信息安全綜合實(shí)驗(yàn)

信息安全綜合實(shí)驗(yàn)張煥杰中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心james@0/~james/nmsTel:3601897(O)1第五章入侵檢測(cè)原理與Snort的使用課程目的學(xué)習(xí)入侵檢測(cè)基本原理通過(guò)snort系統(tǒng)的使用加深理解2入侵檢測(cè)原理PDR安全模型策略（Policy）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）3PDR安全模型策略是模型的核心，意味著網(wǎng)絡(luò)安全要達(dá)到的目標(biāo)防護(hù)是安全的第一步，它的基礎(chǔ)是檢測(cè)和響應(yīng)的結(jié)果檢測(cè)防護(hù)對(duì)于攻擊往往是滯后的，漏洞的發(fā)現(xiàn)或攻擊手段的發(fā)明與響應(yīng)的防護(hù)手段之間有個(gè)時(shí)間差，檢測(cè)用來(lái)彌補(bǔ)時(shí)間差響應(yīng)發(fā)現(xiàn)了攻擊后，需要對(duì)系統(tǒng)及時(shí)反應(yīng)反復(fù)的循環(huán)過(guò)程，每次循環(huán)帶來(lái)防護(hù)水平的提高4入侵檢測(cè)IDSIntrusionDetectionSystem入侵檢測(cè)屬于PDR模型的檢測(cè)過(guò)程，承接防護(hù)和相應(yīng)的過(guò)程是PDR模型的關(guān)鍵部分僅有防護(hù)的不足：防護(hù)只能考慮已知的威脅和有限的威脅防護(hù)只能盡量阻止攻擊企圖的得逞或延緩該過(guò)程，不能阻止各種攻擊事件的發(fā)生5入侵檢測(cè)特性要求：經(jīng)濟(jì)性、時(shí)效性、安全性和可擴(kuò)展性模塊劃分?jǐn)?shù)據(jù)提取、數(shù)據(jù)分析、處理結(jié)果6入侵檢測(cè)分類(lèi)基于異常的入侵檢測(cè)正常行為往往有一定的規(guī)律，通過(guò)分析相關(guān)數(shù)據(jù)可以總結(jié)出該規(guī)律入侵和濫用行為通常與正常的行為有嚴(yán)重差異通過(guò)檢測(cè)這些差異來(lái)檢測(cè)入侵如：平時(shí)icmp的數(shù)據(jù)包數(shù)量、類(lèi)型是一種表現(xiàn)，系統(tǒng)感染了沖擊波病毒時(shí)的icmp數(shù)據(jù)包的數(shù)量和類(lèi)型是另一種表現(xiàn)商用不多，研究為主7入侵檢測(cè)分類(lèi)基于誤用的入侵檢測(cè)通過(guò)某種模式或信號(hào)標(biāo)示攻擊，可以檢測(cè)出已知的攻擊，對(duì)未知的攻擊手段無(wú)能為力常用的是模式匹配系統(tǒng)8模式匹配檢測(cè)入侵信號(hào)層次存在只要存在某個(gè)審計(jì)事件就說(shuō)明發(fā)生了入侵行為或企圖，對(duì)應(yīng)存在模式如：HTTP訪問(wèn)../cmd.exe…序列一組事件的序列，對(duì)應(yīng)序列模式如：icmp數(shù)據(jù)包連續(xù)5秒鐘超過(guò)100pkt/s9模式匹配檢測(cè)入侵信號(hào)層次規(guī)則表示一組事件的邏輯表示，事件沒(méi)有順序關(guān)系如：icmp數(shù)據(jù)包連續(xù)5秒鐘超過(guò)100pkt/s其他更加復(fù)雜的表示存在模式∈序列模式∈規(guī)則表示模式∈其他模式10模式的關(guān)關(guān)系11入侵檢測(cè)測(cè)系統(tǒng)分分類(lèi)主機(jī)模式式通過(guò)對(duì)主主機(jī)系統(tǒng)統(tǒng)的信息息進(jìn)行分分析來(lái)檢檢測(cè)分析的數(shù)數(shù)據(jù)源可可以是各各種日志志網(wǎng)絡(luò)模式式通過(guò)對(duì)網(wǎng)網(wǎng)絡(luò)上的的信息進(jìn)進(jìn)行分析析來(lái)檢測(cè)測(cè)抓包12Snort入侵侵檢測(cè)系系統(tǒng)139、靜夜四四無(wú)鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃黃葉樹(shù)，，燈下白白頭人。。。03:48:4703:48:4703:4812/29/20223:48:47AM11、以我獨(dú)沈沈久，愧君君相見(jiàn)頻。。。