第八章-入侵检测辩析.ppt

8.7.3 启动Snort 1.嗅探器模式：$ snort –dev 2.日志记录模式：$ snort –dev –l log directory * 3.IDS模式 Snort会对其所记录的东西根据规则进行过滤。 默认的配置文件snort.conf * * 8.8 习题 一、选择题 1. 对于一个入侵，下列最合适的描述是： A. 与安全事故类似 B. 各种试图超越权限设置的恶意使用 C. 任何侵犯或试图侵犯你的安全策略的行为 D. 任何使用或试图使用系统资源用于犯罪目的的行为 2. 下列哪种安全策略可用于最小特权原则的理念： A. 白名单 B. 严格禁止 C. 宽松的控制 D. 黑名单 3. 如果一个IDS上报了一个异常行为，但该行为是正常的，那么IDS犯了什么错误 A. 误报 B. 漏报 C. 混合式错误 D. 版本出错 4. 哪种入侵者是最危险的，为什么？ A. 外部入侵者，因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者，因为他们掌握更多关于系统的信息。 C. 外部入侵者，因为大部分入侵者都在外部。 D. 内部入侵者，因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为，哪种类型的入侵检测更适用： A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么： A. 告诉IDS检测那些端口 B. 限制系统行为，如果违反了，就触发警报 C. 告诉IDS那些包需要被监测，并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS * 7. 什么软件可以阅读其所在网络的数据： A. 特征数据库 B. 包嗅探器 C. 数据包分析引擎 D. 网络扫描 8. 哪种IDS可以检测特定网段的所有流量： A. 基于网络的IDS B. 基于特征的IDS C. 基于主机的IDS D. 基于知识的IDS 9. 哪种类型的IDS可以用来标识外来攻击的？ A. 在DMZ区的HIDS B. 在防火墙与内部网络之间的NIDS C. 在外部网络与防火墙之间的NIDS D. 在DMZ区的NIDS 10. 当选择IDS时，哪些因素是你要考虑的（多选）： A. 价格 B. 配置与维护IDS所需要的知识与人力 C. 互联网类型 D. 你所在的组织的安全策略 * * 二、问答题 1. 入侵检测系统都有哪些检测机制，其原理是什么？ 2. 入侵检测系统是如何分类的，其设计准则是什么？ * * 第八章 入侵检测 8.1 入侵检测的概念与基本术语 8.2 入侵检测系统的检测机制 8.3 入侵检测系统 8.4 入侵检测系统实现 8.5 入侵检测系统产品的选择 8.6 入侵检测的发展趋势 8.7 Snort简介 8.8 习题 8.1 入侵检测的概念与基本术语 典型的入侵检测系统 * 基本术语 入侵、入侵过程、误报、漏报、入侵检测、入侵检测系统（IDS）、基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）、混杂模式 入侵检测系统组成 * 8.2 入侵检测系统的检测机制 8.2.1 异常检测 8.2.2 误用检测 * 8.2.1 异常检测 定义 异常检测通过将系统或用户行为与正常行为进行比较来判别是否为入侵行为 白名单 用户，用户组，应用程序，系统等的经验数据 存在问题 误报问题、漏报问题、计算量过大问题 * 8.2.2 误用检测 定义 误用检测在系统中建立异常行为的特征库，然后将系统或用户的行为与特征库进行比较 存在问题 不能预知新的攻击，只能检测出已发生过的攻击。 * 8.3 入侵检测系统 8.3.1 入侵检测系统的设计准则 8.3.2 基于网络的入侵检测系统（NIDS） 8.3.3 基于主机的入侵检测系统（HIDS） 8.3.4 NIDS与HIDS比较 8.3.5 其它类型的入侵检测系统 * 8.3.1 入侵检测系统的设计准则 设计准则 其配置结束后可以自我运行。 工作时必须时刻保持积极的工作状态且自身不易被攻击。 能够识别系统不常见的行为，每一个入侵检测系统都会遗漏一些异常行为，不过一个好的系统能够尽可能多得发现入侵行为。 系统运行要尽可能减少对正常工作的影响。 系统必须可控，可调试 * 8.3.2 基于网络的入侵检测系统（NIDS） 基于网络的入侵检测系统将整个网络作为扫描范围，通过检测整个网络来发现网络上异常的，不恰当的，或其它可能导致未授权，有害事件发生的事件。 * 图8-3 基于网络的入侵检测系统的部署 8.3.3 基于主机的入侵检测系统（HIDS） 基于主机的入侵检测系统（HIDS）将检测转向组织网络的内部，检测针对本地主机入侵行为的系统 特点 单一主机上进行恶意行为