的安全保障體系 基于snort的入侵檢測系統(tǒng) Snort介紹 Snort是一個開放源代碼的基于 libpcap 的數(shù)據(jù) 包嗅探器,并可以作為輕量級的網(wǎng)絡入侵檢測 系統(tǒng). 輕量級:對操作系統(tǒng)的依賴程度很低,網(wǎng)絡管 理員能夠輕易的將snort安裝到網(wǎng)絡中去,可以 在很短的時間內完成配置,可以很方便的集成 到網(wǎng)絡安全的整體方案中,使其成

18、為網(wǎng)絡安全 體系的有機組成部分. Snort介紹 Snort采用了基于規(guī)則的網(wǎng)絡信息搜索機制,對數(shù)據(jù)包 進行內容的模式匹配,從中發(fā)現(xiàn)入侵和探測行為.其 檢測機制十分簡單和靈活,用戶能夠根據(jù)自己的需要 及時調整檢測的策略,從而迅速的對新的入侵行為做 出反應,填補網(wǎng)絡中潛在的安全漏洞. Snort 集成了多種告警機制來提供實時告警功能,可以 輸出到文件,數(shù)據(jù)庫,通過syslog機制輸出到系統(tǒng),通 過smb報文輸出到winpopup進行局域網(wǎng)報警,還可以 輸出到Unix域的socket. Snort的工作模式 snort有三種工作模式:嗅探器,數(shù)據(jù)包記錄器, 網(wǎng)絡入侵檢測系統(tǒng). 嗅探器模式僅僅是從網(wǎng)

19、絡上讀取數(shù)據(jù)包并作為連續(xù) 不斷的流顯示在終端上. 數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上. 網(wǎng)絡入侵檢測模式是最復雜的,而且是可配置的. 可以讓snort分析網(wǎng)絡數(shù)據(jù)流以匹配用戶定義的一些 規(guī)則,并根據(jù)檢測結果采取一定的動作. Snort的工作模式嗅探器 命令行格式:snort v example:snort vde 顯示詳細信息(v),并且顯示應用層信息 (d),顯示鏈路層信息(e) Snort的工作模式數(shù)據(jù)包記錄器 命令行格式:snort -l (log目錄) example: snort -l ./log snort -dev -l ./log -h 192.168.1.0/24 -h:指

20、定監(jiān)視網(wǎng)絡 Snort的工作模式NIDS(1) 命令行格式:snort -c (snort配置文件) example: snort c ./etc/snort.conf snort -d -l ./log -c snort.conf 不顯示詳細信息,只進行記錄,并記錄 應用層信息,使用配置文件snort.conf Snort的工作模式NIDS(2) NIDS模式下的輸出選項 在默認情況下,snort以ASCII格式記錄日志,使用 full報警機制. snort有6種報警機制:full,fast,socket,syslog, smb(winpopup)和none. 可以通過-A指定告警模式 -A

21、 fast:報警信息包括:一個時間戳(timestamp),報警消息, 源/目的IP地址和端口. -A full:是默認的報警模式;還有應用層信息 -A unsock:把報警發(fā)送到一個UNIX套接字,需要有一個程 序進行監(jiān)聽,這樣可以實現(xiàn)實時報警. -A none:關閉報警機制. 通過-M WORKSTATIONS進行SMB告警 Snort目錄結構 Snort基本遵照linux的結構,其源程序包分為etc,doc, src,rules,contrib,templates等. contrib存放的是一些rpms文件,用于在linux中使用; etc中存放配置文件等,主要用于系統(tǒng)配置和輸出配置.包

22、括 classification.config,gen-msg.map, reference.config,sidmsg.map,snort.conf doc中存放一些說明文件,包括使用說明,安裝說明等. src中存放源文件,還包括windows的工程文件.dsw; rules中存放規(guī)則文件 Snort規(guī)則 Snort規(guī)則文件都放在rules目錄下面,每類攻擊都 存放在一個文件中(其歸類方法還在研究中) 例子: (rules/exploit.rules) alert tcp $EXTERNAL_NET any -> $HOME_NET 4321 (msg:"EXPLOIT rw

23、hoisd format string attempt" flow:to_server,established; content:"-soa %p" reference:cve,CAN-2001-0838; reference:bugtraq,3474; classtype:misc-attack; sid:1323; rev:4;) Snort規(guī)則 Snort規(guī)則由兩個邏輯部分組成:規(guī)則頭 和規(guī)則選項. 規(guī)則頭包含規(guī)則的動作,協(xié)議,源和目標ip 地址與網(wǎng)絡掩碼,以及源和目標端口信息; 規(guī)則選項部分包含報警消息內容和要檢查的 包的具體部分. Snort結構分析 s

24、nort 從功能上分為三個子系統(tǒng):數(shù)據(jù)包解析 器,檢測引擎和日志/報警子系統(tǒng). 數(shù)據(jù)包解析器負責從網(wǎng)絡傳輸介質上獲取數(shù)據(jù)包; 檢測引擎負責對數(shù)據(jù)包進行規(guī)則匹配以發(fā)現(xiàn)那些和 規(guī)則庫相配的攻擊,然后傳遞給日志/報警子系統(tǒng); 日志/報警子系統(tǒng)負責產(chǎn)生報警和日志信息,可以以 各種指定的格式進行登記. Snort結構分析 預處理插件 處理插件 輸出插件 規(guī)則處理模塊 使用/調用 日志模塊 解碼模塊 輔助模塊 主控模塊 snort總體模塊圖 Snort結構分析模塊分析(1) 主控模塊:實現(xiàn)所有模塊的初始化,命令行解 釋,配置文件解釋,libpcap的初始化,然后調 用libpcap開始捕獲數(shù)據(jù)包,并進行編

