【正文】 （ 2） 目錄和文件中的不期望的改變 （ 3） 程序執(zhí)行中的不期望行為 （ 4） 物理形式的入侵信息 （ 5） 其他信息 入侵檢測技術(shù) 2/27/2023 11* 第七章 信息系統(tǒng)安全檢測技術(shù) 入侵檢測系統(tǒng)基本原理 通過三種技術(shù)手段進(jìn)行分析： ?模式匹配 （ 實(shí)時 ） ： 將收集到的信息與已知網(wǎng)絡(luò)入侵和系 統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較 ， 而發(fā)現(xiàn)違背安全策略的行為 。 2/27/2023 15* 第七章 信息系統(tǒng)安全檢測技術(shù) 優(yōu)點(diǎn)： ① 檢測的范圍是整個網(wǎng)段 ， 而不僅僅是被保護(hù)的主機(jī) 。 入侵檢測技術(shù) 2/27/2023 16* 第七章 信息系統(tǒng)安全檢測技術(shù) 分布式入侵檢測系統(tǒng)產(chǎn)生的原因情況： ?系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個主機(jī)上 ， 這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò) ， 而僅僅依靠一個主機(jī)或網(wǎng)絡(luò)入侵檢測系統(tǒng)難以發(fā)現(xiàn)入侵行為 。 入侵檢測技術(shù) 入侵檢測的基本方法 2/27/2023 20* 第七章 信息系統(tǒng)安全檢測技術(shù) 這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測的 ， 因 此 ， 這種方法對于用戶行為具有學(xué)習(xí)和自適應(yīng)性 ， 能夠根 據(jù)實(shí)際檢測到的信息有效地加以處理并做出判斷 。 入侵檢測技術(shù) 入侵檢測的基本方法 2/27/2023 23* 第七章 信息系統(tǒng)安全檢測技術(shù) 根據(jù)入侵者在進(jìn)行入侵時所執(zhí)行程序的某些行為特征 建立一種入侵行為模型；根據(jù)這種行為模型所代表的入侵 意圖的行為特征來判斷用戶的操作是否屬于入侵行為 。 并記錄它的反應(yīng) ， 從而發(fā)現(xiàn)其中的漏洞 。 掃描整個網(wǎng)段 ， 獲取本網(wǎng)段內(nèi)的主機(jī)信息 （ 包括使用的操作系統(tǒng) 、 IP地址 、 打開的端口號及各個端口所提供的服務(wù) ） 。 通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動證據(jù)以支持職 能的實(shí)現(xiàn) 。 通常 ， 事件記錄應(yīng)該列有事件發(fā)生的時 間 、 和事件有關(guān)的用戶識別碼 、 啟動事件的程序或命令以 及事件的結(jié)果 。 入侵者的擊鍵記錄可 以協(xié)助管理員評估和修復(fù)入侵造成的損失 。 使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑 。 如果可以通過用戶識別碼 、 終端識別碼 、 應(yīng)用程序名 、 日期時間或其它參數(shù)組來檢 索審計追蹤記錄并生成所需的報告 ， 那么審計追蹤檢查就 會比較容易 。 最后介紹 在 Windows2023上配置 snort入侵檢測系統(tǒng)的方法 。 。 使用 “ snort” 服務(wù) 。 實(shí)驗(yàn)五：入侵檢測系統(tǒng) snort配置 2/27/2023 56* 第七章 信息系統(tǒng)安全檢測技術(shù) 引語： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運(yùn)行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 它可以完成實(shí)時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測系統(tǒng) （ snort） 。 Snort 可以運(yùn)行在 *nix/Win32 平臺上 。 它可以完成實(shí)時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運(yùn)行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 ？ ？ 審計追蹤 2/27/2023 52* 第七章 信息系統(tǒng)安全檢測技術(shù) 引語： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 ： 、 、 、 。 尤其是在大系統(tǒng)中 ， 審計追蹤軟件產(chǎn)生的數(shù)據(jù) 文件非常龐大 ， 用人工方式分析非常困難 。入侵者會試圖修改審計追蹤記錄以掩蓋自己的蹤跡是審計追蹤文件需要保護(hù)的原因之一 。 審計追蹤應(yīng)該 根據(jù)需要 （ 如經(jīng)常由安全事件觸發(fā) ） 定期審查 、 自動實(shí)時 審查 、 或兩者兼而有之 。 審計追蹤和日志的類型 審計追蹤 2/27/2023 40* 第七章 信息系統(tǒng)安全檢測技術(shù) 審計追蹤和日志的類型 審計追蹤 格 式 例 主體 某人 動作 寫入文件 目標(biāo) 雇員記錄文件 例外條件 無 資源利用次數(shù) 10 時戳 0900080199 如記錄信息格式 2/27/2023 41* 第七章 信息系統(tǒng)安全檢測技術(shù) （ keystroke monitoring） 用于對計算機(jī)交互過程中的用戶鍵盤輸入和計算機(jī)的 反應(yīng)數(shù)據(jù)進(jìn)行檢查或記錄 。 借助適當(dāng)?shù)墓ぞ吆鸵?guī)程 ， 審計追蹤可以發(fā)現(xiàn)違反安全策略 的活動 、 影響運(yùn)行效率的問題以及程序中的錯誤 。 漏洞檢測系統(tǒng)的設(shè)計實(shí)例 漏洞檢測技術(shù) 2/27/2023 36* 第七章 信息系統(tǒng)安全檢測技術(shù) ?系統(tǒng)啟動 。 漏洞檢測技術(shù)分類 漏洞檢測技術(shù) 2/27/2023 29* 第七章 信息系統(tǒng)安全檢測技術(shù) （ 1） 檢測分析的位置 （ 2） 報告與安裝 （ 3） 檢測后的解決方案 （ 4） 檢測系統(tǒng)本身的完整性 漏洞檢測的特點(diǎn) 漏洞檢測技術(shù) 2/27/2023 30* 第七章 信息系統(tǒng)安全檢測技術(shù) 該網(wǎng)絡(luò)漏洞檢測系統(tǒng)的設(shè)計目標(biāo)是使得在攻擊者入侵 之前 ， 能夠幫助系統(tǒng)管理員主動對網(wǎng)絡(luò)上的設(shè)備進(jìn)行安全 測試 ， 根據(jù)當(dāng)前 Inter上或軟件公司公布的系統(tǒng)中的漏 洞及時下載安裝各種補(bǔ)丁程序 ， 以便提高網(wǎng)絡(luò)系統(tǒng)抵抗攻 擊的能力 。 上述每一種方法都不能保證準(zhǔn)確地檢測出變化無窮的 入侵行為 ， 因此在網(wǎng)絡(luò)安全防護(hù)中要充分衡量各種方法的 利弊