国家信息化安全教育认证之入侵检测技术培训.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * §9.3 发展趋势及主要研究方向 针对分布式攻击的分布式入侵检测方面的研究 用于大规模高速网络入侵检测系统的研究 应用层入侵检测的研究 智能入侵检测的研究 演讲完毕，谢谢观看！ 内容总结 入侵检测技术。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。Policy——策略。配置修改、系统修改漏洞。登陆信息 /var/log。可以通过如下逃避：scripts/./iisadmin。使用%73代替s，提交/script%73/iisadmin。%25是%的编码。第一次解码： scripts/..%5c../winnt。Scripts/..%c0%af../winnt。应用层的语言CISL（公共入侵规范语言）。数据采集部分还做了一项工作就是将网卡置于混杂模式，这样可以监听到整个网段的数据。数据分析部分事实上与数据采集部分作为一个进程(agent)存在,主要是为了简化程序设计的复杂性。配置Snort并不需要自已编写配置文件，只需对Snort.conf文件进行修改即可。详细的解释可以使用man snort命令查看帮助页，或者直接阅读README文件和USAGE文件 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * § 8.1.3 Snort的安装 § 8.1.3 Snort的安装 § 8.1.4 Snort的配置 配置Snort并不需要自已编写配置文件，只需对Snort.conf文件进行修改即可 设置网络变量 配置预处理器 配置输出插件 配置所使用的规则集 § 8.2 Snort的使用 § 8.2.1 Libpcap的命令行 Snort和大多数基于Libpcap的应用程序一样，可以使用标准BPF类型的过滤器。设置过滤器关键字分为以下几类： 属性类关键字：说明后面所跟值的意义，这样的关键字有host、net、port 方向类关键字：说明报文的流向，这样的关键字有：src、dst、src or dst、src and dst 协议类关键字：用来限制协议，这样的关键字有：ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等 § 8.2.2 Snort的命令行 Snort的命令行参数很多，可使用Snort - ?命令列出这些参数及其简单的解释 常见的参数有： -A alert 设置警告模式 -a 显示ARP报文 -b 以tcpdump格式记录报文到日志文件 -ccf 使用配置文件cf -d：显示应用层数据 -v：更详细地输出 详细的解释可以使用man snort命令查看帮助页，或者直接阅读README文件和USAGE文件 § 8.2.3 高性能的配置方式 如果在一个高数据流量（比如大于100Mbps）的网络环境下运行Snort，就需要考虑如何配置Snort才能使它高效率地运行 ./snort –b –A fast –c snort-lib ./snort –d –c snort-lib –l ./log –h /24 –r snort.log § 8.2.4 Snort配置实例 § 8.2.4 Snort配置实例 § 8.2.4 Snort配置实例 § 8.2.4 Snort配置实例 § 8.2.4 Snort配置实例 § 8.2.5 使用Snort § 8.2.5 使用Snort § 8.3 Snort的规则 本节内容包括： 规则的语法 规则头 规则选项 预处理器 输出模