25、碼檢測入 侵.此外,對所有插件的管理功能也屬于主控 模塊的范圍. 解碼模塊:把網(wǎng)絡中的抓取的數(shù)據(jù)包,沿著協(xié) 議棧自上而下進行解碼并填充相應的內部數(shù)據(jù) 結構,以便規(guī)則處理模塊進行處理. Snort結構分析模塊分析(2) 規(guī)則處理模塊:實現(xiàn)了對這些報文進行基于規(guī)則的模 式匹配工作,檢測出攻擊行為;在初始化階段,它還 負責完成規(guī)則文件的解釋和規(guī)則語法樹的構建工作. 規(guī)則處理模塊在執(zhí)行檢測工作過程中共使用了三種類 型的插件,分別為預處理插件模塊,處理插件模塊和 輸出插件模塊.主控模塊中的插件管理功能(plugbase) 實現(xiàn)的是對所有插件的管理,包括其初始化,啟動, 停止等等. 預處理插件:在模式匹配

26、前進行,對報文進行分片重 組,流重組和異常檢查等預處理. Snort結構分析模塊分析(3) 處理插件:檢查數(shù)據(jù)包的各個方面,包括數(shù)據(jù)包 的大小,協(xié)議類型, IP/ICMP/TCP 的選項等, 輔助規(guī)則匹配完成檢測功能. 輸出插件:實現(xiàn)檢測到攻擊后執(zhí)行各種輸出的反 應. 日志模塊:實現(xiàn)各種報文日志功能,也就是把各 種類型的報文記錄到各種類型的日志中. Snort結構分析模塊分析(4) 輔助模塊:樹結構定義子模塊定義了幾 種snort使用到的二叉樹結構和相關的處 理函數(shù),tag處理子模塊完成了和tag相關 的功能,其它一些子模塊也提供了一些 供公用的函數(shù),如安全性較高的字符串 處理函數(shù),校驗以及U

27、nicode解碼等等. Snort主要數(shù)據(jù)結構(1) 主要數(shù)據(jù)結構: PV:存儲全局的控制變量,如是否檢驗校 驗和,告警模式等,其主要來源是命令行, 配置文件; 規(guī)則鏈表:規(guī)則鏈表的主要結構有 RuleListNode,ListHead,RTN,OTN,都 定義于rules.h中. Snort主要數(shù)據(jù)結構(3) 在檢測中使用的結構: PORT_RULE_MAP,PORT_GROUP, RULE_NODE,OTNX等(如下頁圖) 包結構packet:主要記錄從獲取的包中 得到的信息,包括各層信息,以及URI 信息等,而且還保留了應用層以上的數(shù) 據(jù). Snort主要數(shù)據(jù)結構(4) 插件使用的數(shù)據(jù)結

28、構: OutputKeywordList(OutputKeywordNode) 全局變量OutputKeywords 輸出插件 KeywordXlateList(KeywordXlate) 全局變量KeywordList 關鍵字插件 PreprocessKeywordList(PreprocessKeywordNo de) 全局變量PreprocessKeywords 預處理 器插件 插件機制介紹(1) 插件機制使得 snort 能夠很容易的增加功能, 使得程序有很強的可擴展性;而且使得代碼的 模塊性強. 前面介紹過 snort 主要的插件有預處理插件, 處理插件和輸出插件三種,它們對應規(guī)則中

29、的 一個或者多個關鍵字,規(guī)則匹配過程中遇到這 些關鍵字時就會激活相應的插件,以完成相應 的功能. 插件機制介紹(2) 插件一般由以下函數(shù)組成: 名 稱 函數(shù)名 何時調用 程序初始化時調用 功 能 注冊插件的初始化 函數(shù) 完成本插件的初始 化,注冊處理函數(shù) 在檢測過程中完成 插件的功能 插件的安裝函數(shù) SetupXXX() 插件初始化函數(shù) XXXInit() 解釋規(guī)則文件時調用 插件的處理函數(shù) XXXXX() 檢測流程中調用 Snort主要流程講解(1) 1. 初始化全局變量:初始化socket,PV,網(wǎng)絡 (掩碼,協(xié)議名數(shù)組),fpdetection(配置 結構),并開啟所有的告警標識; 2.

30、 解析命令行:設置相關參數(shù),主要是PV; 3. 設置運行模式,檢查輸入的配置是否正確, 如目錄是否存在并可寫; 4. 對輸出插件進行初始化,并設置各層協(xié)議所 對應的解碼函數(shù); Snort主要流程講解(2) 5. 進行其余插件的初始化工作,如預處理器, PLUGIN,TAG等,并輸出最后生成的鏈表; 6. 建立初始的規(guī)則鏈表RuleLists,并按照PV的配 置確定是否需要排序; 7. 解析配置文件config_file.根據(jù)配置文件的內 容,設置系統(tǒng)變量的數(shù)據(jù),激活使用的插件 (包括輸出插件,預處理器插件,處理插件, 初始化并將處理函數(shù)掛接到函數(shù)鏈中) Snort主要流程講解(3) 8. 導入規(guī)則文件進行解析,進而形成規(guī)則鏈 表; 9. 去掉root權限,并將當前目錄轉移到log目錄 中; 10. 根據(jù)PV的配置檢查在命令行中是否設定了