Một IDS bất thường dựa trên tạo ra một hồ sơ giao thông vì nó quan sát giao thông bình thường
hoạt động. Sau đó nó sẽ cho dòng gói tin đó là không bình thường về mặt thống kê, cho kỳ thi
ple, một tỷ lệ quá mức của các gói tin ICMP hoặc một sự tăng trưởng theo cấp số nhân đột ngột
quét cổng và ping sweep. Những điều tuyệt vời về các hệ thống IDS bất thường dựa trên là
rằng họ không dựa trên kiến thức trước đây về hiện các cuộc tấn công có nghĩa là, họ có thể
có khả năng phát hiện, các cuộc tấn công không có giấy tờ mới. Mặt khác, nó là một cực kỳ
vấn đề thách thức để phân biệt giữa giao thông bình thường và bất thường về mặt thống kê
giao thông. Đến nay, hầu hết các IDS triển khai chủ yếu dựa trên chữ ký, mặc dù
một số bao gồm một số tính năng khác thường dựa trên.
Snort
Snort là một công miền, IDS mã nguồn mở với hàng trăm ngàn hiện
triển khai [Snort 2012; Koziol 2003]. Nó có thể chạy trên Linux, UNIX, và Windows
nền tảng. Nó sử dụng giao diện sniffing libpcap chung chung, mà còn được sử dụng bởi
Wireshark và nhiều gói sniffers khác. Nó có thể dễ dàng xử lý 100 Mbps giao thông;
cho việc cài đặt với tỷ lệ giao thông gibabit / giây, nhiều cảm biến Snort có thể cần thiết.
Để đạt được một số cái nhìn sâu sắc vào Snort, chúng ta hãy xem một ví dụ của một chữ ký Snort:
alert icmp $ EXTERNAL_NET bất kỳ - > $ HOME_NET bất kỳ
(msg: "ICMP PING NMAP"; dsize: 0; itype: 8;)
chữ ký này khớp với bất kỳ gói tin ICMP đi vào lưới của tổ chức
công việc ($ HOME_NET) từ bên ngoài ($ EXTERNAL_NET), là các gõ 8 (ICMP
ping), và có một tải trọng rỗng (dsize = 0). Kể từ nmap (xem Phần 1.6) tạo ra
các gói tin ping với những đặc điểm cụ thể, chữ ký này được thiết kế để phát hiện
các cuộc càn quét nmap ping. Khi một gói tin phù hợp với chữ ký này, Snort tạo ra một cảnh báo
bao gồm các thông điệp "ICMP PING NMAP".
Có lẽ những gì là ấn tượng nhất về Snort là một cộng đồng rộng lớn của người dùng và
các chuyên gia an ninh để duy trì cơ sở dữ liệu chữ ký của mình. Thông thường trong vòng một vài giờ của
một cuộc tấn công mới, cộng đồng Snort viết và phát hành một dấu hiệu tấn công, mà là
sau đó tải về của hàng trăm ngàn việc triển khai Snort phân phối
trên toàn thế giới. Hơn nữa, bằng cách sử dụng cú pháp chữ ký Snort, mạng Administra
TOR có thể chỉnh các chữ ký cho nhu cầu tổ chức riêng của họ bằng cách thay đổi
chữ ký hiện có hoặc tạo ra hoàn toàn mới.
đang được dịch, vui lòng đợi..