【正文】 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來(lái)探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 53* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 54* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 任務(wù) Snort Version 任務(wù) MySQL Database 任務(wù) Win32 MySQL database 任務(wù) MySQL中生成 Acid的庫(kù)表 任務(wù) Snort 任務(wù) Snort設(shè)置成為 windows NT4 Server / 2023 / XP的一項(xiàng)服務(wù) 任務(wù) PHP 任務(wù) PHP運(yùn)行在 NT Server / 2023 / XP的 IIS 4/5環(huán)境下 任務(wù) ADODB — 一個(gè)高性能的數(shù)據(jù)庫(kù) 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 55* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語(yǔ)： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 ？ 簡(jiǎn)述漏洞的危害 。 小結(jié) 2/27/2023 50* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 一 ． 填空 1. 是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán)或異?，F(xiàn)象 。 ?事后檢查 ?定期檢查 ?實(shí)時(shí)檢查 審計(jì)追蹤的實(shí)施 審計(jì)追蹤 2/27/2023 46* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 許多工具是用于從大量粗糙原始的審計(jì)數(shù)據(jù)中精選出 有用信息 。 另一類方法是使用只讀設(shè)備 。 審計(jì)追蹤和日志的類型 審計(jì)追蹤 2/27/2023 42* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) （ eventoriented audit logs） （ 1） 系統(tǒng)級(jí)審計(jì)追蹤 （ 2） 應(yīng)用級(jí)審計(jì)追蹤 （ 3） 用戶審計(jì)追蹤 審計(jì)追蹤和日志的類型 審計(jì)追蹤 2/27/2023 43* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 為了確保審計(jì)追蹤數(shù)據(jù)的可用性和正確性 ， 審計(jì)追蹤 數(shù)據(jù)需要受到保護(hù) ， 如果不對(duì)日志數(shù)據(jù)進(jìn)行及時(shí)審查 ， 規(guī) 劃和實(shí)施 ， 再好的審計(jì)追蹤也會(huì)失去價(jià)值 。 日期和時(shí)間戳可以幫助確定用戶到底是假 冒的還是真實(shí)的 ， 采用標(biāo)準(zhǔn)格式記錄信息 。 審計(jì)追蹤記錄系統(tǒng)活動(dòng) (操作系統(tǒng)和應(yīng)用程序進(jìn) 程 )和用戶活動(dòng) (用戶在操作系統(tǒng)中和應(yīng)用程序中的活動(dòng) )。 ?獲取詳細(xì)信息 ， 將信息傳遞給反饋信息分析整理模塊； ?信息進(jìn)行分析 ， 過濾掉無(wú)用信息 ， 并將有效信息規(guī)則化， 然后存入信息數(shù)據(jù)庫(kù)； ?漏洞數(shù)據(jù)庫(kù)中的相應(yīng)漏洞信息進(jìn)行匹配；如果匹配成功， 則產(chǎn)生報(bào)警信號(hào) ， 同時(shí)給出其他相關(guān)信息 。 漏洞檢測(cè)的結(jié)果實(shí)際上是對(duì)系統(tǒng)安全性能的一個(gè)評(píng)估 ， 指出 了這些攻擊是可能的 ， 因此成為安全方案的一個(gè)重要組成部 分 。 當(dāng) 然這種方法也是建立在對(duì)已知的入侵行為的基礎(chǔ)之上的 ， 對(duì)未知的入侵行為模型識(shí)別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展 。 但尚不 十分成熟 ， 目前還沒有出現(xiàn)較為完善的產(chǎn)品 。 ?網(wǎng)絡(luò)入侵行為不再是單一的行為 ， 而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn) ， 如分布式拒絕服務(wù)攻擊 。 ② 實(shí)時(shí)檢測(cè)和應(yīng)答 。 ?統(tǒng)計(jì)分析 （ 實(shí)時(shí) ） ： 先給系統(tǒng)對(duì)象 （ 用戶 、 文件 、 目錄和 設(shè)備等 ） 創(chuàng)建一個(gè)統(tǒng)計(jì)描述 ， 統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬 性 （ 訪問次數(shù) 、 操作失敗次數(shù) 、 延時(shí) ） 。 入侵檢測(cè)技術(shù) 2/27/2023 6* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) IDS分類 根據(jù)檢測(cè)系統(tǒng)所分析的原始數(shù)據(jù)不同，將入侵檢測(cè)分為 來(lái)自 系統(tǒng)日志 和 網(wǎng)絡(luò)數(shù)據(jù)包 兩種。 入侵檢測(cè)技術(shù) 2/27/2023 4* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)定義 ?入侵檢測(cè) （ Intrusion Detection） 是檢測(cè)和識(shí)別系統(tǒng)中未授權(quán) 或 異?，F(xiàn)象 ， 利用審計(jì)記錄 ， 入侵檢測(cè)系統(tǒng)應(yīng)能識(shí)別出任何不希望有的活動(dòng) ， 這就要求對(duì)不希望的活動(dòng)加以限定 ， 一旦當(dāng)它們出現(xiàn)就能自動(dòng)地檢測(cè) 。 給出了入侵檢測(cè)系統(tǒng)現(xiàn)成實(shí)現(xiàn)模式 。 入侵檢測(cè)是防火墻的合理補(bǔ)充 ， 幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻 擊 ， 擴(kuò)展了系統(tǒng)管理員的安全管理能力 （ 包括安全審計(jì) 、 監(jiān)視 、 進(jìn)攻識(shí)別和響應(yīng) ） ， 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完 整性 。 入侵檢測(cè)技術(shù) 2/27/2023 5* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) IDS分類 按具體的檢測(cè)方法 ， 將檢測(cè)系統(tǒng)分為基于行為的和基于 知識(shí)的兩類 。 入侵檢測(cè)技術(shù) 2/27/2023 8* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 入侵檢測(cè)技術(shù) 數(shù)據(jù)源 操作員 傳感器 管理器 分析器 管理員 活動(dòng) 事件 報(bào)警 安全策略 通告 響應(yīng) 通用入侵檢測(cè)框架（ CIDF） 2/27/2023 9* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 入侵檢測(cè)技術(shù) 報(bào)警 攻擊模式庫(kù) 配置系統(tǒng)庫(kù) 入侵分析引擎 響應(yīng)處理 數(shù)據(jù)采集 安全控制 主機(jī)系統(tǒng) 系統(tǒng)操作 審計(jì)記錄 /協(xié)議數(shù)據(jù) 簡(jiǎn)單的入侵檢測(cè)系統(tǒng) 2/27/2023 10* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 在網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn) （ 網(wǎng)段和主機(jī) ） 。 2/27/2023 14* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 分析結(jié)果 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 分析引擎模塊 管理 /配置模塊 網(wǎng)絡(luò)安全 數(shù)據(jù)庫(kù) 采集模塊 采集模塊 利用網(wǎng)絡(luò)適配器 來(lái)實(shí)時(shí)監(jiān)視和分析所 有通過網(wǎng)絡(luò)進(jìn)行傳輸 的通