第6章入侵检测技术(免费阅读).pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 入侵检测系统IDS vs入侵防御系统IPS IDS IPS 主线功能 网络安全状况的监管 深层防御、精确阻断 核心价值 通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整 安全策略的实施—对黑客行为的阻击 如果检测到攻击 存在于网络之外起到报警的作用，而不是在网络前面起到防御的作用。 在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。 检测攻击的方法 对数据包的检测 检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。  部署位置 部署在网络内部，监控范围可以覆盖整个子网 部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。 * 如何选用IPS IDS 若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。  若用户计划分步实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。  若用户仅仅关注网络安全状况的监控(如金融监管部门，电信监管部门等)，则可在目标信息系统中部署入侵检测系统即可。 * Snort简介 Snort是一个用C语言编写的开放源代码软件，符合GPL（GNU General Public License）的要求，当前的最新版本是2.8，其作者为Martin Roesch。 Snort是一个跨平台、轻量级的网络入侵检测软件，实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具，可以用于入侵检测。从入侵检测分类上来看，Snort是一个基于网络和误用的入侵检测软件。 * Snort 的工作模式 嗅探器 Snort –v –d -e 数据包记录器 Snort –vde –l c:\snort\log 网络入侵检测系统 Snort –vde –l c:\snort\log –c c:\snort\etc\snort.conf * 底层库的安装与配置 安装Snort所需的底层库有三个： Libpcap，提供的接口函数主要实现和封装了与数据包截获有关的过程。 Libnet，提供的接口函数主要实现和封装了数据包的构造和发送过程。 NDIS packet capture Driver，是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序。 在Linux和Solaris环境下，必须首先安装Libpcap，然后才能安装Snort，如果需要还应该安装Libnet； 在Windows环境下，必须首先安装NDIS packet capture Driver(可用Winpcap代替)，然后才能安装Snort。 * Snort的安装 Win 32环境下的安装方法一 解开snort-2.1-win32-source.zip 用VC++打开位于snort-2.1-win32-source\snort-2.1 \win32-Prj目录下的snort.dsw文件 选择“Win 32 Release”编译选项进行编译 在Release目录下会生成所需的Snort.exe可执行文件 Win32环境下的安装方法二 直接执行Snort Windows 安装包SWIB * Snort的配置 配置Snort并不需要自已编写配置文件，只需对Snort.conf文件进行修改即可 设置网络变量 var DNS_SERVERS 配置预处理器 配置输出插件 配置所使用的规则集 var RULE_PATH c:\snort\rules * 操作实例 输出IP和TCP/UDP/ICMP的包头信息 * 输出TCP/IP信息包 启用windows下的运行窗口 输入cmd进入DOS界面 进入c:\snort\bin文件夹 cmd cmd * cd c:\snort\bin * 输出TCP/IP信息包 进入c:\snort\bin文件夹 输入命令snort –v扫描信息包 * snort -v * 扫描中的界面 * 输出TCP/IP信息包 进入c:\snort\bin文件夹 输入命令snort –v扫描信息包 snort -v Ctrl+c退出Snort运行并显示扫描统计信息 * 扫描后的统计界面 * 操作实例 同时显示IP和TCP/UDP/ICMP的包头信息、应用层数据信息、数据链路层的信息并将扫描的信息记录进c:\snort\log文件夹内 * 指定网段输出多层信息包并保存到指定文件夹 进入c:\snort\bin文件夹 输入命令