入侵检测核心技术.docx
- 文档编号:2171381
- 上传时间:2022-10-27
- 格式:DOCX
- 页数:11
- 大小:142.87KB
入侵检测核心技术.docx
《入侵检测核心技术.docx》由会员分享,可在线阅读,更多相关《入侵检测核心技术.docx(11页珍藏版)》请在冰豆网上搜索。
入侵检测核心技术
入侵检测技术
一、实验目
通过实验进一步理解入侵检测系统原理和工作方式,熟悉入侵检测系统配备和使用。
实验详细规定如下:
1.理解入侵检测作用和原理
2.理解误用检测和异常检测区别
3.掌握Snort安装、配备和使用等实用技术
二、实验原理
1、入侵检测概念及其功能
入侵检测是指对入侵行为发现、报警和响应,它通过对计算机网络或计算机系统中若干核心点收集信息并对其进行分析,从中发现网络或系统中与否有违背安全方略行为和被袭击迹象。
入侵检测系统(intrusiondetectionsystem,IDS)是完毕入侵检测功能软件和硬件集合。
入侵检测功能重要体当前如下几种方面:
1).监视并分析顾客和系统活动。
2).核查系统配备和漏洞。
3).辨认已知袭击行为并报警。
4).记录分析异常行为。
5).评估系统核心资源和数据文献完整性。
6).操作系统审计跟踪管理,并辨认违背安全方略顾客行为。
2、入侵检测分类
依照IDS检测对象和工作方式不同,可以将IDS分为基于网络IDS(简称NIDS)和基于主机IDS(简称HIDS)。
NIDS和HIDS互为补充,两者结合使用使得IDS有了更强检测能力。
1).基于主机入侵检测系统。
HIDS历史最久,最早用于审计顾客活动,例如顾客登录、命令操作、应用程序使用资源状况等。
HIDS重要使用主机审计记录和日记文献作为输入,某些HIDS也会积极与主机系统进行交互以获得不存在于系统日记信息。
HIDS所收集信息集中在系统调用和应用层审计上,试图从日记寻找滥用和入侵事件线索。
HIDS用于保护单台主机不受网络袭击行为侵害,需要安装在保护主机上。
2).基于网络入侵检测系统。
NIDS是在网络中某一点被动地监听网络上传播原始流量,并通过合同分析、特性、记录分析等分析手段发现当前发生袭击行为。
NIDS通过对流量分析提取牲模式,再与已知袭击牲相匹配或与正常网络行为原形相比较来辨认袭击事件。
3、入侵检测系统
1).入侵检测系统特点:
入侵检测系统(IntrusionDetectionSystem)是对防火墙有益补充,它对网络和主机行为进行检测,提供对内部袭击、外部袭击和误操作实时监控,增强了网络安全性。
在安全防范方面,入侵检测系统可以实现事前警告、事中防护和事后取证。
入侵检测系统可以在入侵袭击行为对网络系统导致危害前,及时检测到入侵袭击发生,并进行报警;入侵袭击发生时,入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护;被入侵袭击后,入侵检测系统可以提供详细袭击信息日记,便于取证分析。
相对于防火墙提供静态防护而言,入侵检测系统侧重于提供动态实时检测防护,因而防火墙和入侵检测系统结合,可以给网络带来更全面防护。
2).入侵检测系统实现原理:
入侵检测系统实现技术可以简朴地分为两大类:
基于特性检测和基于异常检测。
基于特性检测技术重要涉及模式匹配和合同分析两种重要检测办法。
模式匹配就是将已知入侵事件哀悼到网络入侵和系统误用知识库中,对入侵检测系统哀悼信息和知识库中规则进行比较,以发现入侵行为。
合同分析技术则对数据包进行合同解析后进行分析。
