- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
入侵检测技术
实验目的
通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。实验具体要求如下:
1.理解入侵检测的作用和原理
2.理解误用检测和异常检测的区别
3.掌握Snort的安装、配置和使用等实用技术
入侵检测概念及其功能
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。
入侵检测的功能主要体现在以下几个方面:
1. 监视并分析用户和系统的活动。
2. 核查系统配置和漏洞。
3. 识别已知的攻击行为并报警。
4. 统计分析异常行为。
5. 评估系统关键资源和数据文件的完整性。
6. 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。
入侵检测的分类
根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。
1. 基于主机的入侵检测系统。
HIDS历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。 HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。
2. 基于网络的入侵检测系统。
NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。
入侵检测系统
1. 入侵检测系统的特点:
入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。
在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前,及时检测到入侵攻击的发生,并进行报警;入侵攻击发生时,入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护;被入侵攻击后,入侵检测系统可以提供详细的攻击信息日志,便于取证分析。
相对于防火墙提供的静态防护而言,入侵检测系统侧重于提供动态实时检测防护,因此防火墙和入侵检测系统的结合,能够给网络带来更全面的防护。
2. 入侵检测系统的实现原理:
入侵检测系统的实现技术可以简单地分为两大类:基于特征的检测和基于异常的检测。
基于特征的检测技术主要包括模式匹配和协议分析两种主要检测方法。模式匹配就是将已知入侵事件悼念到网络入侵和系统误用知识库中,对入侵检测系统悼念的信息和知识库中的规则进行比较,以发现入侵行为。协议分析技术则对数据包进行协议解析后进行分析。这种技术需要首先捕捉数据包,然后对数据包进行解析,包括网络协议分析和命令解析,即使在高负载的调整网络上,也能逐个分析所有的数据包。
基于牲的检测技术只需收集相关的数据,和所维护的知识库规则比较就能进行判断,检测准确率和效率较高。但是,该技术需要不断进行知识库规则的升级以对付不断出现的新攻击手法,而且,它不能检测未知攻击手段。
3. 入侵检测系统的部署原则:
NIDS总的来说包括探测器和控制台两大部分。探测器是专用的硬件设备,负责网络数据流的捕获、分析检测和报警等功能。控制台是管理探测器的工具,它负责接收探测器的检测日志数据,并提供数据查询和报告生成等功能,一个控制台可以管理多个探测器。
HIDS安装在被保护的机器上,在主机系统的审计日志或操作中查找信息源进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性,它一般针对其所在的系统进行检测。
Snort简介及使用原理:
1. Snort是一款免费的NIDS,具有小巧灵便、易于配置、检测效率高等特性,常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的有哪些信誉好的足球投注网站或匹配。Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。
Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。Sno
文档评论(0)