第6章入侵检测系统剖析.ppt

  1. 1、本文档共54页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全技术_第6章 入侵检测系统 Windows 操作系统审计结构 事件日志 用户模式 核心模式 审计策略 审计记录 安全账户库 事件记录器EL 安全参考 监视器 SRM 对象访问 进程跟踪 特权使用 文件系统 审计日志 审计策略库 策略更改 登录事件 账户登录 审计线程 本地安全认证LSA 安全账户 管理SAM 信息安全技术_第6章 入侵检测系统 Windows 操作系统事件日志 Windows事件日志 安全事件日志 操作系统事件日志 应用事件日志 记录用户登录、系统资源使用等与系统安全相关的事件,对用户不开放 记录操作系统组件的事件,对所有用 户开放 记录应用程序产生的事件,对所有用户开放 信息安全技术_第6章 入侵检测系统 网络审计数据 主机审计数据源:操作系统审计记录、系统日志、应用日志和系统调用跟踪; 网络审计数据源指通过网络监听获取的数据; 网络数据是网络入侵检测系统使用的主要审计数据源。 信息安全技术_第6章 入侵检测系统 网络数据协议解析过程 网络连接记录 网络检测模型 工作站 工作站 集线器 服务器 服务器 局域网 通用网关 数据包输出格式 机器学习 10:35:41.504694 1.0.256.256.7000 2.0.256.256.7001: udp 148 10:35:41.517993 2.0.256.256.1362 5.0.256.256.25: . ack 1 win 4096 10:35:41.583895 2.0.256.256.25 13.0.256.256.2845: . ack 46 win 4096 10:35:41 1.0.256.256 2.0.256.256 udp 148 SF 10:35:41 2.0.256.256 5.0.256.256 smtp 88 SF Internet 信息安全技术_第6章 入侵检测系统 网络入侵检测系统 Snort Snort是基于误用检测的网络入侵检测系统开放源码软件; 采用规则匹配检测网络分组是否违反了事先配置的安全策略; 安装在一台主机上可以监测整个共享网段; 发现入侵和探测行为,具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警方式; Snort不仅能够检测各种网络攻击,还具有网络分组采集、分析和日志记录功能。 信息安全技术_第6章 入侵检测系统 Snort 系统组成 Snort主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成; 协议分析器的任务是对协议栈上的分组进行协议解析; 入侵检测引擎根据规则文件匹配分组特征; 日志记录将解析后的分组以文本或Tcpdump二进制格式记录到日志文件; 文本格式便于分组分析; 二进制格式提高记录速度。 信息安全技术_第6章 入侵检测系统 报警信息与报警文件 报警信息可以发送到系统日志; 也可以采用文本或Tcpdump二进制格式发送到报警文件; 也容许选择关闭报警操作; 记录到报警文件的报警信息有完全和快速两种方式; 完全报警记录分组首部所有字段信息和报警信息; 而快速报警只记录分组首部部分字段信息。 信息安全技术_第6章 入侵检测系统 Win32 snort-2_0_0.exe安装 双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹; 其中包含bin、etc、log、rules、doc、contrib文件夹和snort-2_0_0.exe卸载程序Uninstall.exe; bin文件夹保存snort.exe可执行程序; snort配置文件snort.conf位于etc; 日志文件和报警文件位于log; 各类规则检测文件位于rules;snort使用手册位于doc; contrib为snort支持者提供的各种辅助应用文件。 信息安全技术_第6章 入侵检测系统 Snort 配置 在使用snort之前,需要根据保护网络环境和安全策略对snort进行配置; 主要包括网络变量、预处理器、输出插件及规则集配置,位于etc的snort配置文件snort.conf可用任意文本编辑器打开; 用文本编辑器打开Snort\etc\snort.conf文件; 找到“var HOME_NET any”,将any更换成自己机器所在子网的CIDR地址. 信息安全技术_第6章 入侵检测系统 Snort 配置 例如,假设本机IP地址为23; 将“var HOME_NE

文档评论(0)

花仙子 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档