【正文】 使用 “ snort” 服務(wù) 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 5. IDS的物理實(shí)現(xiàn)方式不同 ， 按檢測(cè)的監(jiān)控位置劃分 ， 入侵檢測(cè)系統(tǒng)可分為基于 、 基于 和基于 。 審計(jì)追蹤的實(shí)施 審計(jì)追蹤 2/27/2023 45* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 審計(jì)追蹤的審查和分析可以分為在事后檢查 、 定期檢 查或?qū)崟r(shí)檢查 。 有些系統(tǒng)維護(hù)功能會(huì)記錄用戶的擊鍵 。 而網(wǎng)絡(luò)應(yīng)用軟件掃描模塊則進(jìn)一步給出漏洞的補(bǔ)丁程序的標(biāo)號(hào) 、 位置等 ， 這一點(diǎn)與外部掃描模塊相似 。 這些大致上可以分為 以下幾類 。 2/27/2023 18* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 格式化數(shù)據(jù) 模型 格式化數(shù)據(jù) 模型 格式化數(shù)據(jù) 數(shù)據(jù)倉庫 傳感器 檢測(cè)器 原始數(shù)據(jù) 自適應(yīng) 模型 產(chǎn)生器 2/27/2023 19* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè) 。 2/27/2023 13* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)技術(shù) 審計(jì)記錄收集方法 異常檢測(cè) 誤用檢測(cè) 安全管理員接口 審計(jì)記錄數(shù)據(jù)庫 審計(jì)記錄數(shù)據(jù) 歸檔 /查詢 目標(biāo)系統(tǒng) 審計(jì)記錄預(yù)處理 在需要保護(hù) 的主機(jī)（端系統(tǒng)） 上運(yùn)行代理程序， 根據(jù)主機(jī)的審計(jì) 數(shù)據(jù)和系統(tǒng)的日 志發(fā)現(xiàn)可疑事件， 從而實(shí)現(xiàn)監(jiān)控。 ?利用最新的可適應(yīng)網(wǎng)絡(luò)安全技術(shù)和 P2DR（ Policy ， Protection， Detection， Response） 安全模型 ， 已經(jīng)可以深入地研究入侵事件 、 入侵手段本身及被入侵目標(biāo)的漏洞等 。 最后介紹了入侵檢測(cè)工具Snort的安裝與配置 。 入侵檢測(cè)技術(shù) 系統(tǒng)日志 網(wǎng)絡(luò)數(shù)據(jù)包 異常檢測(cè) 誤用檢測(cè) 報(bào)警 報(bào)警并做出相應(yīng)措施 實(shí)時(shí)檢測(cè) 周期性檢測(cè) 原始數(shù)據(jù) 檢測(cè)原理 兩類檢測(cè)的關(guān)系 2/27/2023 7* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 入侵檢測(cè)系統(tǒng)基本原理 對(duì)安全事件的檢測(cè)包括大量復(fù)雜的步驟 ， 涉及到很多系 統(tǒng) ， 任何單一技術(shù)很難提供完備的檢測(cè)能力 ， 需要綜合多個(gè) 檢測(cè)系統(tǒng)以達(dá)到盡量完備檢測(cè)能力 。 一旦發(fā)生惡意訪問或攻擊 ， 能夠更快 地做出反應(yīng) ， 將入侵活動(dòng)對(duì)系統(tǒng)的破壞減到最低 。 入侵檢測(cè)技術(shù) 入侵檢測(cè)的基本方法 2/27/2023 21* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)形成的一套推理 規(guī)則 ， 建立相應(yīng)的專家系統(tǒng) ， 自動(dòng)進(jìn)行對(duì)所涉及的入侵行 為進(jìn)行分析 。 漏洞檢測(cè)技術(shù)分類 漏洞檢測(cè)技術(shù) 2/27/2023 29* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) （ 1） 檢測(cè)分析的位置 （ 2） 報(bào)告與安裝 （ 3） 檢測(cè)后的解決方案 （ 4） 檢測(cè)系統(tǒng)本身的完整性 漏洞檢測(cè)的特點(diǎn) 漏洞檢測(cè)技術(shù) 2/27/2023 30* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 該網(wǎng)絡(luò)漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)目標(biāo)是使得在攻擊者入侵 之前 ， 能夠幫助系統(tǒng)管理員主動(dòng)對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行安全 測(cè)試 ， 根據(jù)當(dāng)前 Inter上或軟件公司公布的系統(tǒng)中的漏 洞及時(shí)下載安裝各種補(bǔ)丁程序 ， 以便提高網(wǎng)絡(luò)系統(tǒng)抵抗攻 擊的能力 。 借助適當(dāng)?shù)墓ぞ吆鸵?guī)程 ， 審計(jì)追蹤可以發(fā)現(xiàn)違反安全策略 的活動(dòng) 、 影響運(yùn)行效率的問題以及程序中的錯(cuò)誤 。 審計(jì)追蹤應(yīng)該 根據(jù)需要 （ 如經(jīng)常由安全事件觸發(fā) ） 定期審查 、 自動(dòng)實(shí)時(shí) 審查 、 或兩者兼而有之 。 尤其是在大系統(tǒng)中 ， 審計(jì)追蹤軟件產(chǎn)生的數(shù)據(jù) 文件非常龐大 ， 用人工方式分析非常困難 。 ？ ？ 審計(jì)追蹤 2/27/2023 52* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 使用 “ snort” 服務(wù) 。 最后介紹 在 Windows2023上配置 snort入侵檢測(cè)系統(tǒng)的方法 。 使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑 。 通常 ， 事件記錄應(yīng)該列有事件發(fā)生的時(shí) 間 、 和事件有關(guān)的用戶識(shí)別碼 、 啟動(dòng)事件的程序或命令以 及事件的結(jié)果 。 掃描整個(gè)網(wǎng)段 ， 獲取本網(wǎng)段內(nèi)的主機(jī)信息 （ 包括使用的操作系統(tǒng) 、 IP地址 、 打開的端口號(hào)及各個(gè)端口所提供的服務(wù) ） 。 入侵檢測(cè)技術(shù) 入侵檢測(cè)的基本方法 2/27/2023 23* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行程序的某些行為特征 建立一種入侵行為模型；根據(jù)這種行為模型所代表的入侵 意圖的行為特征來判斷用戶的操作是否屬于入侵行為 。 入侵檢測(cè)技術(shù) 2/27/2023 16* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 分布式入侵檢測(cè)系統(tǒng)產(chǎn)生的原因情況： ?系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上 ， 這些弱點(diǎn)有可能被入侵者一起用來攻擊網(wǎng)絡(luò) ， 而僅僅依靠一個(gè)主機(jī)或網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)難以發(fā)現(xiàn)入侵行為 。 入侵檢測(cè) 可以利用的分析數(shù)據(jù)信息： （ 1） 網(wǎng)絡(luò)和系統(tǒng)日志文件 （ 2） 目錄和文件中的不期望的改變 （ 3） 程序執(zhí)行中的不期望行為 （ 4） 物理形式的入侵信息 （ 5） 其他信息 入侵檢測(cè)技術(shù) 2/27/2023 11* 第