- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
snort配置.doc
实验7 基于snort的IDS配置实验
1.实验目的
通过配置和使用Snort,了解入侵检测的基本概念和方法,掌握入侵检测工具的使用方法,能够对其进行配置。
2.实验原理
2.1 入侵检测基本概念
入侵检测系统(Intrusion Detection System简称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。入侵检测系统作为一种主动防护的网络安全技术,有效扩展了系统维护人员的安全管理能力,例如安全审计、监视、攻击识别和响应的能力。通过利用入侵检测系统,可以有效地防止或减轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不同的环境中发挥关键作用。
1.入侵检测系统分类
根据采集数据源的不同,IDS可分为基于网络的入侵检测系统(Network-based IDS,简称NIDS)和基于主机的入侵检测系统(Host-based IDS,简称HIDS)。
NIDS使用监听的方式,在网络通信的原始数据包中寻找符合网络入侵模版的数据包。NIDS的网络分析引擎放置在需要保护的网段内,独立于被保护的机器之外,不会影响这些机器的CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。NIDS一般保护的是整个网段。
HIDS安装在被保护的机器上,在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断,例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上,这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性,它一般保护的是其所在的系统。
NIDS和HIDS各有优缺点,联合使用这两种方式可以实现更好的检测效果。
2.入侵检测系统的实现技术
入侵检测系统的实现技术可以简单的分为两大类:基于特征的检测(Signature-based)和基于异常的检测(Anomaly-based)。
基于特征的检测技术主要包括模式匹配和协议分析两种检测方法:
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较,以发现入侵行为。这种检测方法只需收集相关的数据集合和维护一个知识库就能进行判断,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。
协议分析相对于模式匹配技术是一种更新的入侵检测技术。它首先捕捉数据包,然后对数据包进行解析,包括网络协议分析和命令解析,在解析的代码中快速检测某个攻击特征是否存在。协议分析技术大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。
基于异常的检测技术有很多,例如采用统计模型、专家系统等技术来实现。它首先要对系统的行为进行统计,获得系统正常使用时的统计性能,如访问次数、操作失败次数和延时等。统计性能被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。
3.入侵检测系统的部署原则
基于主机的入侵检测系统其安装部署简单,主要安装在检测的主机系统中,而基于网络的入侵检测系统复杂很多,需要考虑部署原则,以优化性能。
NIDS总的来说包括探测器和控制台两个部分:探测器(Sensor)是专用的硬件设备,负责网络数据流的捕获、分析检测和报警等功能。控制台(Console)是管理探测器的工具,它负责接收探测器的检测日志数据,并提供数据查询和报告生成等功能,一个控制台可以管理多个探测器。
NIDS探测器的基本部署原则是保证每个网络数据包都可以被探测器侦听和捕获。共享式局域网是最简单的网络,它由共享式HUB连接各个主机。在这种网络环境下,一般来说,只需要配置一个网络探测器就可以达到监控全网的目的。对于简单的交换式网络,即交换机中存在一个能够监听所有端口的SPAN端口(即监听端口)。在这种环境下,只要将SPAN端口设置为监听所有端口的模式,并在此端口配置一个网络探测器,就可以实现对内部网络安全的控制。而对于复杂的交换式局域网,存在多个不同的交换机,且没有SPAN端口的网络,这时要想让一个探测器监听所有的交换机上的内容是不现实的,因此必须有多个探测器进行监听。从另外一种角度分析,我们可以将一个复杂的交换式局域网分成多个简单的交换式网络或者共享式网络组成,只要保证所有子网的流量能被探测器捕获就可以实现对整个网络安全的控制。
2.2 Snort简介
Snort最初只是一个简单的网络管理工具,后来发展成一个遍布世界的企业分布式入侵检测系统。自从1998年Snort诞生以来,如今有几十万个探测器分布在世界各地,已经成为应用最广泛的NIDS。它的创始
您可能关注的文档
- logistics.ppt
- LOW-E(娄义中空玻璃)技术.doc
- lumianguifan.doc
- M0,M1,M2之间的变化关系如何影响经济和股市的走势投资.doc
- MATLAB的符号矩阵运算与符号微积分.doc
- MBA学位论文要求.doc
- MBA论证有效性分析秘籍6小时.ppt
- MB住宅产业化有关问题咨询doc.doc
- MCU USB IP.doc
- MES系统资料.doc
- 四川省德阳市罗江中学2025届高三考前热身化学试卷含解析.doc
- 山东省枣庄现代实验学校2025届高三下学期第五次调研考试化学试题含解析.doc
- 吉林省长春市十一高中等九校教育联盟2025届高三一诊考试生物试卷含解析.doc
- 2025届江苏省盐城市伍佑中学高考仿真模拟化学试卷含解析.doc
- 2025届广西贺州中学高考冲刺押题(最后一卷)生物试卷含解析.doc
- 安徽省池州市贵池区2025届高三第一次模拟考试生物试卷含解析.doc
- 宁夏银川一中2025届高三(最后冲刺)化学试卷含解析.doc
- 广东省广州市增城区四校联考2025届高考压轴卷化学试卷含解析.doc
- 2025届邯郸市第一中学高考生物必刷试卷含解析.doc
- 2025届安徽省安庆市石化第一中学高考仿真卷化学试卷含解析.doc
最近下载
- 山东省泰安市泰山区2023-2024学年上学期期中考试七年级英语试题.docx VIP
- 财务管理实务 财务管理实务 实训指导书.doc
- 2024年新人教版九年级上册化学全册教案.docx
- 上海通用汽车GVDP整车开发流程.pdf VIP
- 苏教版四年级上册同步奥数培优 第十四讲 智巧问题.pdf VIP
- 2024年江苏省苏州高新区招聘“两新”组织党建专职党务工作者6人历年【综合基础知识500题】高频考点模拟试题及参考答案解析.docx VIP
- 2024年武汉市东湖生态旅游风景区管理委员会公开招聘机关派遣制工作人员9人笔试备考试题及答案解析.docx VIP
- 人教版普通高中地理选择性必修2区域发展.pdf
- 人体解剖学常考重要知识点.doc
- 2023年江苏苏州相城区招考聘用两新组织党建专职党务工作者23人笔试历年难易错点考题荟萃附带答案详解.docx VIP
文档评论(0)