12月-2203:48:4703:48Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。03:48:4703:48:4703:48Thursday,December29,202213、乍乍見(jiàn)見(jiàn)翻翻疑疑夢(mèng)夢(mèng)，，相相悲悲各各問(wèn)問(wèn)年年。。。。12月月-2212月月-2203:48:4703:48:47December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。29十十二二月20223:48:47上上午03:48:4712月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:48上午午12月-2203:48December29,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/293:48:4703:48:4729December202217、做前，，能夠環(huán)環(huán)視四周周；做時(shí)時(shí)，你只只能或者者最好沿沿著以腳腳為起點(diǎn)點(diǎn)的射線線向前。。。3:48:47上午午3:48上午午03:48:4712月-229、沒(méi)有有失敗敗，只只有暫暫時(shí)停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒(méi)有有。。。03:48:4703:48:4703:4812/29/20223:48:47AM11、成功功就是是日復(fù)復(fù)一日日那一一點(diǎn)點(diǎn)點(diǎn)小小小努力力的積積累。。。12月月-2203:48:4703:48Dec-2229-Dec-2212、世間間成事事，不不求其其絕對(duì)對(duì)圓滿(mǎn)滿(mǎn)，留留一份份不足足，可可得無(wú)無(wú)限完完美。。。03:48:4703:48:4703:48Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2203:48:4703:48:47December29,202214、意意志志堅(jiān)堅(jiān)強(qiáng)強(qiáng)的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20223:48:47上上午午03:48:4712月月-2215、楚塞三三湘接，，荊門(mén)九九派通。。。。十二月223:48上午午12月-2203:48December29,202216、少年十十五二十十時(shí)，步步行奪得得胡馬騎騎。。2022/12/293:48:4703:48:4729December202217、空山新雨雨后，天氣氣晚來(lái)秋。。。3:48:47上上午3:48上上午03:48:4712月-229、楊柳散散和風(fēng)，，青山澹澹吾慮。。。12月-2212月-22Thursday,December29,202210、閱讀一切切好書(shū)如同同和過(guò)去最最杰出的人人談話(huà)。03:48:4703:48:4703:4812/29/20223:48:47AM11、越越是是沒(méi)沒(méi)有有本本領(lǐng)領(lǐng)的的就就越越加加自自命命不不凡凡。。12月月-2203:48:4703:48Dec-2229-Dec-2212、越是無(wú)無(wú)能的人人，越喜喜歡挑剔剔別人的的錯(cuò)兒。。03:48:4703:48:4703:48Thursday,December29,202213、知人者者智，自自知者明明。勝人人者有力力，自勝勝者強(qiáng)。。12月-2212月-2203:48:4703:48:47December29,202214、意意志志堅(jiān)堅(jiān)強(qiáng)強(qiáng)的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20223:48:47上上午午03:48:4712月月-2215、最具具挑戰(zhàn)戰(zhàn)性的的挑戰(zhàn)戰(zhàn)莫過(guò)過(guò)于提提升自自我。。。十二月月223:48上上午午12月月-2203:48December29,202216、業(yè)余生生活要有有意義，，不要越越軌。2022/12/293:48:4703:48:4729December202217、一個(gè)個(gè)人即即使已已登上上頂峰峰，也也仍要要自強(qiáng)強(qiáng)不息息。3:48:47上上午3:48上上午午03:48:4712月月-22MOMODAPO