网络安全实验Snort网络入侵检测实验.docVIP

PAGE PAGE 1 . . 遵义师范学院计算机与信息科学学院 实 验 报 告 （2013—2014学年第1 学期 ） 课程名称： 网络安全实验 班 级： 学 号： 姓 名： 任课教师： 计算机与信息科学学院 实 验 报 告 实验名称 Snort网络入侵检测实验 指导教师 实验类型 操作 实验学时 4 实验时间 一、实验目的与要求 （1）进一步学习网络入侵检测原理与技术。 （2）理解Snort网络入侵检测基本原理。 （3）学习和掌握Snort网络入侵检测系统的安装、配置与操作。 （4）学习和掌握如何利用Snort进行网络入侵检测应用。 二、实验仪器和器材 惠普pavilion-G4，corel-i3-2310，内存：4G，虚拟机软件vmware9.0，windows server 2003， Snort_2_9_2_2_Installer，appserv-win32-2.5.10。 Acid，Adodb，Jpgraph，Mysql，PHP，WINPCAP，SNORTRULES。 实验原理、内容及步骤 （一）、实验原理： 入侵检测基本原理： 入侵 检测（Intrusion Detection）是对入侵行为的 检测。它通过收集和分析 网络行为、 安全日志、审计数据、其它 网络上可以获得的 信息以及 计算机系统中若干关键点的信息，检查网络或系统中是否存在违反 安全策略的行为和被攻击的迹象。 入侵 检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在 网络系统受到危害之前 拦截和响应入侵。因此被认为是 防火墙之后的第二道安全闸门，在不影响 网络性能的 情况下能对网络进行监测。 入侵 检测通过执行以下任务来实现： 监视、分析用户及系统活动；系统构造和 弱点的审计；识别反映已知进攻的活动 模式并向相关人士 报警；异常行为 模式的统计分析；评估重要系统和 数据文件的完整性； 操作系统的 审计跟踪管理，并识别用户违反 安全策略的行为。 入侵 检测是 防火墙的合理补充，帮助系统对付 网络攻击，扩展了系统管理员的安全管理能力（包括 安全审计、 监视、进攻识别和响应），提高了 信息安全基础结构的完整性。它从 计算机网络系统中的若干关键点收集 信息，并分析这些信息，看看网络中是否有违反 安全策略的行为和遭到袭击的迹象。 入侵 检测被认为是 防火墙之后的第二道安全 闸门，在不影响网络性能的 情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： · 监视、分析用户及系统活动 · 系统构造和 弱点的审计 · 识别反映已知进攻的活动 模式并向相关人士报警 · 异常行为模式的统计分析 · 评估重要系统和 数据文件的完整性 · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 对一个成功的 入侵检测系统来讲，它不但可使系统管理员时刻了解 网络系统（包括 程序、 文件和 硬件设备等）的任何变更，还能给 网络 安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得 网络安全。而且， 入侵 检测的规模还应根据 网络威胁、系统构造和安全需求的改变而改变。 入侵 检测系统在发现入侵后，会及时作出响应，包括切断 网络连接、记录事件和 报警等。 入侵检测系统所采用的技术可分为特征检测与异常检测两种: 特征 检测(Signature-based detection) 又称Misuse detection ，这一检测假设 入侵者活动可以用一种 模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的 入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何 设计模式既能够表达“ 入侵”现象又不会将正常的活动包含进来。 异常 检测(Anomaly detection) 的假设是 入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“ 入侵”行为。异常 检测的难题在于如何建立“活动简档”以及如何设计 统计算法，从而