出版社: 电子工业
原售价: 168.00
折扣价: 126.00
折扣购买: 解密彩虹团队非凡实战能力企业安全体系建设(共5册)
ISBN: 9787121393556
解密彩虹团队非凡实战能力企业安全体系建设(共5册)
出版社: 电子工业
原售价: 168.00
折扣价: 126.00
折扣购买: 解密彩虹团队非凡实战能力企业安全体系建设(共5册)
ISBN: 9787121393556
作者简介
范渊,主编,现任杭州安恒信息技术股份有限公司董事长兼总裁,是 个在美国黑帽子大会(Black Hat)上做演讲的中国人;对物联网安全、工业互联网安全、云安全、大数据安全、智慧城市安全等领域有深入的研究。主编和参与多种网络安全图书的出版,包括《数字经济时代的智慧城市与信息安全》系列书。 担任浙江省政协 ,浙江省科协副 , 信息安全标准化委员会委员,中国网络空间安全协会常务理事,中国计算机学会安全专业委员会常务委员;是 百千万人才工程“有突出贡献中青年专家”,科技部“科技创新创业人才”,中国科学技术协会“全国 科技工作者”;荣获中国互联网发展基金会首届“网络安全 人才奖”,中华 科学交流基金会“杰出工程师青年奖”,浙江省杰出青年,2016年度十大风云浙商,2017年“ 浙商金奖”,2019年浙江省青年数字经济“鸿鹄奖”,科技新浙商致敬十年特别奖等荣誉。袁明坤,执行主编,现任杭州安恒信息技术股份有限公司 副总裁,长期致力于网络安全方面的研究,在主动防御、安全服务自动化、物联网安全、智慧城市安全运营、应急响应及威胁狩猎领域有着 研究成果,先后参与和主持了威胁情报及应急响应中心、可信众测平台及漏洞管理平台、红蓝对抗团队、AiCSO智能安全运营中心、网络安保综合指挥平台和主动诱捕系统等信息安全创新领域的研究和开拓;作为重大网络安保活动负责人,带领全国三百余人的安全服务团队完成世界互联网大会、上海进口贸易博览会、世界游泳锦标赛等30余次重大会议网络安全保障工作,荣获省级公安厅一等功2次,二等功2次,三等功1次,并获得2017年杭州市五一劳动奖章。
内容简介
4.3.1 Snort Snort 是一个免费的网络入侵检测系统,它是用 C 语言编写的开源软件。其作者Martin Roesch在设计之初,只打算实现一个数据包嗅探器,之后又在其中加入了基于特征分析的功能,从此Snort开始向入侵检测系统演变。 Snort是一个基于Libpcap的轻量级网络入侵检测系统。所谓轻量级入侵检测系统,是指它能够方便地安装和配置在网络中的任何一个节点上,而且不会对网络产生太大的影响。它对系统的配置要求比较低,可支持多种操作平台,包括Linux、Windows、Solaris和 FreeBSD 等。Snort 是一款极佳的 NIDS 产品,它不仅是免费的,还提供了以下各种强大的功能: (1)基于规则的检测引擎。 (2)良好的可扩展性。可以使用预处理器和输出插件来对Snort的功能进行扩展。 (3)灵活简单的规则描述语言。只要用户掌握了基本的 TCP、IP 知识,就可以编写自己的规则。 (4)除了用作入侵检测系统,还可以用作嗅探器和包记录器。 一个基于Snort的网络入侵检测系统由以下5个部分组成,如图4-3所示。 图4-3 Snort的结构 1. 解码器 解码器负责从网络接口上获取数据包。在编程实现上,解码器用一个结构体来表示单个数据包,该结构记录了与各层协议有关的信息和其他检测引擎需要用到的信息。获取的信息将被送往检测引擎或预处理器中。解码器支持多种类型的网络接口,包括Ethernet、SLIP、PPP等。 2. 检测引擎 检测引擎子系统是 Snort 工作在入侵检测模式下的核心部分,它采用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特征符合某个规则定义,则触发相应的处理操作。 3. 日志/警报子系统 规则中定义了数据包的处理方式,包括 Alert(报警)、Log(日志记录)和 Pass(忽略)等,但具体的 Alert 和 Log 操作则是由日志/警报子系统完成的。日志子系统将解码得到的信息以ASCII码的格式或以TCPDUMP的格式记录下来,警报子系统将报警信息发送到Syslog、Socket或数据库中。 4. 预处理器 Snort 主要采用基于规则的方式对数据包进行检测,这种方式因匹配速度快而受到欢迎。 但对于 Snort 来说,超越基于规则匹配的检测机制是必要的。例如,仅依赖规则匹配无法检测出协议异常。这些额外的检测机制在 Snort 中是通过预处理器来实现的,它工作在检测引擎之前、解码器之后。 Snort中包含了以下3类预处理器,分别实现不同的功能: (1)包重组。这类预处理器的代表有 Stream4 和 Frag2。它们将多个数据包中的数据进行组合,构成一个新的待检测包,然后将这个包交给检测引擎或其他预处理器。 (2)协议解码。为了方便检测引擎处理数据,这类预处理器对 Telnet、HTTP和RPC等协议进行解析,并使用统一规范的格式对其进行表述。 (3)异常检测。用来检测无法用一般规则发现的攻击和协议异常。与前面两种预处理器相比,异常检测预处理器更侧重于报警功能。 5. 输出插件 输出插件用来格式化警报信息,使管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。 Snort 的工作流程:首先,Snort 利用 Libpcap 进行抓包。接着,由解码器将捕获的数据包信息填入包结构体,并将其送到各式各样的预处理器中。对于那些用于检测入侵的预处理器来说,一旦发现了入侵行为,将直接调用输出插件或日志/警报子系统进行输出;对于那些用于包重组和协议解码的预处理器来说,它们会将处理后的信息送往检测引擎,由检测引擎对数据包的特征及内容进行检查,一旦检测到与已知规则匹配的数据包,或者利用输出插件进行输出,或者利用日志/警报子系统进行记录和报警。 本套书,由知名安全专家范渊主编,袁明坤执行主编,全面解密一个企业信息安全团队是如何打造出来的,这个团队中的主要角色担任什么任务?如何完成任务?是一本让企业可以从中学会信息安全管理、在企业信息安全领域具有指导意义的体系建设大系。
