返回
入侵检测系统应用

入侵检测系统应用

ID:853291

大小:1.49 MB

页数:20页

时间:2017-09-20

入侵检测系统应用_第1页
入侵检测系统应用_第2页
入侵检测系统应用_第3页
入侵检测系统应用_第4页
入侵检测系统应用_第5页
资源描述:

《入侵检测系统应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、实训11:windows下配置snort(一)【实验原理】一、Snort是一个强大的清量级的网络入侵检测系统。它具有实时数据流量分析和日志Ip网络数据包的能力,能够进行协议分析,对内容搜索或匹配。它能够检测各种不同的攻击方式,对攻击进行实时警报。此外,Snort具有很好的扩展性和可移植性。还有,这个软件遵循公用许可GPL,所以只要遵守GPL任何组织和个人都可以自由使用。二、snort特点:1.Snort虽然功能强大,但是其代码极为简洁,短小,其源代码压缩包只有200KB不到。Snort可移植性非常好。2.Snort具有实时流量分析和日志Ip网数据包的能力。3.Snort

2、能够进行协议分析,内容的搜索/匹配。4.Snort的日至格式既可以是Tcpdump的二进制格式,也可以编码成ASCII字符形式,更便于拥护尤其是新手检查,使用数据库输出插件,Snort可以把日志记入数据库,当前支持的数据库包括:Postagresql,MySQL,任何UnixODBC数据库,MicrosoftMsSQL,还有Oracle等数据库。5.使用TCP流插件(TCPSTREAM),Snort可以对TCP包进行重组。6.使用Spade(StatisticalPacketAnomalyDetectionEngine)插件,Snort能够报告非正常的可以包,从而对端口

3、扫描进行有效的检测。7.Snort还有很强的系统防护能力。8.扩展性能较好,对于新的攻击威胁反应迅速。9.Snort支持插件,可以使用具有特定功能的报告,检测子系统插件对其功能进行扩展。10.Snort的规则语言非常简单,能够对新的网络攻击做出很快的反应。三、入侵检测的原理1、信息收集入侵检测的第一步是信息收集,内容包括系统、网络、数据及用户活动的状态和行为。而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,这除了尽可能扩大检测范围的因素外,还有一个重要的因素就是从一个源来的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的

4、最好标识。1)系统和网络日志文件  黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。2)目录和文件中的不期望的改变网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。3)程序执行中的不期望行为网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用,例如数据库服务器。4)物理形式的入侵信息  这包括两个方面的内容:一是未授权的对网络硬件连接;二是对物理资源的未授权访问。例如,用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具

5、来识别在公共电话线上的Modem,如果一拨号访问流量经过了这些自动工具,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量,进而攻击其它系统,并偷取敏感的私有信息等等。2.信号分析  对上述四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。1)模式匹配  模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。2)统计分析  统计分析方法首先给系统对象(如用户

6、、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。3)完整性分析 完整性分析主要关注某个文件或对象是否被更改,

7、这经常包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。 【实验环境】证书服务器要求Windowsxp以上操作系统,2台以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。