新计算机网络安全与应用技术 教学课件 张兆信 赵永葆 赵尔丹 等 第9章 网络入侵与入侵检测.pptVIP

第9章 网络入侵与入侵检测 课程内容 网络入侵 入侵检测 常用入侵检测系统 入侵检测系统与防火墙联动技术 9.1 网络入侵 9.1.1 入侵目的及行为分类 入侵按目的分类可分为渗透型、破坏型和跳板型。 9.1 网络入侵 9.1.2 入侵步骤 9.2　入侵检测 9.2.1入侵检测系统定义 入侵检测是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。而完成入侵检测功能的软件和硬件组合就是入侵检测系统。 9.2　入侵检测 入侵检测系统至少包括数据采集、入侵分析、响应处理三个组成部分 9.2　入侵检测 9.2.2　入侵检测的必要性 首先，入侵能力对于攻击者是一个强大的威镊力量，使得攻击者的攻击行为不得不冒着很大的被起诉的风险，从而使其可能望而却步。 第二，入侵检测系统可以防御防火墙不能处理的内部威胁。 第三，入侵检测系统的自动反应能力可以在攻击刚开始时就打断它，从而使后继的攻击难以继续。 第四，检测系统可以使系统安全管理员检查出何时安全保护功能运行不正常，并且在攻击者发现之前弥补这些缺陷。 第五，检测系统得到的信息有时可以使系统管理更加容易，使系统更加可靠。 第六，入侵检测系统的事件监测和攻击识别能力在其它方面也增强了系统的安全性。 9.2　入侵检测 9.2.3　入侵检测系统分类 基于网络的入侵检测系统（NIDS） 基于主机的入侵检测系统（HIDS） 基于异常的入侵检测系统 基于应用的入侵检测系统 混和型入侵检测系统 9.2　入侵检测 9.2.4　入侵检测系统的发展的一些方向 宽带高速网络的实时入侵检测技术 大规模分布式的检测技术 更先进的检测算法 标准化规范 9.3　常用入侵检测系统 9.3.1 IDS的硬件主要产品 1．绿盟科技“冰之眼”IDS 2．联想网御IDS 3．瑞星入侵检测系统RIDS-100 4．McAfee IntruShield IDS 9.3　常用入侵检测系统 9.3.2 IDS的主要软件产品 Snort OSSEC HIDS Fragroute/Fragrouter BASE Sguil 9.3　常用入侵检测系统 9.3.3 Snort应用 一个综合的Snort系统所需软件有 Windows 平台的Snort 、windows版本的抓包驱动WinPcap、windows版本的数据库服务器mysql、基于PHP的入侵检测数据库分析控制台ACID、用于为php服务的活动数据对象数据库 adodb（ Active 2Data Objects Data Base for PHP ）、Windows版 本 的apache WEB 服 务 器apache2、Windows版 本 的PHP脚本环境、支持php的图形库jpgraph等 上述软件可根据下列次序依次安装配置 1.安装 apache 指定安装目录 c:\ids\apache , 下载apache ，下载网址/httpd/binaries/win32/，运行下载好的“apache_2.0.63-win32-x86-no_ssl.msi” 安装完成后，需测试按默认配置运行的网站界面，看Apache是否安装成功。打开IE浏览器，在IE地址栏打确认，如看到图9-21所示页面，表示Apache服务器已安装成功。 Apache服务器安装成功后，还需配置Apache服务器，如果不配置，安装目录下的Apache2\htdocs文件夹就是网站的默认根目录，在里面放入文件就可以了。这里还是看一下配置过程。如图9-22所示，单击“开始”→“所有程序” →“Apache HTTP Server 2.0” →“Configure Apache Server” →“Edit the Apache httpd conf Configuration file”，打开配置文件 Apache配置文件网站根目录配置 2、安装 php 下载php，下载网址/downloads.php，将下载的php安装文件php-5.2.8-Win32.zip右键解压缩 查看解压缩后的文件夹C:\ids\PHP，找到“php.ini-dist”文件，将其重命名为“php.ini”，打开编辑 需要说明的是，要选择加载的模块，需去掉前面的 “;”，功能就是使php能够直接调用其模块，比如访问mysql，去掉“;extension= php_mysql.dll”前的“;”，就表示要加载此模块，加载的越多，占用的资源也就越多。所有的模块文件都放在php解压缩目录的“ext”之下，前面的“;”没去掉的，是因为“ext”目录下默认没有