第7章 入侵检测技术
第七章网络安全
18
5、网络监听 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种 发展比较成熟的技术,监听在协助网络管理员监测网络传输数据、 排除网络故障等方面具有不可替代的作用,因而一直备受网络管 理员的青睐。然而,在另一方面网络监听也给以太网的安全带来 了极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监 听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。 网络监听是主机的一种工作模式,在这种模式下,主机可以接收 到本网段在同一条物理通道上传输的所有信息,而不管这些信息 的发送方和接收方是谁。此时若两台主机进行通信的信息没有加 密,只要使用某些网络监听工具就可轻而易举地截取包括口令和 账号在内的信息资料。 Sniffer是一个著名的监听工具,它可以监听到网上传输的所有信 息。还有EtherPeek, WireShark
11
7.1.2黑客的攻击手段 黑客在世界各地四处出击,寻找机会袭击网络,几乎 到了无孔不入的地步.有不少黑客袭击网络时并不是 怀有恶意.他们多数情况下只是为了表现和证实自己 在计算机方面的天分与才华,但也有一些黑客的网络 袭击行为是有意地对网络进行破坏。 黑客(Hacker)指那些利用技术手段进入其权限以外计 算机系统的人。在虚拟的网络世界里,活跃着这批特 殊的人,他们是真正的程序员,有过人的才能和乐此 不疲的创造欲。技术的进步给了他们充分表现自我的 天地,同时也使汁算机网络世界多了一份灾难,一般 人们把他们称之为黑客(Hacker)或骇客(Cracker),前 者更多指的是具有反传统精神的程序员,后者更多指 的是利用工具攻击别人的攻击者,具有明显贬义。但 无论是黑客还是骇客,都是具备高超的计算机知识的 人。
第7章 入侵检测技术-计算机信息安全技术(第2版)-付永钢-清华大学出版社
第七章 入侵检测技术
7.1 入侵检测技术概述
入侵检测系统的作用
• 监控网络和系统 • 发现入侵企图或异常现象 • 实时报警 • 主动响应 • 审计跟踪
形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网 络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内 容。它还不仅仅只是摄像机,还包括保安员的摄像机.
第七章 入侵检测技术
7.2.2 入侵检测系统的基本结构
事件响应模块 事件响应模块的作用在于警告与反应,这实 际上与PPDR模型的R有所重叠。
第七章 入侵检测技术
7.2.2 入侵检测系统的基本结构
入侵检测系统的结构
第七章 入侵检测技术
7.2.2 入侵检测系统的基本结构
引擎的工作流程
引擎的主要功能:原 始数据读取、数据分 析、产生事件、策略 匹配、事件处理、通 信等功能
第七章 入侵检测技术
7.1 入侵检测技术概述
入侵
•对信息系统的非Байду номын сангаас权访问及(或)未经许可在信息系统中 进行操作
入侵检测
•通过对计算机网络或计算机系统中的若干关键点进行信息 收集并对其进行分析,发现是否存在违反安全策略的行 为或遭到攻击的迹象。
入侵检测系统(IDS)
•用于辅助进行入侵检测或者独立进行入侵检测的自动化工 具
第七章 入侵检测技术
7.2.2 入侵检测系统的基本结构
信息收集模块
入侵检测很大程度上依赖于收集信息的可靠性 和正确性
要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的
坚固性,防止被篡改而收集到错误的信息
978-7-03-030368-4《计算机网络安全(第三版)》第7章计
协议欺骗类的攻击与防范 拒绝服务类的攻击与防范 网络嗅探攻击与防范 缓冲区溢出攻击与防范 SQL注入式攻击与防范 木马攻击与检查防范
4
黑客攻击的原因
由于少数高水平的黑客可以随意入侵他人电脑,呗在 被攻击者毫不知情的情况下窃取电脑中的信息后悄悄 退出,于是,很多人对此产生较强的好奇心和学习黑 客技术的欲望,并在了解了黑客攻击技术后不计后果 地进行尝试,给网络造成极大的安全威胁。
第三,数据包过滤。利用网络设备的配置来进行数据 包过滤,比如配置路由器,使其能够拒绝来自网络外 部但具有网络内部IP地址的数据包的连接请求。
8
-协议欺骗类的攻击与防范
2.源路由器欺骗攻击与防范-
一般情况下,信息报从起点到终点走过的路径是 由位于此两点间的路由器决定的,数据包本身只 是知道从哪里出发,到达目的地是哪里,不知道 也不关心沿途经过的具体路径。源路由可以使信 息包的发送者将此信息包经过的路径写在数据包 里,是数据包沿着一个对方不可预料的途径到达 目的主机。仍以上面源IP地址欺骗例子说明如下:
