【正文】 （ 2） 目錄和文件中的不期望的改變 （ 3） 程序執(zhí)行中的不期望行為 （ 4） 物理形式的入侵信息 （ 5） 其他信息 入侵檢測(cè)技術(shù) 2/27/2023 11* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 通過三種技術(shù)手段進(jìn)行分析： ?模式匹配 （ 實(shí)時(shí) ） ： 將收集到的信息與已知網(wǎng)絡(luò)入侵和系 統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較 ， 而發(fā)現(xiàn)違背安全策略的行為 。 2/27/2023 15* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 優(yōu)點(diǎn)： ① 檢測(cè)的范圍是整個(gè)網(wǎng)段 ， 而不僅僅是被保護(hù)的主機(jī) 。 入侵檢測(cè)技術(shù) 2/27/2023 16* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 分布式入侵檢測(cè)系統(tǒng)產(chǎn)生的原因情況： ?系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上 ， 這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò) ， 而僅僅依靠一個(gè)主機(jī)或網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)難以發(fā)現(xiàn)入侵行為 。 入侵檢測(cè)技術(shù) 入侵檢測(cè)的基本方法 2/27/2023 20* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來進(jìn)行入侵檢測(cè)的 ， 因 此 ， 這種方法對(duì)于用戶行為具有學(xué)習(xí)和自適應(yīng)性 ， 能夠根 據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出判斷 。 入侵檢測(cè)技術(shù) 入侵檢測(cè)的基本方法 2/27/2023 23* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行程序的某些行為特征 建立一種入侵行為模型；根據(jù)這種行為模型所代表的入侵 意圖的行為特征來判斷用戶的操作是否屬于入侵行為 。 并記錄它的反應(yīng) ， 從而發(fā)現(xiàn)其中的漏洞 。 掃描整個(gè)網(wǎng)段 ， 獲取本網(wǎng)段內(nèi)的主機(jī)信息 （ 包括使用的操作系統(tǒng) 、 IP地址 、 打開的端口號(hào)及各個(gè)端口所提供的服務(wù) ） 。 通過書面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持職 能的實(shí)現(xiàn) 。 通常 ， 事件記錄應(yīng)該列有事件發(fā)生的時(shí) 間 、 和事件有關(guān)的用戶識(shí)別碼 、 啟動(dòng)事件的程序或命令以 及事件的結(jié)果 。 入侵者的擊鍵記錄可 以協(xié)助管理員評(píng)估和修復(fù)入侵造成的損失 。 使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑 。 如果可以通過用戶識(shí)別碼 、 終端識(shí)別碼 、 應(yīng)用程序名 、 日期時(shí)間或其它參數(shù)組來檢 索審計(jì)追蹤記錄并生成所需的報(bào)告 ， 那么審計(jì)追蹤檢查就 會(huì)比較容易 。 最后介紹 在 Windows2023上配置 snort入侵檢測(cè)系統(tǒng)的方法 。 。 使用 “ snort” 服務(wù) 。 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 56* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 ？ ？ 審計(jì)追蹤 2/27/2023 52* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 ： 、 、 、 。 尤其是在大系統(tǒng)中 ， 審計(jì)追蹤軟件產(chǎn)生的數(shù)據(jù) 文件非常龐大 ， 用人工方式分析非常困難 。入侵者會(huì)試圖修改審計(jì)追蹤記錄以掩蓋自己的蹤跡是審計(jì)追蹤文件需要保護(hù)的原因之一 。 審計(jì)追蹤應(yīng)該 根據(jù)需要 （ 如經(jīng)常由安全事件觸發(fā) ） 定期審查 、 自動(dòng)實(shí)時(shí) 審查 、 或兩者兼而有之 。 審計(jì)追蹤和日志的類型 審計(jì)追蹤 2/27/2023 40* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 審計(jì)追蹤和日志的類型 審計(jì)追蹤 格 式 例 主體 某人 動(dòng)作 寫入文件 目標(biāo) 雇員記錄文件 例外條件 無 資源利用次數(shù) 10 時(shí)戳 0900080199 如記錄信息格式 2/27/2023 41* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) （ keystroke monitoring） 用于對(duì)計(jì)算機(jī)交互過程中的用戶鍵盤輸入和計(jì)算機(jī)的 反應(yīng)數(shù)據(jù)進(jìn)行檢查或記錄 。 借助適當(dāng)?shù)墓ぞ吆鸵?guī)程 ， 審計(jì)追蹤可以發(fā)現(xiàn)違反安全策略 的活動(dòng) 、 影響運(yùn)行效率的問題以及程序中的錯(cuò)誤 。 漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例 漏洞檢測(cè)技術(shù) 2/27/2023 36* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) ?系統(tǒng)啟動(dòng) 。 漏洞檢測(cè)技術(shù)分類 漏洞檢測(cè)技術(shù) 2/27/2023 29* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) （ 1） 檢測(cè)分析的位置 （ 2） 報(bào)告與安裝 （ 3） 檢測(cè)后的解決方案 （ 4） 檢測(cè)系統(tǒng)本身的完整性 漏洞檢測(cè)的特點(diǎn) 漏洞檢測(cè)技術(shù) 2/27/2023 30* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 該網(wǎng)絡(luò)漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)目標(biāo)是使得在攻擊者入侵 之前 ， 能夠幫助系統(tǒng)管理員主動(dòng)對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行安全 測(cè)試 ， 根據(jù)當(dāng)前 Inter上或軟件公司公布的系統(tǒng)中的漏 洞及時(shí)下載安裝各種補(bǔ)丁程序 ， 以便提高網(wǎng)絡(luò)系統(tǒng)抵抗攻 擊的能力 。 上述每一種方法都不能保證準(zhǔn)確地檢測(cè)出變化無窮的 入侵行為 ， 因此在網(wǎng)絡(luò)安全防護(hù)中要充分衡量各種方法的 利弊