Unit3数据源、数据采集及其工具.pptVIP

入侵检测及扫描技术 —— 数据源与数据采集方法 主要内容 数据源分类 数据采集方法 Honeypots IDS存在的问题 两种体系结构与分布式数据收集 数据源 数据来源分类 入侵检测系统中数据来源主要分两类： 基于主机的数据源 基于网络的数据源 数据源的选择主要依据所要检测的内容 如：对于DOS攻击，要采用基于网络的监视器获取畸形数据包，并查明数据包的来源和攻击目标；同时要采用基于主机的监视器帮助确定系统是否由于DOS攻击而崩溃。 基于主机的数据源 主要有以下类型： 操作系统审计记录 系统日志 应用日志信息 数据库系统日志 www服务器日志 基于目标的对象信息 如：完整性校验技术 完整性校验工具tripwire Tripwire著名的完整性校验工具，能够帮助管理员判断系统的一些重要文件是否被攻击者修改。 1992年，Purdue大学COAST实验室的 Gene H.Kim和Eugene H. Spafford开发了tripwire。目的是建立一个工具，通过这个工具监视一些重要的文件和目录发生的任何改变。 1997年，Gene Kim和W.Wyatt Starnes发起成立了Tripwire公司。他们成立这个公司的目的之一是发布一个能够用于更多平台的商业升级版本 。 完整性校验工具tripwire（续） 支持的操作系统：win NT, win 2000, Solaris，Linux