嗅探器(Sniffer)就像一个安装在计算机上的 窃听器,可以窃听计算机在网络上的产生的信 息。嗅探器的工作原理如下。
14
网络嗅探攻击与防范2
以太网的数据传输都是基于信道共享的原理,所有 同一本地网范围内的计算机共同接收到相同的数据 包,以太网卡构造了硬件过滤,将与自己无关的网络 信息过滤掉,实现了忽略掉与自身MAC地址不符的 信息。网络嗅探就是利用这个特点将过滤器关闭掉, 把网卡设置为混杂模式,成为杂错节点,嗅探程序 就能接收整个以太网上的包括不属于本机的数据信 息。嗅探器工作在网络的底层,把网络传输的全部 数据记录下来。它可以帮助网络管理员查找网络漏 洞和监测网络性能,可以分析网络流量。嗅探器对 广播型网络可监听能力比较高。
防火墙入侵检测与VPN——第二部分资料
走信息路 读北邮书
本书的 封面
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保 护系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户 对受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。 审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并 纠正错误的系统配置信息。
详细内容见参考书。 本书的 封面
走信息路 读北邮书
6.6.1 按照检测数据的来源划分 (3)
3 混合式的入侵检测
基于主机的入侵检测能够对主机上用户 或进程的行为进行细粒度地监测,很好地 保护了主机的安全。基于网络的入侵检测 则能够对网络的整体态势做出反应。这两 种优点都是用户所需要的,因此计算机安 全界对两者的融合进行了大量的研究,并 称这种融合系统为混合式入侵检测系统。
走信息路 读北邮书
本书的 封面
6.1.7
ICMP秘密通道
ICMP协议作为网络控制信息传递的 基础协议在所有实现TCP/IP协议的网络 上存在。许多访问控制设备并不阻断这种 协议的传输。但是ICMP协议的某些字段 并不被安全设备检查,攻击者即可利用这 些字段传递秘密信息。
走信息路 读北邮书
本书的 封面
1984年至1986年,乔治敦大学的Dorothy Denning和SRI/CSL (SRI公司计算机科学实验室)的Peter Neumann设计并实现了入 侵检测专家系统IDES(Intrusion Detection Expert System)。 1988年,Stephen Smaha为美国空军Unisys大型主机设计并开 发了Haystack入侵检测系统。 1990年,加州大学戴维斯分校的Todd Heberlien等人开发了 NSM(Network Security Monitor)。 1992年,SAIC开发了计算机滥用检测系统CMDS(Computer Misuse Detection System)。1993年,Haystack Labs开发了 Stalker系统。它们是首批商用的入侵检测系统。
入侵检测与防御技术
第7章入侵检测与防御技术7.1 入侵检测系统概述7.1.1 网络攻击的层次任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵,它可以是针对安全策略的违规行为、针对授权特征的滥用行为,还可以是针对正常行为特征的异常行为。
这些攻击可分为六个层次。
1.第一层第一层次的攻击一般是基于应用层的操作,第一层的各种攻击一般应是互不相干的。
典型的第一层攻击包括拒绝服务攻击和邮件炸弹攻击,这些攻击的目的只是为了干扰目标的正常工作,化解这些攻击一般是十分容易的。
拒绝服务发生的可能性很大,对付这种攻击最好的方法是把攻击者使用的主机/网络信息加入拒绝列表中,使攻击者网络中所有主机都不能对你的网络进行访问。
第一层的另一种攻击技术是与邮件或新闻服务器建立Telnet会话,然后设法了解哪些目录是共享的、哪些目录没被共享,如果在网络上采取了适当的安全措施,这些行为是不会带来危险的,如果共享目录未被正确地配置或系统正在运行远程服务,那么这类攻击就能方便得手。
网络上一旦发现服务拒绝攻击的迹象,就应在整个系统中查找攻击来源,拒绝服务攻击通常是欺骗攻击的先兆或一部分,如果发现在某主机的一个服务端口上出现了拥塞现象,那就应对此端口特别注意,找出绑定在此端口上的服务;如果服务是内部系统的组成部分,那就应该特别加以重视。
许多貌似拒绝服务的攻击可能会引起网络安全措施彻底失效,真正的持续很长时间的拒绝服务攻击对网络仅仅起干扰的作用。
2.第二层和第三层第二层是指本地用户获得不应获得的文件(或目录)读权限,第三层则上升为获得写权限。
这一攻击的严重程度根据被窃取读或写权限的文件的重要性决定。
如果某本地用户获得了访问tmp目录的权限,那么问题就是很糟糕的,可能使本地用户获得写权限从而将第二层攻击推进至第三层攻击,甚至可能继续下去。
