【正文】 審計記錄 /協(xié)議數(shù)據(jù) 檢測的目標 主要是主機系統(tǒng) 和系統(tǒng)本地用戶。 比較有名的成果是 通用入 侵檢測框架 （ CIDF） 和入侵檢測交換格式 （ IDEF） 。 一個完備的入侵檢測系統(tǒng) (IDS)一定是基于主機和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植际较到y(tǒng) 。 2/27/2023 3* 第七章 信息系統(tǒng)安全檢測技術(shù) 入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一 。 通過本章的學習 ， 使學員： （ 1） 理解入侵檢測的概念 、 分類 、 基本方法； （ 2） 理解入侵響應(yīng) 、 審計追蹤技術(shù)； （ 3） 理解漏洞掃描技術(shù)； （ 4） 掌握 Snort入侵檢測工具的使用 。 ?IDS可分為兩種： 基于主機的 IDS和 基于網(wǎng)絡(luò)的 IDS。 因此 ， 對于入侵檢測框 架的研究國內(nèi)外專家都十分重視 。 ?完整性分析 (事后 )： 關(guān)注文件和目錄的內(nèi)容及屬性 ， 發(fā)現(xiàn) 被更改的或被特洛伊木馬化的應(yīng)用程序 。 ③ 隱蔽性好 。 ?網(wǎng)絡(luò)速度傳輸加快 ， 網(wǎng)絡(luò)流量大 ， 原始數(shù)據(jù)的集中處理方式往往造成檢測瓶頸 ， 從而導致漏檢 。 實現(xiàn)基于規(guī)則的專家系統(tǒng)是一個知識工程問題 ， 應(yīng)當 能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)則的擴充 和修正 。 綜合運用這些方法才能有效地檢測出入侵者的非法 行為 。 漏洞檢測系統(tǒng)的設(shè)計實例 漏洞檢測技術(shù) 2/27/2023 31* 第七章 信息系統(tǒng)安全檢測技術(shù) 該系統(tǒng)大體上可分為兩大模塊： ?外部掃描模塊 功能和特點是 ， 模擬黑客攻擊的部分過程在網(wǎng)絡(luò)上進行掃描 ， 把掃描得到的信息進行綜合分析， 再結(jié)合不斷更新的漏洞數(shù)據(jù)庫來發(fā)現(xiàn)網(wǎng)絡(luò)上存在的隱患； ?內(nèi)部掃描模塊 功能和特點是 ， 模擬系統(tǒng)管理員從主機內(nèi)部進行掃描 ， 檢查一切和網(wǎng)絡(luò)安全有關(guān)的配置是否正確 ， 進而從內(nèi)部清除隱患 。 ?當內(nèi)部掃描被選擇以后 ， 內(nèi)部掃描模塊啟動 ． 主機登錄用戶掃描模塊 、 主機登錄密碼文件掃描模塊 、 基于信任機制的隱患掃描模塊 、 網(wǎng)絡(luò)服務(wù)的內(nèi)部掃描模塊和網(wǎng)絡(luò)應(yīng)用軟件掃描模塊并發(fā)執(zhí)行 。 審計追蹤即是 正常系統(tǒng)操作的一種支持 (例如系統(tǒng) 中斷 )， 也是 一種安全策略 ， 用于幫助系統(tǒng)管理員確保系統(tǒng) 及其資源免遭黑客 、 內(nèi)部使用者或技術(shù)故障的傷害 。 擊鍵監(jiān)控通常被認為是審計追 蹤的一種特殊應(yīng)用 。 系統(tǒng)管理員應(yīng)該根據(jù)計算機安全 管理的要求確定需要維護多長時間的審計追蹤數(shù)據(jù) ， 其中 包括系統(tǒng)內(nèi)保存和歸檔保存的數(shù)據(jù) 。 使用強訪問控制是保護審計追蹤記錄免受非法訪問的有效措施 。 使用自動化工 具就是從審計信息中將無用的信息剔除 。 ， 內(nèi)容包括系統(tǒng) 、 網(wǎng)絡(luò) 、 數(shù)據(jù)及用戶活動的狀態(tài)和行為 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 它可以完成實時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 Snort 可以運行在 *nix/Win32 平臺上 。 