- 1、本文档共54页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 信息安全技术_第6章 入侵检测系统 Windows 操作系统审计结构 事件日志 用户模式 核心模式 审计策略 审计记录 安全账户库 事件记录器EL 安全参考 监视器 SRM 对象访问 进程跟踪 特权使用 文件系统 审计日志 审计策略库 策略更改 登录事件 账户登录 审计线程 本地安全认证LSA 安全账户 管理SAM 信息安全技术_第6章 入侵检测系统 Windows 操作系统事件日志 Windows事件日志 安全事件日志 操作系统事件日志 应用事件日志 记录用户登录、系统资源使用等与系统安全相关的事件,对用户不开放 记录操作系统组件的事件,对所有用 户开放 记录应用程序产生的事件,对所有用户开放 信息安全技术_第6章 入侵检测系统 网络审计数据 主机审计数据源:操作系统审计记录、系统日志、应用日志和系统调用跟踪; 网络审计数据源指通过网络监听获取的数据; 网络数据是网络入侵检测系统使用的主要审计数据源。 信息安全技术_第6章 入侵检测系统 网络数据协议解析过程 网络连接记录 网络检测模型 工作站 工作站 集线器 服务器 服务器 局域网 通用网关 数据包输出格式 机器学习 10:35:41.504694 1.0.256.256.7000 2.0.256.256.7001: udp 148 10:35:41.517993 2.0.256.256.1362 5.0.256.256.25: . ack 1 win 4096 10:35:41.583895 2.0.256.256.25 13.0.256.256.2845: . ack 46 win 4096 10:35:41 1.0.256.256 2.0.256.256 udp 148 SF 10:35:41 2.0.256.256 5.0.256.256 smtp 88 SF Internet 信息安全技术_第6章 入侵检测系统 网络入侵检测系统 Snort Snort是基于误用检测的网络入侵检测系统开放源码软件; 采用规则匹配检测网络分组是否违反了事先配置的安全策略; 安装在一台主机上可以监测整个共享网段; 发现入侵和探测行为,具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警方式; Snort不仅能够检测各种网络攻击,还具有网络分组采集、分析和日志记录功能。 信息安全技术_第6章 入侵检测系统 Snort 系统组成 Snort主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成; 协议分析器的任务是对协议栈上的分组进行协议解析; 入侵检测引擎根据规则文件匹配分组特征; 日志记录将解析后的分组以文本或Tcpdump二进制格式记录到日志文件; 文本格式便于分组分析; 二进制格式提高记录速度。 信息安全技术_第6章 入侵检测系统 报警信息与报警文件 报警信息可以发送到系统日志; 也可以采用文本或Tcpdump二进制格式发送到报警文件; 也容许选择关闭报警操作; 记录到报警文件的报警信息有完全和快速两种方式; 完全报警记录分组首部所有字段信息和报警信息; 而快速报警只记录分组首部部分字段信息。 信息安全技术_第6章 入侵检测系统 Win32 snort-2_0_0.exe安装 双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹; 其中包含bin、etc、log、rules、doc、contrib文件夹和snort-2_0_0.exe卸载程序Uninstall.exe; bin文件夹保存snort.exe可执行程序; snort配置文件snort.conf位于etc; 日志文件和报警文件位于log; 各类规则检测文件位于rules;snort使用手册位于doc; contrib为snort支持者提供的各种辅助应用文件。 信息安全技术_第6章 入侵检测系统 Snort 配置 在使用snort之前,需要根据保护网络环境和安全策略对snort进行配置; 主要包括网络变量、预处理器、输出插件及规则集配置,位于etc的snort配置文件snort.conf可用任意文本编辑器打开; 用文本编辑器打开Snort\etc\snort.conf文件; 找到“var HOME_NET any”,将any更换成自己机器所在子网的CIDR地址. 信息安全技术_第6章 入侵检测系统 Snort 配置 例如,假设本机IP地址为23; 将“var HOME_NE
您可能关注的文档
最近下载
- 减震器说明书.doc
- 饮料浓浆 团体标准.docx VIP
- 必威体育精装版中小学教师高级职称晋升初中语文学科讲课答辩真题汇编(附答案详解).pdf
- 电解质饮料 团体标准.docx VIP
- 东风雪铁龙C5汽车使用手册用户说明书pdf电子版下载.pdf
- CVP监测危重患者液体管理.ppt VIP
- 六年级数学分数混合运算专项练习题.pdf VIP
- 小学二年级上册道德与法制 道法 备课 学历案.docx VIP
- 基于“双高”背景下高职院校一流师资队伍建设的思考-来源:现代职业教育(高职高专)(第2020030期)-山西教育教辅传媒集团有限责任公司.pdf VIP
- 第二届全国数字化机房安装技能竞赛(电气设备安装工赛项)考试题库资料-下(多选、判断题汇总).pdf
文档评论(0)