本地攻击和其他攻击存在一些区别,“本地用户”(Local User)是一种相对的概念。
“本地用户”是指能自由登录到网络的任何一台主机上的用户。
015--《企业网安全高级技术》大纲及进程表(网工 两年)(30+30课时)
《企业网安全高级技术》课程进程表总计学习课时为60 课时,其中理论课时为30 课时,实验课时为30 课时,适用专业:网络技术工程师TC专业,各章节课时分配如下:章节号章节名称理论课时分配实验课时分配说明第1章网络安全概述 1 1第2章网络协议分析 2 2第3章加密与认证技术33第4章PKI组件及其应用 3 3第5章VPN技术 3 3第6章防火墙技术 3 3第7章入侵检测技术 2 2第8章主机操作系统的安全 3 3第9章计算机病毒及防治 2 2第10章木马与后门 3 3第11章无线网络安全 2 2第12章企业网安全综合应用 3 3课时小计3030课时总计60《企业网安全高级技术》课程教学大纲适用专业:网络技术工程师专业(两年制系统方向)教材:企业网安全高级技术(XHJC-091-805)出版社:新华教育集团(北京)研究院教学环境:理实一体化教室考核方法:考试-课程实践执笔人:王海军审稿人:叶伟一、课程的性质与任务《企业网安全高级技术》课程属于网络工程应用专业必修课程。
通过本课程的学习,学生可以了解构建计算机网络及信息安全的安全策略,掌握建立有效的安全机制的方法。
在课程中学生可以了解不同类型的黑客活动、黑客的攻击范围及防止和控制黑客侵入的方法,同时掌握加密和身份验证方法及过程,保护Windows 2k和Linux 系统免于受到攻击、提高安全性能,以及防火墙的技术构成、体系结构及与Internet服务的结合,通过安全审核的不同阶段,掌握审计及日志分析的方法和基于主机及网络的入侵检测的方法及软件的使用。
本课程内容主要包括:网络安全的基本理论、加密技术与认证、VPN技术、防火墙技术与应用、操作系统安全等。
本课程遵循把所学理论应用于实际的原则。
应该把所有的安全技术从理论上为学生讲解清楚,其次每一种安全理论在实际的环境中的应用,每种安全技术的优缺点,以及每种安全技术的适用范围、能实现的安全目标,及在实际网络环境中的应用。
计算机安全 第7章 病毒防护
第7章病毒防护主讲:×××7.1 病毒的基本特征7.1.1 常见的计算机的病毒7.1.2 计算机病毒的基本结构7.1.3 计算机病毒的共同特征7.1.4 计算机病毒的新特点7.1.1 入侵检测方法1.木马病毒木马病毒源于古希腊的特洛伊木马神话,它是把自己伪装在正常程序内部的病毒,这种病毒程序还是木马。
木马病毒带有黑客性质,它有强大的控制和破坏能力,可窃取密码、控制系统、7.1.1 入侵检测方法2.宏病毒宏是一系列由用户编写或录制的命令和指令,用来实现任务执行的自动化。
的具有病毒特征的宏集合。
它的危害性大,以二进制文件加密压缩格式存入.doc或.dot文件中,所有打开的Word文档都会在自动保存时被传染。
7.1.1 入侵检测方法3.宏病毒蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它消耗大量系统资源,网络瘫痪。
蠕虫病毒的传染目标是互联网内的所有计算机,其传播方式分为两类:一类是利用系播。
7.1.1 入侵检测方法4.宏病毒PE病毒是指所有感染Windows操作系统中PE文件格式的病毒。
PE病毒大多数采用Win 32文件)并把自己的代码加到EXE文件尾部,修改原程序的入口点以指向病毒体,PE病毒没本身没有什么危害,但被感染的文件可能被破坏。
7.1.1 入侵检测方法5.宏病毒脚本病毒通常是用JavaScript或者VBScript 通过网页进行传播,一旦用户运行了带有病毒的给用户使用计算机带来不便。
VBS脚本病毒是使用VBScript编写的,以宏病毒和新欢乐时光病毒为典型代表。
VBS脚本病毒编写简单,破坏力大,感染力强。
这类病毒通传播范围大。
7.1.1 入侵检测方法5.恶意网页病毒网页病毒主要是利用软件或系统操作平台等本标记语言)内的Java Applet小应用程序、JavaScript脚本语言程序或ActiveX控件,强行程序,或非法控制系统资源,盗取用户文件,或恶意删除硬盘文件、格式化硬盘。
入侵检测习题答案
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。
这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。
1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。
图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。
授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。
识别与认证系统识别主体和对象。
审计系统用来记录系统的活动信息。
