【正文】 審計(jì)記錄 /協(xié)議數(shù)據(jù) 檢測(cè)的目標(biāo) 主要是主機(jī)系統(tǒng) 和系統(tǒng)本地用戶。 比較有名的成果是 通用入 侵檢測(cè)框架 （ CIDF） 和入侵檢測(cè)交換格式 （ IDEF） 。 一個(gè)完備的入侵檢測(cè)系統(tǒng) (IDS)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng) 。 2/27/2023 3* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一 。 通過本章的學(xué)習(xí) ， 使學(xué)員： （ 1） 理解入侵檢測(cè)的概念 、 分類 、 基本方法； （ 2） 理解入侵響應(yīng) 、 審計(jì)追蹤技術(shù)； （ 3） 理解漏洞掃描技術(shù)； （ 4） 掌握 Snort入侵檢測(cè)工具的使用 。 ?IDS可分為兩種： 基于主機(jī)的 IDS和 基于網(wǎng)絡(luò)的 IDS。 因此 ， 對(duì)于入侵檢測(cè)框 架的研究國(guó)內(nèi)外專家都十分重視 。 ?完整性分析 (事后 )： 關(guān)注文件和目錄的內(nèi)容及屬性 ， 發(fā)現(xiàn) 被更改的或被特洛伊木馬化的應(yīng)用程序 。 ③ 隱蔽性好 。 ?網(wǎng)絡(luò)速度傳輸加快 ， 網(wǎng)絡(luò)流量大 ， 原始數(shù)據(jù)的集中處理方式往往造成檢測(cè)瓶頸 ， 從而導(dǎo)致漏檢 。 實(shí)現(xiàn)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問題 ， 應(yīng)當(dāng) 能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充 和修正 。 綜合運(yùn)用這些方法才能有效地檢測(cè)出入侵者的非法 行為 。 漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例 漏洞檢測(cè)技術(shù) 2/27/2023 31* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 該系統(tǒng)大體上可分為兩大模塊： ?外部掃描模塊 功能和特點(diǎn)是 ， 模擬黑客攻擊的部分過程在網(wǎng)絡(luò)上進(jìn)行掃描 ， 把掃描得到的信息進(jìn)行綜合分析， 再結(jié)合不斷更新的漏洞數(shù)據(jù)庫(kù)來發(fā)現(xiàn)網(wǎng)絡(luò)上存在的隱患； ?內(nèi)部掃描模塊 功能和特點(diǎn)是 ， 模擬系統(tǒng)管理員從主機(jī)內(nèi)部進(jìn)行掃描 ， 檢查一切和網(wǎng)絡(luò)安全有關(guān)的配置是否正確 ， 進(jìn)而從內(nèi)部清除隱患 。 ?當(dāng)內(nèi)部掃描被選擇以后 ， 內(nèi)部掃描模塊啟動(dòng) ． 主機(jī)登錄用戶掃描模塊 、 主機(jī)登錄密碼文件掃描模塊 、 基于信任機(jī)制的隱患掃描模塊 、 網(wǎng)絡(luò)服務(wù)的內(nèi)部掃描模塊和網(wǎng)絡(luò)應(yīng)用軟件掃描模塊并發(fā)執(zhí)行 。 審計(jì)追蹤即是 正常系統(tǒng)操作的一種支持 (例如系統(tǒng) 中斷 )， 也是 一種安全策略 ， 用于幫助系統(tǒng)管理員確保系統(tǒng) 及其資源免遭黑客 、 內(nèi)部使用者或技術(shù)故障的傷害 。 擊鍵監(jiān)控通常被認(rèn)為是審計(jì)追 蹤的一種特殊應(yīng)用 。 系統(tǒng)管理員應(yīng)該根據(jù)計(jì)算機(jī)安全 管理的要求確定需要維護(hù)多長(zhǎng)時(shí)間的審計(jì)追蹤數(shù)據(jù) ， 其中 包括系統(tǒng)內(nèi)保存和歸檔保存的數(shù)據(jù) 。 使用強(qiáng)訪問控制是保護(hù)審計(jì)追蹤記錄免受非法訪問的有效措施 。 使用自動(dòng)化工 具就是從審計(jì)信息中將無用的信息剔除 。 ， 內(nèi)容包括系統(tǒng) 、 網(wǎng)絡(luò) 、 數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 完成這一實(shí)驗(yàn)之后 ， 將能夠：安裝“ snort” 服務(wù) 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 57* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語(yǔ)： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 使用 “ snort” 服務(wù) 。 完成這一實(shí)驗(yàn)之后 ， 將能夠：安裝“ snort” 服務(wù) 。 ？ 。 按檢測(cè)的監(jiān) 控位置劃分 ， 將入侵檢測(cè)系統(tǒng)分為三大類別 ， 即基于主 機(jī)的檢測(cè)系統(tǒng) 、 基于網(wǎng)絡(luò)的檢測(cè)系統(tǒng)和分布式檢測(cè)系統(tǒng) ， 并對(duì)各類別的結(jié)構(gòu)及其特點(diǎn)進(jìn)行了概括 。 他 們應(yīng)該知道怎么算是正?；顒?dòng) 。 ?防止非法修改以確保審計(jì)追蹤數(shù)據(jù) 。 擊鍵監(jiān)控致力于保護(hù)系統(tǒng)和數(shù) 據(jù)免遭非法入侵和合法用戶的濫用 。 審計(jì)追蹤應(yīng)該包括足夠的信息 ， 以確定事件的內(nèi)容和 引起事件的因素 。 該記錄按事件從始 至終的途徑 ， 順序檢查 、 審查和檢驗(yàn)每個(gè)事件的環(huán)境及活 動(dòng) 。 ?啟動(dòng)外部掃描模塊 。 ?被動(dòng)式策略是基于主機(jī)的檢測(cè) ， 對(duì)系統(tǒng)中不合適的設(shè)置 、 脆弱的口令以及其他同安全策略相抵觸的對(duì)象進(jìn)行檢查； ?主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測(cè) ， 通過執(zhí)行一些腳本文件 對(duì)系統(tǒng)進(jìn)行攻擊 。 這類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的 ， 而對(duì)系統(tǒng)的最危險(xiǎn)的威脅則主要是來自未知的安全漏洞 。 例如 ， 統(tǒng)計(jì)系統(tǒng)會(huì)記錄 CPU的使用時(shí)間 、 I/O的使用通 道和頻率 、 常用目錄的建立與刪除 、 文件的讀些 、 修改 、 刪除 、 以及用戶習(xí)慣使用的編輯器和編譯器 、 最常用的系 統(tǒng)調(diào)用 、 用戶 ID的存取 、 文件和目錄的使用 。 基于網(wǎng)絡(luò)的 IDS并不依賴主機(jī)的操作系 統(tǒng)作為檢測(cè)資源 。一旦檢測(cè)到 攻擊， IDS相應(yīng)模塊 通過通知、報(bào)警以及 中斷連接等方式來對(duì) 攻擊做出反應(yīng)。 收集 系統(tǒng) 、 網(wǎng)絡(luò) 、 數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為信息 。 ?基于行為的檢測(cè)也被稱為 異常檢測(cè) 。 它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息 、 分 析信息 ， 查看是否有違反安全策略的行為和遭到襲擊的跡 象 。第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 信息安全 2/27/2023 1* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 本章主要內(nèi)容 入侵檢測(cè)技術(shù) 漏洞檢測(cè)技術(shù) 審計(jì)追蹤 2/27/2023 2* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 本章學(xué)習(xí)目標(biāo) 本章重點(diǎn)介紹入侵檢測(cè)的概念 、 分類 、 基本方法；入侵響應(yīng) 、 審計(jì)追蹤技術(shù)；漏洞掃描技術(shù)的概念 。 入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全防線 ， 提 供對(duì)內(nèi)部攻擊 、 外部攻擊和誤操作的實(shí)時(shí)保護(hù) 。 ?基于知識(shí)的檢測(cè)也被稱為 誤用檢測(cè) 。 入侵檢測(cè) 可以利用的分析數(shù)據(jù)信息： （ 1） 網(wǎng)絡(luò)和系統(tǒng)日志文件