【正文】 使用 “ snort” 服務(wù) 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來(lái)探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 58* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語(yǔ)： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 完成這一實(shí)驗(yàn)之后 ， 將能夠：安裝“ snort” 服務(wù) 。 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 使用 “ snort” 服務(wù) 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來(lái)探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 實(shí)驗(yàn)五：入侵檢測(cè)系統(tǒng) snort配置 2/27/2023 56* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語(yǔ)： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 完成這一實(shí)驗(yàn)之后 ， 將能夠：安裝“ snort” 服務(wù) 。 Snort 可以運(yùn)行在 *nix/Win32 平臺(tái)上 。 Snort是一個(gè)輕便的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)， 在運(yùn)行的時(shí)只占用極少的網(wǎng)絡(luò)資源 ， 對(duì)原有網(wǎng)絡(luò)性能影響很小 。 使用 “ snort” 服務(wù) 。 目的： 本實(shí)驗(yàn)在 Win2023 Server環(huán)境安裝與配置入侵檢測(cè)系統(tǒng) （ snort） 。 它可以完成實(shí)時(shí)流量分析和對(duì)網(wǎng)絡(luò)上的 IP包登錄進(jìn)行測(cè)試等功能 ， 能完成協(xié)議分析 ， 內(nèi)容查找／匹配 ， 是用來(lái)探測(cè)多種攻擊的侵入探測(cè)器 （ 如緩沖區(qū)溢出、 秘密 端 口掃描 、 CGI攻擊 、 SMB嗅探 、 拇紋采集嘗試等） 。 ？ ？ 審計(jì)追蹤 2/27/2023 52* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 引語(yǔ)： 在這一實(shí)驗(yàn)中 ， 將在 Windows平臺(tái)上建立入侵檢測(cè)系統(tǒng) （ snort） 。 。 審計(jì)追蹤 2/27/2023 51* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 二 ． 簡(jiǎn)答題 ？ 。 、 和 三種技術(shù)手段， 對(duì)收集到的有關(guān)網(wǎng)絡(luò) 、 系統(tǒng) 、 數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析 。 ： 、 、 、 。 最后介紹 在 Windows2023上配置 snort入侵檢測(cè)系統(tǒng)的方法 。 本章在介紹了入侵檢測(cè)系統(tǒng)的 基本功能及使用范圍等基本概念的基礎(chǔ)上 ， 給出了入侵 檢測(cè)系統(tǒng)的基本原理 ， 對(duì)入侵檢測(cè)系統(tǒng)的框架 、 信息來(lái) 源 、 信息分析方法及基本技術(shù)進(jìn)行了介紹 。 其它工具還有差 異探測(cè)工具和攻擊特征探測(cè)工具 。 尤其是在大系統(tǒng)中 ， 審計(jì)追蹤軟件產(chǎn)生的數(shù)據(jù) 文件非常龐大 ， 用人工方式分析非常困難 。 如果可以通過(guò)用戶(hù)識(shí)別碼 、 終端識(shí)別碼 、 應(yīng)用程序名 、 日期時(shí)間或其它參數(shù)組來(lái)檢 索審計(jì)追蹤記錄并生成所需的報(bào)告 ， 那么審計(jì)追蹤檢查就 會(huì)比較容易 。 審查人員應(yīng)該知道如何發(fā)現(xiàn)異常活動(dòng) 。 當(dāng)牽涉到法律問(wèn)題時(shí) ， 審計(jì)追蹤信息的完整性尤為重要 （ 這可能需要每天打印和簽署日志 ） 。入侵者會(huì)試圖修改審計(jì)追蹤記錄以掩蓋自己的蹤跡是審計(jì)追蹤文件需要保護(hù)的原因之一 。 使用數(shù)字簽名是實(shí)現(xiàn)這一目標(biāo)的一種途徑 。 計(jì)算機(jī)安全管理員和系統(tǒng)管理員或職能部門(mén)經(jīng)理出于檢查的目的可以訪問(wèn) ， 而維護(hù)邏輯訪問(wèn)功能的安全和管理人員沒(méi)有必要訪問(wèn)審計(jì)日志 。 與審計(jì)追蹤實(shí)施有關(guān)的問(wèn)題包括三方面：其一 ， 保護(hù) 審計(jì)追蹤數(shù)據(jù)；其二 ， 審查審計(jì)追蹤數(shù)據(jù)；其三 ， 用于審 計(jì)追蹤分析的工具 。 審計(jì)追蹤應(yīng)該 根據(jù)需要 （ 如經(jīng)常由安全事件觸發(fā) ） 定期審查 、 自動(dòng)實(shí)時(shí) 審查 、 或兩者兼而有之 。 入侵者的擊鍵記錄可 以協(xié)助管理員評(píng)估和修復(fù)入侵造成的損失 。 如果這些記錄 保存與之相關(guān)的用戶(hù)鑒別碼就可以協(xié)助管理員確定擊鍵人 從而達(dá)到擊鍵監(jiān)控的目的 。 擊鍵監(jiān)控的例子包括檢查用戶(hù)敲入的 字符 ， 閱讀用戶(hù)的電子郵件以及檢查用戶(hù)敲入的信息 。 審計(jì)追蹤和日志的類(lèi)型 審計(jì)追蹤 2/27/2023 40* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 審計(jì)追蹤和日志的類(lèi)型 審計(jì)追蹤 格 式 例 主體 某人 動(dòng)作 寫(xiě)入文件 目標(biāo) 雇員記錄文件 例外條件 無(wú) 資源利用次數(shù) 10 時(shí)戳 0900080199 如記錄信息格式 2/27/2023 41* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) （ keystroke monitoring） 用于對(duì)計(jì)算機(jī)交互過(guò)程中的用戶(hù)鍵盤(pán)輸入和計(jì)算機(jī)的 反應(yīng)數(shù)據(jù)進(jìn)行檢查或記錄 。 通常 ， 事件記錄應(yīng)該列有事件發(fā)生的時(shí) 間 、 和事件有關(guān)的用戶(hù)識(shí)別碼 、 啟動(dòng)事件的程序或命令以 及事件的結(jié)果 。 這些日志通常包括描述系統(tǒng) 事件 、 應(yīng)用事件或用戶(hù)事件的記錄 。 審計(jì)追蹤概述 審計(jì)追蹤 2/27/2023 38* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 審計(jì)追蹤提供了實(shí)現(xiàn)多種安全相關(guān)目標(biāo)的一種方法 ， 這些目標(biāo)包括： ?個(gè)人職能 ?事件重建 ?入侵探測(cè) ?故障分析 審計(jì)追蹤 2/27/2023 39* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù) 系統(tǒng)可以同時(shí)維護(hù)多個(gè)審計(jì)追蹤 。 借助適當(dāng)?shù)墓ぞ吆鸵?guī)程 ， 審計(jì)追蹤可以發(fā)現(xiàn)違反安全策略 的活動(dòng) 、 影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤 。 通過(guò)書(shū)面方式提供應(yīng)負(fù)責(zé)任人員的活動(dòng)證據(jù)以支持職 能的實(shí)現(xiàn) 。 漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)實(shí)例 漏洞檢測(cè)技術(shù) 2/27/2023 37* 第七章 信息系統(tǒng)安全檢測(cè)技術(shù)