该模型的实现采用访问控制机制来保证系统安全。
访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。
1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。
图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的功能要求:
实时性要求
可扩展性要求
适应性要求
安全性与可用性要求
有效性要求
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的基本结构
数 据 提 取 数 据 分 析 事 件 响 应
数据
数据
业界将James P. Anderson在1980年发布的那篇《 Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源 1. 将威胁分成外部渗透、内部渗透、不法行为 2. 提出将审计技术应用到对威胁的检测上
第七章 入侵检测技术
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于误用的入侵检测
收集非正常操作的行为特征,建立相关的特征库,也就是所谓 的专家知识库。通过监测用户的或系统行为,将收集到的数据 与预先确定的特征知识库里的各种攻击模式进行比较,如果能 够匹配,则判断有攻击,系统就认为这种行为是入侵。 误用检测能迅速发现已知的攻击,并指出攻击的类型,便于采 取应对措施;用户可以根据自身情况选择所要监控的事件类型 和数量;并且误用检测没有浮点运算,效率较高。 缺点也是显而易见的:由于依赖误用模式库,它只能检测数据 库中己有的攻击,对未知的攻击无能为力。 误用检测中常用的方法有:简单的模式匹配、专家系统和状态 转移法。
(2)安装snort
bash#rpm -ihv --nodeps snort-1.7-1.i386.rpm
2015/11/2
24
第七章 入侵检测技术
7.5 入侵检测系统的性能指标
入侵检测系统的主要相关术语:
警告(Alert/Alarm):用来表示一个系统被攻击者攻击,一般包含从攻击内 容中得到的攻击信息,或者异常事件和统计信息。
1997年,Cisco将网络入侵检测集成到其路由器设备, 入侵检测系统正式进入主流网络安全产品阶段。
2001~2003年之间,防火墙是无法控制和发现蠕虫传 播的,反倒是入侵检测产品可以对这些蠕虫病毒所利用 的攻击代码进行检测,一时间入侵检测名声大振。 2003年GARTNER的一篇《入侵检测已死》的文章,带 来了一个新的概念:入侵防御(IPS)。
误警(False Positive):也成误报,指入侵检测系统对那些良性事件的报警, 这表明IDS的错误报警,太多的误警可能导致正常的报警事件被淹没。
漏警(False Negative):也称漏报,当一个攻击事件已经发生,而入侵检测 系统却没有有效地检测出来,如果漏警太多,或者关键入侵事件的漏报就使入侵 检测系统失去了其存在意义.
入侵检测的技术模型
最早的入侵检测模型由Dorothy Denning在1986年提出。这 个模型与具体系统和具体输入无关,对此后的大部分实用系统都 很有借鉴价值。
审计记录/网络数据包等 特征表更新 规则更新
事件产生器
行为特征模块
规则模块
包含用于计算用户行为特征的所 有变量,执行基于行为的检测
事件
事件
图7.3 通用入侵检测系统的基本结构图
图7.3给出了一个通用的入侵检测系统结构。很多入侵检测系 统还包括界面处理,配置管理等模块。
第七章 入侵检测技术
7.2 PPDR模型及入侵检测系统
入侵检测系统的分类
基于主机的入侵检测系统(HIDS)
运行于被检测的主机之上,通过查询、监听当前 系统的各种资源的使用运行状态,发现系统资源被 非法使用和修改的事件,进行上报和处理。
预处理模块的作用是对当前截获的 数据包进行预先处理,以便后续处 理模块对数据包的处理操作。
二维规则链表匹配
Snort程序流程图 2015/11/2
22
第七章 入侵检测技术
8.4 入侵检测系统Snort
系统组成和处理流程
数据包捕获器 Lib/Winpcap 数据包解码器 Decoder 预处理器 Oreprocessor 检测引擎 Detection Engine 输出插件 Output plug
7.1 入侵检测的基本概念
1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES (入侵检测专家系统),并在1988年开发出一个IDES系 统。 审计数据源 二维检测思想: 基于专家系统的特征检测; 模式匹配器 轮廓特征引擎 (误用检测方向)
从入侵检测分类上来看,属于基于网络和误用的入侵检 测软件; 可以运行在Linux、OpenBSD、FreeBSD、Solaris、 以及其它Unix系统、Windows等操作系统之上;
