信息系统安全工程_入侵检测_软件讲述.pptx

《信息系统安全工程》之入侵检测技术;一、概述;入侵检测系统的预警功能;IDS的特点;入侵检测的部署方式和位置;IDS的功能;IDS常用的评价指标;二、入侵检测的基本原理;IDS的工作过程;IDS的工作过程（续）;IDS的工作过程（续）;IDS的基本结构;CIDF的体系结构;CIDF包含的组件;CIDF包含的组件（续）;三、入侵检测系统的分类;;3.1 基于主机的入侵检测系统;例：Windows 7系统日志;例： Windows7审核策略;例：IIS系统日志;HIDS的优点;HIDS的优点（续）;HIDS的优点（续）;HIDS的不足;3.2 基于网络的入侵检测系统 ;NIDS的优点;NIDS的优点（续）;NIDS的不足;3.3 分布式入侵检测系统;一种分布式IDS （DIDS）架构;四、入侵检测的数据分析技术 ;;4.1 异常检测 ;异常检测面临的关键问题 ;异常检测面临的关键问题（续）;异常检测面临的关键问题（续）;异常检测技术的特点;例：IDES系统的异常检测;例：IDES系统的异常检测（续）;例：IDES系统的异常检测（续）;例：IDES系统的异常检测（续）;4.2 误用检测 ;误用检测技术的优点;误用检测技术的不足;误用检测技术的不足（续）;4.3 入侵检测具体技术;4.3.1 基于统计方法;4.3.2 基于神经网络;4.3.3 基于专家系统;4.3.4 基于模型推理;4.3.5 其他的检测技术 ;五、入侵检测系统的部署;5.1 基于网络入侵检测系统的部署;基于网络入侵检测系统的部署（续）;基于网络入侵检测系统的部署（续）;基于网络入侵检测系统的部署（续）;基于网络入侵检测系统的部署（续）;5.2 基于主机入侵检测系统的部署;六、对入侵检测的攻击;6.1 利用字符串匹配缺陷;6.1.1 路径欺骗;6.1.2 HEX编码;6.1.3 二次HEX编码;6.1.4 Unicode(UTF-8);6.1.5 避免字符匹配缺陷小结;6.2 分割IP数据包;6.3 拒绝服务攻击;拒绝服务攻击（续）;七、网络入侵检测系统-Snort;Snort的特点;Snort的特点（续）;Snort的体系结构;Snort的体系结构（续）;7.1 网络数据包的截获;7.1.1 以太网环境下的数据截获;一个Linux环境下的数据包截获示例; 19 Set_Promisc (INTERFACE, sock); 20 /* start the main loop */ 21 while (1) 22 { 23 fromlen = sizeof(from); 24 bytes_recieved = recvfrom (sock, buffer, sizeof(buffer), 0, (struct sockaddr *)from, fromlen); 25 printf (″\\nBytes received∷: %5d\\n″,bytes_recieved); 26 printf (″Source address∷: %s\\n″,inet_ntoa(from.sin_addr)); 27 ip = (struct ip *)buffer; /*See if this is a TCP packet*/ 28 if (ip-ip_protocol == 6) { /*This is a TCP packet*/ 29 printf (″IP header length∷: %d\\n″,ip-ip_length); 30 printf (″Protocol∷: %d\\n″,ip-ip_protocol); 31 tcp = (struct tcp *)(buffer + (4*ip-ip_length)); 32 printf (″Source port∷: %d\\n″,ntohs (tcp-tcp_source_port)); 33 printf (″Dest port ∷: %d\\n″,ntohs (tcp-tcp_dest_port)); 34 } 35 } 36 } 37 int Open_Raw_Socket () { 38 int sock; 39 if ((sock = socket (AF_INET, SOCK_RAW, IPPROTO_TCP)) 0) { 40 perror (″The raw socket was not created″);;41 exit (0); 42 }; 43 return (sock); 44 } 45 int Set_Promisc (char *interface, int sock) { 46 struct ifreq ifr; 47 strncpy (ifr.ifr_name, int