第8单元网络信息安全.pptVIP

　　(7) Snort还有很强的系统防护能力。如可以用IPTables和IPFilter插件使入侵检测主机与防火墙联动，通过FlexResp功能，Snort能够命令防火墙主动断开恶意连接。 　　(8) 扩展性能较好，对于新的攻击威胁反应迅速。作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言(很多商用入侵检测系统都兼容Snort的规则语言)。最简单的规则语言包含四个域(处理动作、协议、方向和端口)。例如Log Tcp Any Any - /24 80。 (9) Snort支持插件。Snort支持的插件包括数据库日志输出插件、破碎数据包检测插件、端口扫描检测插件、HTTP URI插件和XML网页生成插件等。 总之，对于世界上各安全组织来讲，Snort入侵检测都是一个优秀入侵检测系统的标准。通过研究它，我们可以学到入侵检测系统的内部框架及工作流程(也包括同类型的商业入侵检测系统的框架及工作流程)。 　　2．安装使用 　　Snort是由Martin Roesch编写的，可以从/下载。该网站除了提供源码下载外还提供适用于常用平台的二进制版本。但在下载和安装Snort之前，请先在UNIX平台安装捕获数据包libpcap，而在Win平台需要先安装winpcap。 　　安装Snort很简单，如同安装其他典型的UNIX工具一样，安装步骤包括./configure，接下来是make，最后用make install安装所有的Snort文件。此时，你还没有完全做好准备运行Snort，在运行Snort之前，先创建它的规则配置文件。Win平台可直接运行Snort的二进制安装包。 * 第8章 入侵检测技术 第8章 入侵检测技术 8.1 概述 8.2 IDS功能与模型 8.3 IDS技术原理 8.4 IDS的局限性 8.5 Snort 8.6 蜜罐技术 习题 8.1 概 述 　　IDS是入侵检测系统(Intrusion Detection System)的缩写，它通过对计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。 　　Anderson在1980年首次引入了入侵检测的概念。他定义入侵检测就是发现入侵企图或潜在的可能会导致非认证存取和操纵信息或导致系统不可靠和不可用的技术。从这以后，检测入侵的技术得到了广泛的研究。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。IDS是一个识别认证用户滥用和非认证用户使用网络或计算机资源行为的系统。入侵检测技术是基于这样一个假设：入侵行为与正常的行为相比有显著的不同，因而是可以被侦测到的。 　　在实际应用环境中，入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，包括安全审计监视、入侵识别和响应，提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的另一道安全闸门。在不影响网络性能的情况下，IDS能对网络进行监测，从而提供对内部攻击、外部攻击和误操作进行实时监控。入侵检测也是保障系统动态安全的核心技术之一。 8.2 IDS功能与模型 　　1．入侵检测系统的功能 　　入侵检测系统作为一种积极的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用： 　　(1) 通过检测和记录网络中的安全违规行为，追踪网络犯罪，防止网络入侵事件的发生。 　　(2) 检测其他安全措施未能阻止的攻击或安全违规行为。 　　(3) 检测黑客在攻击前的探测行为，预先给管理员发出警报。 　　(4) 报告计算机系统或网络中存在的安全威胁。 　　(5) 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。 　　(6) 在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。 　　2．IDS系统一般模型与框架 　　Dennying于1987年提出经典的入侵检测一般模型，如图8-1所示。该模型由以下6个主要部分构成： 　　(1) 主体(Subjects)是指目标系统上活动的实体，如用户。 　　(2) 客体(Objects)是指系统资源，如文件、设备和命令等。 　　(3) 审计记录(Audit records)由Subject、Action、Object、Exception-Condition、Resource-Usage和Time-Stamp构成的六元组。动作(