【正文】 實驗五：入侵檢測系統(tǒng) snort配置 。 完成這一實驗之后 ， 將能夠：安裝“ snort”服務(wù) 。 Snort 可以運行在 *nix/Win32 平臺上 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 使用 “ snort”服務(wù) 。 目的： 本實驗在 Win2022 Server環(huán)境安裝與配置入侵檢測系統(tǒng) （ snort） 。 它可以完成實時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 實驗五：入侵檢測系統(tǒng) snort配置 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 58 引語： 在這一實驗中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 完成這一實驗之后 ， 將能夠：安裝“ snort”服務(wù) 。 Snort 可以運行在 *nix/Win32 平臺上 。 Snort是一個輕便的網(wǎng)絡(luò)入侵檢測系統(tǒng)， 在運行的時只占用極少的網(wǎng)絡(luò)資源 ， 對原有網(wǎng)絡(luò)性能影響很小 。 使用 “ snort”服務(wù) 。 目的： 本實驗在 Win2022 Server環(huán)境安裝與配置入侵檢測系統(tǒng) （ snort） 。 它可以完成實時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 snort 是自由軟件 ， 可 以 從Inter上免費下載 ， 要完整的安裝入侵檢測系統(tǒng)必須先從網(wǎng)上下載以下軟件： Snort（ Win32 MySQL Binary!） （ ） ； Snort Rules （ ） ； WinPcap （ ） ； MySQL Shareware （ ） ； PHP （ ） ； ADODB （ ） ； ACID （ ） ； l MySQL Database l PHP實驗五：入侵檢測系統(tǒng) snort配置 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 55 任務(wù) Snort Version 任務(wù) MySQL Database 任務(wù) Win32 MySQL database 任務(wù) MySQL中生成 Acid的庫表 任務(wù) Snort 任務(wù) Snort設(shè)置成為 windows NT4 Server / 2022 / XP的一項服務(wù) 任務(wù) PHP 任務(wù) PHP運行在 NT Server / 2022 / XP的 IIS 4/5環(huán)境下 任務(wù) ADODB — 一個高性能的數(shù)據(jù)庫 實驗五：入侵檢測系統(tǒng) snort配置 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 56 引語： 在這一實驗中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 具備服務(wù)器運行 Windows 2022 Server 。 使用 “ snort”服務(wù) 。 目的： 本實驗在 Win2022 Server環(huán)境安裝與配置入侵檢測系統(tǒng) （ snort） 。 它可以完成實時流量分析和對網(wǎng)絡(luò)上的 IP包登錄進行測試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來探測多種攻擊的侵入探測器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 ？ ？ 審計追蹤 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 53 引語： 在這一實驗中 ， 將在 Windows平臺上建立入侵檢測系統(tǒng) （ snort） 。 。 審計追蹤 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 52 二 ． 簡答題 ？ 。 、 和 三種技術(shù)手段， 對收集到的有關(guān)網(wǎng)絡(luò) 、 系統(tǒng) 、 數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息進行分析 。 ： 、 、 、 。 最后介紹 在 Windows2022上配置 snort入侵檢測系統(tǒng)的方法 。 本章在介紹了入侵檢測系統(tǒng)的 基本功能及使用范圍等基本概念的基礎(chǔ)上 ， 給出了入侵 檢測系統(tǒng)的基本原理 ， 對入侵檢測系統(tǒng)的框架 、 信息來 源 、 信息分析方法及基本技術(shù)進行了介紹 。 其它工具還有差 異探測工具和攻擊特征探測工具 。 尤其是在大系統(tǒng)中 ， 審計追蹤軟件產(chǎn)生的數(shù)據(jù) 文件非常龐大 ， 用人工方式分析非常困難 。 如果可以通過用戶識別碼 、 終端識別碼 、 應(yīng)用程序名 、 日期時間或其它參數(shù)組來檢 索審計追蹤記錄并生成所需的報告 ， 那么審計追蹤檢查就 會比較容易 。 審查人員應(yīng)該知道如何發(fā)現(xiàn)異?；顒?。 當牽涉到法律問題時 ， 審計追蹤信息的完整性尤為重要 （ 這可能需要每天打印和簽署日志 ） 。入侵者會試圖修改審計追蹤記錄以掩蓋自己的蹤跡是審計追蹤文件需要保護的原因之一 。 使用數(shù)字簽名是實現(xiàn)這一目標的一種途徑 。 計算機安全管理員和系統(tǒng)管理員或職能部門經(jīng)理出于檢查的目的可以訪問 ， 而維護邏輯訪問功能的安全和管理人員沒有必要訪問審計日志 。 與審計追蹤實施有關(guān)的問題包括三方面：其一 ， 保護 審計追蹤數(shù)據(jù)；其二 ， 審查審計追蹤數(shù)據(jù)；其三 ， 用于審 計追蹤分析的工具 。 審計追蹤應(yīng)該 根據(jù)需要 （ 如經(jīng)常由安全事件觸發(fā) ） 定期審查 、 自動實時 審查 、 或兩者兼而有之 。 入侵者的擊鍵記錄可 以協(xié)助管理員評估和修復(fù)入侵造成的損失 。 如果這些記錄 保存與之相關(guān)的用戶鑒別碼就可以協(xié)助管理員確定擊鍵人 從而達到擊鍵監(jiān)控的目的 。 擊鍵監(jiān)控的例子包括檢查用戶敲入的 字符 ， 閱讀用戶的電子郵件以及檢查用戶敲入的信息 。 審計追蹤和日志的類型 審計追蹤 第七章 信息系統(tǒng)安全檢測技術(shù) 2022/2/8 41 審計追蹤和日志的類型 審計追蹤 格 式 例 主體 某人 動作 寫入文件 目標 雇員記錄文件 例外條件 無 資源利用次數(shù) 10 時戳 0900080199 如記錄信息格式 第七章 信息系統(tǒng)安全檢測技