返回
实验五_入侵检测技术

实验五_入侵检测技术

ID:28661057

大小:1.21 MB

页数:15页

时间:2018-12-12

实验五_入侵检测技术_第1页
实验五_入侵检测技术_第2页
实验五_入侵检测技术_第3页
实验五_入侵检测技术_第4页
实验五_入侵检测技术_第5页
资源描述:

《实验五_入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、范文范例指导参考实验五:入侵检测技术一、实验目的通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。实验具体要求如下:1.理解入侵检测的作用和原理2.理解误用检测和异常检测的区别3.掌握Snort的安装、配置和使用等实用技术二、实验原理1、入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusiondetectionsystem,IDS)是完成入侵检测功能的软件和硬件的集合。入侵检测的功能主要体现在以

2、下几个方面:1).监视并分析用户和系统的活动。2).核查系统配置和漏洞。3).识别已知的攻击行为并报警。4).统计分析异常行为。5).评估系统关键资源和数据文件的完整性。6).操作系统的审计跟踪管理,并识别违反安全策略的用户行为。2、入侵检测的分类根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。1).基于主机的入侵检测系统。HIDS历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录

3、和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。2).基于网络的入侵检测系统。NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。3、入侵检测系统1).入侵检测系统的特点:入侵检测系统(IntrusionDetectionwo

4、rd版整理范文范例指导参考System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;入侵攻击发生时,入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护;被入侵攻击后,入侵检测系统可以提供详细的攻击信息日志,便于取证分析。相对于防火墙提供的静态防护而言,入侵检测系统侧重于提供动态实时检测防护,因此防火墙和入侵检测系统的结合,能够给网络带来更全面的防护。2).

5、入侵检测系统的实现原理:入侵检测系统的实现技术可以简单地分为两大类:基于特征的检测和基于异常的检测。基于特征的检测技术主要包括模式匹配和协议分析两种主要检测方法。模式匹配就是将已知入侵事件悼念到网络入侵和系统误用知识库中,对入侵检测系统悼念的信息和知识库中的规则进行比较,以发现入侵行为。协议分析技术则对数据包进行协议解析后进行分析。这种技术需要首先捕捉数据包,然后对数据包进行解析,包括网络协议分析和命令解析,即使在高负载的调整网络上,也能逐个分析所有的数据包。基于牲的检测技术只需收集相关的数据,和所维护的知识库规则比较就能进行判断,检测准确率和效率较高。但是,该技术需要不断进行知识库

6、规则的升级以对付不断出现的新攻击手法,而且,它不能检测未知攻击手段。3).入侵检测系统的部署原则:NIDS总的来说包括探测器和控制台两大部分。探测器是专用的硬件设备,负责网络数据流的捕获、分析检测和报警等功能。控制台是管理探测器的工具,它负责接收探测器的检测日志数据,并提供数据查询和报告生成等功能,一个控制台可以管理多个探测器。HIDS安装在被保护的机器上,在主机系统的审计日志或操作中查找信息源进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依

7、赖性,它一般针对其所在的系统进行检测。4/Snort简介及使用原理:1).Snort是一款免费的NIDS,具有小巧灵便、易于配置、检测效率高等特性,常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。S

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。