4.2工作任务2-目录.pptVIP

* * * * 专 业 务 实 学 以 致 用 项目5 入侵检测系统的应用 健雄职业技术学院 软件与服务外包学院 项目五 工作任务目录 1.工作任务-基于Snort入侵检测功能配置 2.工作任务描述 3.引导文本- Snort入侵检测软件介绍 4.设计Snort软件的入侵检测功能 5.利用Snort软件实施入侵检测 6.进行入侵检测效果的检测 7.知识技能要点测评 项目5 工作任务-基于Snort入侵检测功能配置 基于Snort入侵检测功能配置 互联网 防火墙 路由器 LAN WAN 交换机 安装有入侵 检测软件的主机 1 2 SNORT[sn?t] 喷鼻息；鼓鼻 任务图 企业总部 路由器 NIPS 防火墙 互联网 攻击者 HIPS 1 2 交换机 工作任务描述（表） 学习情境 对入侵进行检测（IDS） 建议课内学时 任务名称 工作任务-基于Snort入侵检测功能配置 4学时（理论实践一体） 企业工作情境描述 针对企业网络的各种攻击在不断变化，对攻击的检测方式也有待提高，凭借简单的工具软件很难解决此类问 题，此时需要灵活性强的软件来实现入侵检测功能。通过软件的配置可以解决对新的入侵行为的检测、记录与报警。 工作任务分析 工作任务是在对相关概念与原理有了理解以后的任务，本工作任务注重的是解决此类需求的实施能力。 所以本任务以深入配置IDS为主。利用Snort软件加以配置实施。 任务目标 1、深入理解IDS的功能及相关的知识； 2、学会利用Snort软件及附加软件配置IDS系统方法； 3、学会利用Snort规则文件定义对不同协议的数据包的检测、记录与报警。 学习场境简化与转换设计与学习任务布置 场境简化与转换设计：在企业网络中的关键主机上配置入侵检测系统是较常用的方式，结构如右图所示。 学习任务布置：本任务在此网络环境中，利用Snort软件在主机上配置入侵检测，可以对主机或网络的入侵检测、记录与报警。要对网络配置IDS需要配置交换的端口镜像功能。 工具及软件选用 1、虚拟机；2、Snort软件；3、Snort附加软件及数据库软件等。 参考资料手册 1、利用互联网搜索相关知识查询； 2、课件中的引导文本； 学习任务操作流程 操作流程参见下面的工作任务实施过程 引导文本 IDS是什么？ 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 引导文本 根据IDS工作位置和数据来源，可以分为： 应用软件入侵监测系统 Application Intrusion Detection 主机入侵监测系统 Host Intrusion Detection 网络入侵监测系统 Network Intrusion Detection 集成入侵监测系统 Integrated Intrusion Detection 引导文本 网络入侵检测系统(NIDS) -----在网络中的某个节点上装有探测器来监测整个网络(工作对象基于网络) 特点： 1.拥有较低的成本--在几个很少的监测点上进行配置就可以监控一个网络中所发生的入侵行为; 2.能监测主机IDS所不能监测到的某些攻击(如DOS、Teardrop)—通过分析IP包的头可以捕捉这些须通过分析包头才能发现的攻击; 3.与操作系统无关性--基于网络的IDS与所监测的主机所运行的操作系统无关，而主机IDS则必须在特定的操作系统下才能运行; 4.检测未成功攻击和不良意图-与之相比，主机IDS只能检测到成功的攻击，而很多未成功的攻击对系统的风险评估成到关键的作用; 5.实时检测和响应----网络IDS可以在攻击发生的同时将其检测出来，并进行实时的报警和响应。 引导文本 下面对Snort入侵检测软件进行介绍： SNORT的特点 SNORT是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。此外，SNORT具有很好的扩展性和可移植性。还有，这个软件是自由软件。 所谓轻载（或轻量级）是指该软件在运行的时候只占用极少的网络资源，对原有网络性能影响很小。SNORT虽然功能强大，但是