目的： 本實驗在 Win2023 Server環(huán)境安裝與配置入侵檢測系統(tǒng) （ snort） 。 完成這一實驗之后 ， 將能夠：安裝“ snort” 服務(wù) 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 實驗五：入侵檢測系統(tǒng) snort配置 2/27/2023 57* 第七章 信息系統(tǒng)安全檢測技術(shù) 引語： 在這一實驗中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 使用 “ snort” 服務(wù) 。 完成這一實驗之后 ， 將能夠：安裝“ snort” 服務(wù) 。 ？ 。 按檢測的監(jiān) 控位置劃分 ， 將入侵檢測系統(tǒng)分為三大類別 ， 即基于主 機的檢測系統(tǒng) 、 基于網(wǎng)絡(luò)的檢測系統(tǒng)和分布式檢測系統(tǒng) ， 并對各類別的結(jié)構(gòu)及其特點進行了概括 。 他 們應(yīng)該知道怎么算是正常活動 。 ?防止非法修改以確保審計追蹤數(shù)據(jù) 。 擊鍵監(jiān)控致力于保護系統(tǒng)和數(shù) 據(jù)免遭非法入侵和合法用戶的濫用 。 審計追蹤應(yīng)該包括足夠的信息 ， 以確定事件的內(nèi)容和 引起事件的因素 。 該記錄按事件從始 至終的途徑 ， 順序檢查 、 審查和檢驗每個事件的環(huán)境及活 動 。 ?啟動外部掃描模塊 。 ?被動式策略是基于主機的檢測 ， 對系統(tǒng)中不合適的設(shè)置 、 脆弱的口令以及其他同安全策略相抵觸的對象進行檢查； ?主動式策略是基于網(wǎng)絡(luò)的檢測 ， 通過執(zhí)行一些腳本文件 對系統(tǒng)進行攻擊 。 這類系統(tǒng)的基礎(chǔ)的推理規(guī)則一般都是根據(jù)已知的安全漏洞進行安排和策劃的 ， 而對系統(tǒng)的最危險的威脅則主要是來自未知的安全漏洞 。 例如 ， 統(tǒng)計系統(tǒng)會記錄 CPU的使用時間 、 I/O的使用通 道和頻率 、 常用目錄的建立與刪除 、 文件的讀些 、 修改 、 刪除 、 以及用戶習慣使用的編輯器和編譯器 、 最常用的系 統(tǒng)調(diào)用 、 用戶 ID的存取 、 文件和目錄的使用 。 基于網(wǎng)絡(luò)的 IDS并不依賴主機的操作系 統(tǒng)作為檢測資源 。一旦檢測到 攻擊， IDS相應(yīng)模塊 通過通知、報警以及 中斷連接等方式來對 攻擊做出反應(yīng)。 收集 系統(tǒng) 、 網(wǎng)絡(luò) 、 數(shù)據(jù)及用戶活動的狀態(tài)和行為信息 。 ?基于行為的檢測也被稱為 異常檢測 。 它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息 、 分 析信息 ， 查看是否有違反安全策略的行為和遭到襲擊的跡 象 。第七章 信息系統(tǒng)安全檢測技術(shù) 第七章 信息系統(tǒng)安全檢測技術(shù) 信息安全 2/27/2023 1* 第七章 信息系統(tǒng)安全檢測技術(shù) 本章主要內(nèi)容 入侵檢測技術(shù) 漏洞檢測技術(shù) 審計追蹤 2/27/2023 2* 第七章 信息系統(tǒng)安全檢測技術(shù) 本章學習目標 本章重點介紹入侵檢測的概念 、 分類 、 基本方法；入侵響應(yīng) 、 審計追蹤技術(shù)；漏洞掃描技術(shù)的概念 。 入侵檢測被認為是防火墻之后的第二道安全防線 ， 提 供對內(nèi)部攻擊 、 外部攻擊和誤操作的實時保護 。 ?基于知識的檢測也被稱為 誤用檢測 。 入侵檢測 可以利用的分析數(shù)據(jù)信息： （ 1） 網(wǎng)絡(luò)和系統(tǒng)日志文件