这种技术需要一方面捕获数据包,然后对数据包进行解析,涉及网络合同分析和命令解析,虽然在高负载调节网络上,也能逐个分析所有数据包。
基于牲检测技术只需收集有关数据,和所维护知识库规则比较就能进行判断,检测精确率和效率较高。
但是,该技术需要不断进行知识库规则升级以对付不断浮现新袭击手法,并且,它不能检测未知袭击手段。
3).入侵检测系统布置原则:
NIDS总来说涉及探测器和控制台两大某些。
探测器是专用硬件设备,负责网络数据流捕获、分析检测和报警等功能。
控制台是管理探测器工具,它负责接受探测器检测日记数据,并提供数据查询和报告生成等功能,一种控制台可以管理各种探测器。
HIDS安装在被保护机器上,在主机系统审计日记或操作中查找信息源进行智能分析和判断,例如操作系统日记、系统进程、文献访问和注册表访问等信息。
由于HIDS安装在需要保护主机系统上,这将影响应用系统运营效率。
HIDS对主机系统固有日记与监视能力有很高依赖性,它普通针对其所在系统进行检测。
4/Snort简介及使用原理:
1).Snort是一款免费NIDS,具备小巧灵便、易于配备、检测效率高等特性,常被称为轻量级IDS。
Snort具备实时数据流量分析和IP数据包日记分析能力,具备跨平台特性,可以进行合同分析和对内容搜索或匹配。
Snort可以检测不同袭击行为,如缓冲区溢出、端口扫描和回绝服务袭击等,并进行实时报警。
Snort可以依照顾客事先定义某些规则分析网络数据流,并依照检测成果采用一定行动。
Snort有3种工作模式,即嗅探器、数据包记录器和NIDS。
嗅探器模式仅从网络上读取数据包并作为持续不断数据流显示在终端上;数据包记录器模式把数据包记录到硬盘上,以备分析之用;NIDS模式功能强大,可以通过配备实现。
2).Snort构造由四大软件模块构成:
(1)数据包嗅探模块。
负责监听网络数据包,对网络进行分析。
(2)预解决模块。
该模块用相应插件来检查原始数据包,从中发现原始数据"行为"。
(3)检测模块。
该模块是Snort核心模块。
当数据包从预解决器送过来后,检测引擎根据预先设立规则检查数据包,一旦发现数据包中内容和某条规则相匹配,就告知报警模块。
(4)报警/日记模块。
经检测引擎检查后Snort数据需要以某种方式输出。
如果检测引擎中某条规则被匹配,则会触发一条报警。
3).Snort规则。
Snort每条规则逻辑上都可以提成规则头部和规则选项。
规则头部涉及规则行为、合同、源或目IP地址、子网掩码、源端口和目端口;规则选项包括报警信息和异常包信息(特性码),基于特性码决定与否采用规则规定行动。
对于每条规则来说,规则选项不是必须,只是为了更加详细地定义应当收集或者报警数据包。
只有匹配所有选项数据包,Snort都会执行其规则行为。
如果许多选项组合在一起,它们之间是“逻辑与“关系。
三、实验环节
实验内容一:
Windows平台下Snort安装与配备
由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap(WIN32平台上网络分析和捕获数据包链接库)。
1.下载Windows平台下Snort安装程序,选取安装目录为c:
\Snort。
进行到选取日记文献存储方式时,为简朴起见,选取不需要数据库支持或者Snort默认MySQL和ODBC数据库支持方式。
(即选取"Idonotplantologtoadatabase,orIamplanningtologtooneofthedatabaseslistedabove.")
