《计算机网络安全基础与技能训练》课件第7章.ppt

1.开启“安全审核”(1)选择【开始】→【程序】→【管理工具】→【本地安全策略】，如图7-4所示，打开“本地安全设置”对话框，如图7-5所示。图7-4选择“本地安全策略”示意图图7-5“本地安全设置”对话框(2)展开“本地策略”，在“审核策略”中打开必要的审核，如图7-6所示。图7-6“审核策略”详细列表(3)一般来说，登录事件与帐户管理需要同时打开成功和失败审核，其他的审核打开失败审核，如图7-7所示。(4)配置安全日志的大小及覆盖方式。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志，就可以避免老练的入侵者通过洪水般的伪造入侵覆盖掉真正行踪的现象。图7-7“审核帐户登录事件”设置2.制定安全日志的检查机制推荐安全日志检查时间是每天上午(因为入侵者普遍喜欢在夜间行动)。另外，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹外(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，可以从这里发现某些线索。【本章小结】本章主要介绍了入侵检测技术的基本情况：包括入侵检测的起源、入侵检测技术的概念、入侵检测系统工作流程和部署、入侵检测技术的分类，入侵检测技术的发展现状与趋势；重点讲解了入侵检测系统：包括基于网络的入侵检测系统、基于主机的入侵检测系统、混合入侵检测系统和文件完整性检查系统；并通过实例的方式介绍了Windows2000入侵检测技术。通过本章的学习，可以让读者掌握入侵检测的基本技术和入侵方式，增强计算机系统的防范。实训九Windows环境下轻型Snort入侵检测系统的构建※实训目的※(1)了解Snort+BASE入侵检测系统所需要的软件。(2)了解Snort+BASE入侵检测系统的构建过程。(3)了解Snort+BASE进行入侵检测的基本过程。(4)熟悉入侵检测的基本原理。※实训环境※(1)硬件环境：带网卡并接入Internet的计算机。(2)软件环境：操作系统为Windows2000/2003Server，其他软件说明见表7-2。表7-2软件列表※实训内容※(1)下载Snort+BASE入侵检测系统相关软件。(2)构建Snort+BASE入侵检测系统。(3)进行入侵检测分析。※实训基础知识※Snort是一套非常优秀的开放源代码网络监测系统，其基本原理基于网络嗅探，即抓取并记录经过检测节点以太网接口的数据包并对其进行协议分析，筛选出符合危险特征的或是特殊的流量。网络管理员可以根据警示信息分析网络中的异常情况，及时发现入侵网络的行为。基于Snort和BASE的入侵检测系统通常采用“传感器—数据库—分析平台”的三层架构体系。既可以部署于同一个主机平台，也可以部署在不同的物理平台上，具体的部署方案取决于实际环境需求。(1)传感器：传感器即网络数据包捕获转储程序。可以由WinPcap和Snort构成传感器部件，其中WinPcap作为系统底层网络接口驱动，Snort作为数据报捕获、筛选和转储程序。(2)数据库：数据库用来存储Snort获得的记录信息。数据库可以是本地的也可以是远程的，Snort2.8.0支持MySQL、MSSQL、PostgreSQL、ODBC、Oracle等数据库接口，扩展性非常好。(3)分析平台：分析平台是指对Snort的日志记录中的网络数据包的原始信息进行整理分析的环境。ACID是Snort早期最流行的分析平台，现在已经由基于它再开发的BASE所取代。※实训步骤※1.安装传感器组件1)安装软件WinPcap和Snort的安装过程同普通的应用软件，为了操作方便，建议将Snort安装在非系统分区内。安装完Snort后，rules目录为空，将另外下载的Snort规则包解压拷贝到Snort安装目录下，注意规则包所对应的版本。注意：为了提高抓包性能和质量，建议使用高性能的服务器网卡。另外，WinPcap和Snort应尽量使用最新的稳定版本，因为捕获数据包的质量对于IDS来说非常重要。2)修改设置修改Snort的设置文件d:\snort\rules\var\snort.conf，参考内容如下：#设置规则包路径vard:\snort\rules#设置数据库连接outputdatabase:log,mysql,user=snortuserpassword=snort