入侵检测系统实训教程_培训课件.pptx

入侵检测系统实训教程 1 2 入侵检测系统实训教程 定义 入侵检测系统（Intrusion Detection System, IDS）是一种安全设备，它依照一定的安全策略，通过软件、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 IDS是防火墙之后的第二道安全闸门。 必要性 传统的防火墙在工作时，存在两方面的不足： 一、防火墙完全不能阻止来自内部的攻击； 二、由于性能的限制，防火墙通常不能提供主动的、实时的入侵检测能力。 入侵检测系统可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段。 3 入侵检测系统实训教程 功能任务 1. 实时检测 实时监视、分析网络中所有的数据报文； 发现并实时处理所捕获的数据报文； 2.安全审计 对系统记录的网络事件进行统计分析； 发现异常现象； 得出系统的安全状态，找出所需要的证据； 3.主动响应 主动切断连接或与防火墙联动，调用其他程序处理。 4 入侵检测系统实训教程 分类 入侵检测系统基本分为2类： 　　1. 基于主机的入侵检测系统（HIDS）：以操作系统日志、应用程序日志等作为数据源保护所在的系统，一般只能检测该主机上发生的入侵。 　　　　2. 基于网络的入侵检测系统（NIDS） ：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。  5 入侵检测系统实训教程 工作流程 入侵检测系统为了分析、判断特定行为或者事件是否为违反安全策略的异常行为或者攻击行为，需要经过四个过程。 （1）数据采集阶段—— 网络入侵检测系统（NIDS）或者主机入侵检测系统(HIDS) 都需要采集必要的数据用于入侵分析。 （2）数据过滤及缩略——根据预定义的设置，进行必要的数据过滤及缩略，从而提高检测、分析的效率。 （3）检测/分析——根据定义的安全策略，进行检测/分析。 （4）报警及响应 ——一旦检测到违反安全策略的行为或者事件，进行报警及响应。 6 入侵检测系统实训教程 7 入侵检测系统实训教程 网络入侵检测技术 模式匹配技术 ——假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。模式匹配的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来。模式匹配的优点是误报少，局限是只能发现已知的攻击，对未知的攻击无能为力。 异常检测技术——异常检测技术假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阀值与特征的选择是异常发现技术的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常检测技术的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。 协议分析技术——协议分析是目前最先进的检测技术，通过对数据包进行结构化协议分析来识别入侵企图和行为。协议分析是根据构造好的算法实现的，这种技术比模式匹配检测效率更高，并能对一些未知的攻击特征进行识别，具有一定的免疫功能。 8 入侵检测系统实训教程 案例拓扑图图标 二层百兆交换机 高端路由交换机 路由器 IDS 服务器 终端 防火墙 入侵检测系统实训教程 单元1 IDS系统部署 单元2 查询工具的安装与使用 单元3 安全响应策略的配置及联动 单元4 常见攻击模拟 9 单元1 IDS系统部署 任务1 IDS传感器安装配置 任务2 IDS软件支持系统安装配置 任务3 IDS监控与管理环境搭建 10 11 1.1 任务目的 1. 理解DC NIDS系统构成； 2. 掌握DC NIDS传感器的配置要点。 1.2 任务设备及要求 设备： DCNIDS-1800 系列设备一台; 要求：使用串口连接硬件设备的命令行界面，掌握IDS传感器的配置要点。 任务1 IDS传感器安装配置 12 1.3 任务步骤 1.3.1 连接硬件设备，进行拓扑环境搭建 （1）连接好配置线缆与PC机的COM口后，打开传感器的电源开关，启动设备。 任务1 IDS传感器安装配置 IDS系统连接拓扑示意 13 （2） 启动超级终端，连接Sensor。 任务1 IDS传感器安装配置 14 任务1 IDS传感器安装配置 15 1.3.2 配置传感器 按键盘任意键启动传感器的登录界面。 输入出厂默认的传感器密码：admin，即可登录传感器主菜单。 任务1 IDS传感器安装配置 16 1．配置管理信息和时间 任务1 IDS传感器安装配置 17 2．配置传感器网络参数 任务1 IDS传感器安装配置 本任务设置为“dcids” 18 1.4 任务思考与练习 I