2.单击“开始”菜单,选取“运营”命令,输入cmd并按Enter键,在命令行方式下输入如下命令c:
\>cdc:
\Snort\bin,然后输入c:
\Snort\bin>snort-W。
如果Snort安装成功,系统将显示如下图所示信息。
3.从返回成果可知主机上有哪个物理网卡正在工作及该网卡详细信息。
其中第五个是具备物理地址网卡。
输入snort-v-i5命令启用Snort。
其中,-v表达使用Verbose模式,把信息包打印在屏幕上;-i5表达监听第五个网卡。
如下图所示:
4.为了进一步查看Snort运营状况,可以人为制造某些ICMP网络流量。
在局域网段中另一台主机上使用Ping指令,探测运营Snort主机。
5.回到运营Snort主机,发现Snort已经记录了这次探测数据包,Snort在屏幕上输出了局域网中另一台主机到本主机ICMP数据包头。
6.打开c:
\Snort\etc\snort.conf(先用下载snort.conf代替本来snort.conf),设立Snort内部和外部网络检测范畴。
将Snort.conf文献中varHOME_NETany语句中Any改为自己所在子网地址,即将Snort监测内部网络设立为本机所在局域网。
如本地IP为192.168.1.100,则将Any改为192.168.1.0/24。
将varHOME_NETany语句中HOME_NET值改为本地网络标记,即192.168.1.0/24
7.配备网段内提供网络服务IP地址,只需要把默认$HOME_NET改成相应主机地址即可:
varDNS_SERVERS$HOME_NET;varSMTP_SERVERS$HOME_NET;varHTTP_SERVERS$HOME_NET;varSQL_SERVERS$HOME_NET;varTELNET_SERVERS$HOME_NET;varSNMP_SERVERS$HOME_NET如果不需要监视某种类型服务,可用#号将上述语句其注释掉。
8.修改设立监测包括规则。
在配备文献末尾,定义了与规则有关配备,格式如下:
include$RULE_PATH/local.rules;include$RULE_PATH/bad-traffic.rules;include$RULE_PATH/exploit.rules。
其中变量$RULE_PATH指明了规则文献存储途径,可以在语句varRULE_PATH../rules中将变量RULE_PATH改为存储规则集目录,如:
c:
\snort\rules。
9.在Snort.conf文献中,修改配备文献Classification.conf和Reference.conf途径:
includec:
\Snort\etc\classification.conf;includec:
\Snort\etc\reference.config。
其中,Classification.conf文献保存是和规则警报级别有关配备,Reference.conf文献保存了提供更多警报有关信息链接。
实验内容二:
Windows平台下Snort使用
1.Snort嗅探器模式。
检测Snort安装与否成功时,用到就是Snort嗅探器模式。
输入命令如下:
snort-v-i5使Snort只将IP和TCP/UDP/ICMP包头信息输出到屏幕上。
如果要看到应用层数据,可以输入如下命令:
snort-v-d-i5。
如果需要输出更详细信息,输入命令:
snort-v-d-e-i5可以显示数据链路层信息。
2.数据包记录器模式。
上面命令只是在屏幕上输出,如果要记录在LOG文献上,需要预先建立一种Log目录。
输入下面命令启用数据包记录器模式:
snort-dve-i5-lc:
\Snort\log-h192.168.1.0/24-Kascii。
其中,-l选项指定了存储日记文献夹;-h指定目的主机,这里检测对象是局域网段内所有主机,如不指定-h,则默认检测本机;-K指定了记录格式,默认是Tcpdump格式,此处使用ASCII码。
3.网络IDS模式。
Snort最重要用途还是作为基于误用检测技术NIDS。
输入下面命令启动IDS模式:
snort-i5-dev-l./log-h192.168.1.0/24-Kascii-cc:
\Snort/etc/snort.conf。
相比数据包记录器模式中使用命令,该命令只增长了一种选项-c,用于告诉Snort使用Snort.conf中规则集文献。
Snort会对每个包和规则集进行匹配,如符合规则就采用规则所指定动作。
4.下面将通过对运营了Snort目的主机进行故意袭击,来观测Snort检测入侵能力。
一方面,向目的主机发送ICMP长数据包来观测Snort反映,ICMP长数据包是有潜在危险,普通会被视为入侵;然后,使用网络端口扫描工具Nmap对目的主机进行扫描,观测Snort检测状况。
详细操作环节如下:
(1)在安装好Sno
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 核心技术