信息安全綜合實驗

信息安全綜合實驗張煥杰中國科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)信息中心james@0/~james/nmsTel:3601897(O)1第五章入侵檢測原理與Snort的使用課程目的學(xué)習(xí)入侵檢測基本原理通過snort系統(tǒng)的使用加深理解2入侵檢測原理PDR安全模型策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）3PDR安全模型策略是模型的核心，意味著網(wǎng)絡(luò)安全要達(dá)到的目標(biāo)防護(hù)是安全的第一步，它的基礎(chǔ)是檢測和響應(yīng)的結(jié)果檢測防護(hù)對于攻擊往往是滯后的，漏洞的發(fā)現(xiàn)或攻擊手段的發(fā)明與響應(yīng)的防護(hù)手段之間有個時間差，檢測用來彌補時間差響應(yīng)發(fā)現(xiàn)了攻擊后，需要對系統(tǒng)及時反應(yīng)反復(fù)的循環(huán)過程，每次循環(huán)帶來防護(hù)水平的提高4入侵檢測IDSIntrusionDetectionSystem入侵檢測屬于PDR模型的檢測過程，承接防護(hù)和相應(yīng)的過程是PDR模型的關(guān)鍵部分僅有防護(hù)的不足：防護(hù)只能考慮已知的威脅和有限的威脅防護(hù)只能盡量阻止攻擊企圖的得逞或延緩該過程，不能阻止各種攻擊事件的發(fā)生5入侵檢測特性要求：經(jīng)濟性、時效性、安全性和可擴展性模塊劃分?jǐn)?shù)據(jù)提取、數(shù)據(jù)分析、處理結(jié)果6入侵檢測分類基于異常的入侵檢測正常行為往往有一定的規(guī)律，通過分析相關(guān)數(shù)據(jù)可以總結(jié)出該規(guī)律入侵和濫用行為通常與正常的行為有嚴(yán)重差異通過檢測這些差異來檢測入侵如：平時icmp的數(shù)據(jù)包數(shù)量、類型是一種表現(xiàn)，系統(tǒng)感染了沖擊波病毒時的icmp數(shù)據(jù)包的數(shù)量和類型是另一種表現(xiàn)商用不多，研究為主7入侵檢測分類基于誤用的入侵檢測通過某種模式或信號標(biāo)示攻擊，可以檢測出已知的攻擊，對未知的攻擊手段無能為力常用的是模式匹配系統(tǒng)8模式匹配檢測入侵信號層次存在只要存在某個審計事件就說明發(fā)生了入侵行為或企圖，對應(yīng)存在模式如：HTTP訪問../cmd.exe…序列一組事件的序列，對應(yīng)序列模式如：icmp數(shù)據(jù)包連續(xù)5秒鐘超過100pkt/s9模式匹配檢測入侵信號層次規(guī)則表示一組事件的邏輯表示，事件沒有順序關(guān)系如：icmp數(shù)據(jù)包連續(xù)5秒鐘超過100pkt/s其他更加復(fù)雜的表示存在模式∈序列模式∈規(guī)則表示模式∈其他模式10模式的關(guān)關(guān)系11入侵檢測測系統(tǒng)分分類主機模式式通過對主主機系統(tǒng)統(tǒng)的信息息進(jìn)行分分析來檢檢測分析的數(shù)數(shù)據(jù)源可可以是各各種日志志網(wǎng)絡(luò)模式式通過對網(wǎng)網(wǎng)絡(luò)上的的信息進(jìn)進(jìn)行分析析來檢測測抓包12Snort入侵侵檢測系系統(tǒng)139、靜夜四四無鄰，，荒居舊舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨中黃黃葉樹，，燈下白白頭人。。。03:48:4703:48:4703:4812/29/20223:48:47AM11、以我獨沈沈久，愧君君相見頻。。。12月-2203:48:4703:48Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。03:48:4703:48:4703:48Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2203:48:4703:48:47December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20223:48:47上上午03:48:4712月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:48上午午12月-2203:48December29,202216、行動出出成果，，工作出出財富。。。2022/12/293:48:4703:48:4729December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。3:48:47上午午3:48上午午03:48:4712月-229、沒有有失敗敗，只只有暫暫時停停止成成功?。?。12月月-2212月月-22Thursday,December29,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。03:48:4703:48:4703:4812/29/20223:48:47AM11、成功功就是是日復(fù)復(fù)一日日那一一點點點小小小努力力的積積累。。。12月月-2203:48:4703:48Dec-2229-Dec-2212、世間間成事事，不不求其其絕對對圓滿滿，留留一份份不足足，可可得無無限完完美。。。03:48:4703:48:4703:48Thursday,December29,202213、不不知知香香積積寺寺，，數(shù)數(shù)里里入入云云峰峰。。。。12月月-2212月月-2203:48:4703:48:47December29,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20223:48:47上上午午03:48:4712月月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月223:48上午午12月-2203:48December29,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/293:48:4703:48:4729December202217、空山新雨雨后，天氣氣晚來秋。。。3:48:47上上午3:48上上午03:48:4712月-229、楊柳散散和風(fēng)，，青山澹澹吾慮。。。12月-2212月-22Thursday,December29,202210、閱讀一切切好書如同同和過去最最杰出的人人談話。03:48:4703:48:4703:4812/29/20223:48:47AM11、越越是是沒沒有有本本領(lǐng)領(lǐng)的的就就越越加加自自命命不不凡凡。。12月月-2203:48:4703:48Dec-2229-Dec-2212、越是無無能的人人，越喜喜歡挑剔剔別人的的錯兒。。03:48:4703:48:4703:48Thursday,December29,202213、知人者者智，自自知者明明。勝人人者有力力，自勝勝者強。。12月-2212月-2203:48:4703:48:47December29,202214、意意志志堅堅強強的的人人能能把把世世界界放放在在手手中中像像泥泥塊塊一一樣樣任任意意揉揉捏捏。。29十十二二月月20223:48:47上上午午03:48:4712月月-2215、最具具挑戰(zhàn)戰(zhàn)性的的挑戰(zhàn)戰(zhàn)莫過過于提提升自自我。。。十二月月223:48上上午午12月月-2203:48December29,202216、業(yè)余生生活要有有意義，，不要越越軌。2022/12/293:48:4703:48:4729December202217、一個個人即即使已已登上上頂峰峰，也也仍要要自強強不息息。3:48:47上上午3:48上上午午03:48:4712月月-22MOMODAPO