入侵检测关键技术.docVIP

入侵检测技术 一、试验目标 经过试验深入了解入侵检测系统原理和工作方法，熟悉入侵检测系统配置和使用。试验具体要求以下： 1.了解入侵检测作用和原理 2.了解误用检测和异常检测区分 3.掌握Snort安装、配置和使用等实用技术 二、试验原理 1、入侵检测概念及其功效 入侵检测是指对入侵行为发觉、报警和响应，它经过对计算机网络或计算机系统中若干关键点搜集信息并对其进行分析，从中发觉网络或系统中是否有违反安全策略行为和被攻击迹象。 入侵检测系统(intrusion detection system,IDS)是完成入侵检测功效软件和硬件集合。 入侵检测功效关键表现在以下多个方面： 1）. 监视并分析用户和系统活动。 2）. 核查系统配置和漏洞。 3）. 识别已知攻击行为并报警。 4）. 统计分析异常行为。 5）. 评定系统关键资源和数据文件完整性。 6）. 操作系统审计跟踪管理，并识别违反安全策略用户行为。 2、入侵检测分类 依据IDS检测对象和工作方法不一样，能够将IDS分为基于网络IDS(简称NIDS)和基于主机IDS(简称HIDS)。NIDS和HIDS互为补充，二者结合使用使得IDS有了更强检测能力。 1）. 基于主机入侵检测系统。 HIDS历史最久，最早用于审计用户活动，比如用户登录、命令操作、应用程序使用资源情况等。HIDS关键使用主机审计统计和日志文件作为输入，一些HIDS也会主动和主机系统进行交互以取得不存在于系统日志信息。 HIDS所搜集信息集中在系统调用和应用层审计上，试图从日志寻求滥用和入侵事件线索。HIDS用于保护单台主机不受网络攻击行为侵害，需要安装在保护主机上。 2）. 基于网络入侵检测系统。 NIDS是在网络中某一点被动地监听网络上传输原始流量，并经过协议分析、特征、统计分析等分析手段发觉目前发生攻击行为。NIDS经过对流量分析提取牲模式，再和已知攻击牲相匹配或和正常网络行为原形相比较来识别攻击事件。 3、入侵检测系统 1）. 入侵检测系统特点： 入侵检测系统(Intrusion Detection System)是对防火墙有益补充，它对网络和主机行为进行检测，提供对内部攻击、外部攻击和误操作实时监控，增强了网络安全性。 在安全防范方面，入侵检测系统能够实现事前警告、事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前，立即检测到入侵攻击发生，并进行报警；入侵攻击发生时，入侵检测系统能够经过和防火墙联动等方法进行报警及动态防护；被入侵攻击后，入侵检测系统能够提供具体攻击信息日志，便于取证分析。 相对于防火墙提供静态防护而言，入侵检测系统侧重于提供动态实时检测防护，所以防火墙和入侵检测系统结合，能够给网络带来更全方面防护。 2). 入侵检测系统实现原理： 入侵检测系统实现技术能够简单地分为两大类：基于特征检测和基于异常检测。 基于特征检测技术关键包含模式匹配和协议分析两种关键检测方法。模式匹配就是将已知入侵事件悼念到网络入侵和系统误用知识库中，对入侵检测系统悼念信息和知识库中规则进行比较，以发觉入侵行为。协议分析技术则对数据包进行协议解析后进行分析。这种技术需要首先捕捉数据包，然后对数据包进行解析，包含网络协议分析和命令解析，即使在高负载调整网络上，也能逐一分析全部数据包。 基于牲检测技术只需搜集相关数据，和所维护知识库规则比较就能进行判定，检测正确率和效率较高。不过，该技术需要不停进行知识库规则升级以对付不停出现新攻击手法，而且，它不能检测未知攻击手段。 3). 入侵检测系统布署标准： NIDS总来说包含探测器和控制台两大部分。探测器是专用硬件设备，负责网络数据流捕捉、分析检测和报警等功效。控制台是管理探测器工具，它负责接收探测器检测日志数据，并提供数据查询和汇报生成等功效，一个控制台能够管理多个探测器。 HIDS安装在被保护机器上，在主机系统审计日志或操作中查找信息源进行智能分析和判定，比如操作系统日志、系统进程、文件访问和注册表访问等信息。因为HIDS安装在需要保护主机系统上，这将影响应用系统运行效率。HIDS对主机系统固有日志和监视能力有很高依靠性，它通常针对其所在系统进行检测。 4/Snort介绍及使用原理： 1). Snort是一款无偿NIDS，含有小巧灵便、易于配置、检测效率高等特征，常被称为轻量级IDS。Snort含有实时数据流量分析和IP数据包日志分析能力，含有跨平台特征，能够进行协议分析和对内容搜索或匹配。Snort能够检测不一样攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。 Snort能够依据用户事先定义部分规则分析网络数据流，并依据检测结果采取一定行动。Snort有3种工作模式，即嗅探器、数据包统计器和NIDS。嗅探器模式仅从网络上读取数据包并作为