《网络安全实用教程》配套PPT(人民邮电出版)ch8.ppt

Ping 指令执行完毕，点击“Capture”菜单，选择“Stop and Display”项或工具栏上的相应图标，在出现的窗口中选择“Decode”项，就会显示两条计算机之间数据的传输过程，如图8.49所示。至此，Sniffer已成功嗅探到数据。 图8.49 嗅探结果 8.4.1 入侵检测系统 入侵检测系统（Intrusion Detection System，IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或采取主动反应措施的网络安全系统。 8．4 入侵检测与入侵防护系统 1．IDS的功能 IDS已成为网络安全体系中的一个重要环节。它不仅能监测外来干涉的入侵者，也能监测内部的入侵行为，弥补了防火墙的不足。 IDS在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护，从而极大地减少各种可能攻击的损害。 监视网络系统的运行状况，查找非法用户的访问和合法用户的越权操作。 对系统的构造和弱点进行审计。 识别分析著名攻击的行为特征并报警。 评估重要系统和数据文件的完整性。 对操作系统进行跟踪审计，并识别用户违反安全策略的行为。 容错功能。 2．IDS的分类 (1) 基于主机的IDS 基于主机的IDS（HIDS）通常被安装在被重点检测的主机上，往往以系统日志、应用程序日志等作为数据源，也可以通过其他手段对所在的主机收集信息进行分析。 HIDS主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 (2) 基于网络的IDS 基于网络的IDS（NIDS）通常设置在比较重要的网段内，其数据源是网络上的数据包。 NIDS往往将一台主机的网卡设于混杂模式，不停地监视本网段的各种数据包，对每一个数据包进行特征分析和判断。如果数据包与系统内置的某些规则吻合，NIDS就会发出警报甚至直接切断网络连接。 (3) 混合式IDS 综合了基于网络和基于主机两种结构特点的混合式IDS，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 3．入侵检测的过程 (1) 信息收集 信息收集的内容包括网络系统、数据及用户活动的状态和行为。 (2) 信息分析 ① 模式匹配。 ② 统计分析。 ③ 完整性分析。 8.4.2 入侵防护系统 1．入侵防护系统功能 入侵防护系统（Intrusion Prevention System，IPS）能为网络系统提供主动性的防护。 IPS是一种主动的、积极的入侵防范和阻止系统，是对防火墙和IDS的补充。它部署在网络的进出口处，当它检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断。 2．入侵防护系统类型 (1) 基于主机的IPS(HIPS) HIPS通过在主机/服务器上安装代理程序，防止攻击者入侵操作系统和应用程序。 (2) 基于网络的IPS(NIPS) NIPS通过检测网络数据流量，提供对网络系统的安全保护。 8.4.3 IDS应用实例 1．应用环境 waRcher是一个在linux下运行的基于标识检测的IDS。 从实现结构上看，waRcher包括数据收集及分析程序(agent)、告警信息收集程序(listener)和告警信息显示程序(console)三个应用程序。 waRcher采用了分布式结构，建议采用两台PC机运行waRcher，一台运行agent，另一台运行listener和console。 图8.50 入侵检测系统关系示意图 2．各部分的实现流程 (1)数据采集部分 agent采用了linux2.2内核中提供的PF_PACKET类型的socket，直接从链路层获取数据帧。 (2)数据分析 在得到数据帧后，agent模拟操作系统的TCP/IP堆栈对数据进行处理并与已知攻击行为的特征进行比较，从中发现异常行为，并向控制台告警。 (3) 控制台 控制台部分包括listener和console两个程序。listener绑定6543端口，接收从分析程序发出的分析结果和其他信息，并根据其类型转化到不同文件存储。 console为一个窗口程序，给用户一个更方便友好的界面来浏览告警信息，如图8.51所示。 图8.51 WaRcher入侵检测的SCAN日志 图8.22 端口扫描设置主界面 在“Scan Type”栏选择“All selected port in list”，点击“Start”按钮开始检测。检测完成后，单击结果窗口中被检查的IP地址，该地址旁会出现一个“+”号，再单击展开，将显示该被检测主机所要求检测端口的状态，如图8.23所示。 图8.23 扫描端口结果 (4)检测木马 在如图8.24所示主界面中选择“Port list setup”，出现端口设置界面，点击“Port list files”的下拉框选择“trojans.lst”端口列表文件。