入侵检测试验.docxVIP

实验五：入侵检测技术一、实验目的通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统的配置和使用。实验具体要求如下：1.理解入侵检测的作用和原理2.理解误用检测和异常检测的区别3.掌握Snort的安装、配置和使用等实用技术二、实验原理1、入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。入侵检测的功能主要体现在以下几个方面：1）. 监视并分析用户和系统的活动。2）. 核查系统配置和漏洞。3）. 识别已知的攻击行为并报警。4）. 统计分析异常行为。5）. 评估系统关键资源和数据文件的完整性。6）. 操作系统的审计跟踪管理，并识别违反安全策略的用户行为。2、入侵检测的分类根据IDS检测对象和工作方式的不同，可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充，两者的结合使用使得IDS有了更强的检测能力。1）. 基于主机的入侵检测系统。HIDS历史最久，最早用于审计用户的活动，比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入