异常行为检测

1、异常行为检测实验【实验环境】图1 实验环境实验环境如图1所示，其中：Linux实验台IP地址：以为例，具体根据实际的网络环境进行配置本地主机(IDS客户端)：Windows XP操作系统、SimpleISES系统客户端、WinNmap扫描工具本地主机IP地址：以为例，具体根据实际的网络环境进行配置【实验内容】修改配置文件设定不同阀值以检测扫描并测验修改配置文件启动sfportscan检测扫描异常行为检测实验【实验原理】进行异常检测的理论基础是认为入侵是异常活动的子集。异常检测系统通过监控用户的行为，将当前主体的活动情况和用户轮廓比较，而用户轮廓通常定义为各种行为参数及其阀值的集合，用于描述正常

2、行为，当用户活动与正常行为有重大偏移时即被认为是入侵。对于Snort来说，一些攻击是无法通过规则匹配或协议异常的方法检测的。一次端口扫描通常会探测多个端口或主机，否则几乎无法区分扫描和正常连接。比如一次对非web服务器的80端口的访问可能是用户填错了域名或IP地址，或DNS域发生错误所致。但如果某个主机发出了200个访问不同目标主机80端口的包且发包过程是按IP地址排序的，则几乎可以肯定这是一次扫描。两者之间的区别在于以下条件的组合：目的主机数量；目的端口数量；发包频率。通过规则匹配或流重组无法对上面的条件进行综合判断，Snort通过portscan预处理器对端口扫描攻击进行检测，思路是判断一

3、个时间段内的探测包数量。portscan预处理器的代码中警告道“对扫描结束的报告信息常常是不准确的”，但一般来说portscan预处理器在报告发现扫描时是精确的，而在统计攻击者到底发出了多少探测包时则不太准确。激活portscan预处理器可以在conf文件中加入下面这行：Preprocessor portscan：<monitor network> <number of ports> <detection period> <file path>monitor network表示被保护的网络，number of ports和detection pe

4、riod表示扫描端口数和检测间隔，file path表示日志文件完整路径。Sfportscan是另外一个检测端口扫描的预处理器，可以在conf文件中加入下面这行激活它： Preprocessor sfportscan：proto scan_type sense_level 。异常行为检测实验【实验步骤】一、 启动IDS服务器启动Linux实验台(如接着上一个实验，请用reboot重启系统)并登录，如图2所示。图2 登录界面二、 连接IDS服务器启动实验客户端，选择“入侵检测与防御”中的“异常行为检测实验”，打开实验实施面板，点击“连接”。连接成功后，实验实施面板显示如图3所示。图3 实施面板三

5、、 启动Snort并发起扫描在实验台修改/usr/local/etc/snort2.conf, 在文件中查找到“preprocessor portscan: (监听IP网段) 50 1 /var/log/portscan.log”，将监听的IP网段改为实验台与客户端通用的网段，本例为。点击“开始”启动Snort，可利用Alt+F2切换到新的屏幕，登录后利用ps查看snort进程，如图4所示。图4 查看snort进程启动WinNmap或其它扫描工具对本网段的某台主机进行tcp扫描一直到扫描结束，WinNmap的扫描设置如图5所示。图5 扫描结果四、 查看结果点击“结束”查看实验结果，可以看到对扫

6、描主机的报警，如图6所示。图6 报警信息在实验台中按下CTRL+C回到命令提示符，运行“less /var/log/portscan.log”来查看产生的日志。然后，为了下一步实验，运行命令“rm/var/log/portscan.log”将日志删除。五、 修改conf文件重新实验在实验台中运行“cd /usr/local/etc”，然后再用“vi snort2.conf”编辑配置文件，在文件中查找到“preprocessor portscanvar/log/portscan.log”，将其中的端口数50改为较大的值(5000)，如图7所示，保存后退出。然后重复上面的步骤三和四。图7 修改端口数只要设置的阀值大于实际情况，实验将不会产生警报，日志文件也不会有记录。六、 修改conf文件启动sfportscan再次在实验台中编辑snort2.conf文件，在其中添加(注意空格)“preprocessor sfportsc