第七章 入侵检测技术
7.4 常用入侵检测系统介绍
Snort的工作模式
网络嗅探分析仪(Sniffer) IP包日志记录器 网络入侵检测系统
由系统安全策略、入侵模式等组 成,执行基于知识的检测
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于异常检测的入侵检测
任何一种入侵和滥用行为通常与正常的行为存在严重的差异, 通过检查出这些差异就可以检查出入侵。 这种方法主要是建立计算机系统中正常行为的模式库,然后根 据收集到的信息数据,通过某种方法,看是否存在重大偏差, 如果偏差在规定范围之外,则认为发生了入侵行为。 异常检测的一个很大的优点是不需要保存各种攻击特征的数据 库,随着统计数据的增加,检测的准确性会越来越高,可能还 会检测到一些未知的攻击。 但由于用户的行为有很大的不确定性,很难对其行为确定正常 范围,因此门限值的确定也比较困难,出错的概率比较大。同 时,它只能说明系统发生了异常的情况,并不能指出系统遭受 了什么样的攻击,这给系统管理员采取应对措施带来了一定困 难。 异常检测中常用的方法有:量化分析、统计分析和神经网络。
第七章 入侵检测技术
7.4 常用入侵检测系统介绍
Snort
Snort系统是一个以开放源代码(Open Source)形式 发行的网络入侵检测系统,由Martin Roesch编写,并 由遍布世界各地的众多程序员共同维护和升级。
Snort是一个功能强大、跨平台、轻量级的网络入侵检 测系统;
系统组成和处理流程
数据包捕获器 Lib/Winpcap 数据包解码器 Decoder 预处理器 Oreprocessor 检测引擎 Detection Engine 输出插件 Output plug
Snort通过两种机制来实现, 其一是将网卡设置为混杂模式, 另一方式则是利用Libpcap/Winpcap 函数库从网卡捕获网络数据包。
分布式入侵检测系统(DIDS)
典型的DIDS是管理端/传感器结构。NIDS作为传 感器放置在网络的各个地方,并向中央管理平台汇 报情况。 对DIDS来说,传感器可以使用NIDS、HIDS,或 者同时使用,而且传感器有的工作在混杂模式,有 的工作在非混杂模式。
第七章 入侵检测技术
7.3 入侵检测的技术模型
基于统计异常模型的异常检测。 (异常检测方向)
异常检测器
策略规则
警告/报告
图7.1 IDES系统模型
第七章 入侵检测技术
7.1 入侵检测的基本概念
1990年Herberlein等人开发出了第一个真正意义上的 入侵检测系统NSM(Network Security Monitor)。
上世纪90年代中期,商业入侵检测产品初现端倪, 1994年出现了第一台入侵检测产品:ASIM。
2015/11/2 26
第七章 入侵检测技术
7.5 入侵检测系统的性能指标
噪声(Noise):指入侵检测系统生成但又没有真正威胁的报警, 这些报警是正确的,并且也是可疑的,如配置于防火墙之外的入 侵检测系统检测到的扫描事件,可能被防火墙过滤而没有产生扫 描攻击,但是入侵检测系统却检测到并产生报警。 重复报警(Repetitive Alarm): 指入侵检测系统对某一入侵事 件的反复报警,重复报警并不表示入侵检测系统的错误行为,太 多的重复报警也可能使网络管理员产生视觉疲劳,影响对其他攻 击产生适当响应,另外与其他安全技术协同工作也可能产生严重 问题,过多的重复报警可能会产生拒绝服务。
Snort的检测就是二维规则链表和网 络数据匹配的过程,一旦匹配成功 则把检测结果输出到输出插件。
二维规则链表匹配
Snort程序流程图 2015/11/2
输出方式采用输出插件方式,输出 插件使得Snort在向用户提供格式化 输出时更加灵活。
23
第七章 入侵检测技术
SNORT的安装
(1)如何获得snort 从snort的站点http://获得其源代 码或者RPM包。使用源代码安装snort需要libpcap库, 可以从ftp://下载。
– 安装于被保护的主机中
– 主要分析主机内部活动
–占用一定的系统资源
第七章 入侵检测技术
入侵检测的实现方式
基于网络的入侵检测系统(NIDS)
网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的 所有报文,根据协议进行分析,并报告网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中, 只需要在网络的关键点进行部署即可 –混杂模式监听
–分析网段中所有的数据包,对那些基于协议入侵的行为有很好的防范作用
–实时检测和响应 –与主机操作系统无关
2015/11/2 13
第七章 入侵检测技术
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库
N
比较数据
Y
上报事件
网络IDS工作模型
2015/11/2 14