1、入侵检测系统概述入侵检测系统概述入侵检测的监视技术入侵检测的监视技术入侵检测的分析技术入侵检测的分析技术的体系结构的体系结构使用搭建使用搭建简介简介的发展趋势的发展趋势实验实验被动安全防御技术的不足: 防火墙:以上的攻击来源于组织内部;串联的工作方式使其无法进行复杂的检测 安全访问控制:黑客可以通过身份窃取、利用系统漏洞等手段绕开安全访问控制机制 入侵检测技术的产生: 作为一种积极主动的安全防护技术,对各种被动防护技术起到了极其有益的补充 它从计算机网络或计算机系统中的若干关键点处收集信息,并对其分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象 事件产生器事件分析器响应单元事件
2、数据库 体系结构图体系结构图 事件产生器:负责从入侵检测系统外的计算环境中获得事件。事件产生器:负责从入侵检测系统外的计算环境中获得事件。事件分析器:对事件进行分析,判断其是否属于攻击。事件分析器:对事件进行分析,判断其是否属于攻击。响应单元:在发现攻击时作出响应响应单元:在发现攻击时作出响应,包括终止进程、重置连接、修改防包括终止进程、重置连接、修改防火墙规则等。火墙规则等。事件数据库:用于存放中间数据或最终数据。它既可以是数据库,也事件数据库:用于存放中间数据或最终数据。它既可以是数据库,也可以是简单的文本文件。可以是简单的文本文件。解码器:负责从网络接口上获取数据包。解码器:负责从网络接
3、口上获取数据包。 检测引擎:该子系统是工作在入侵检测模式下的核心部分,它检测引擎:该子系统是工作在入侵检测模式下的核心部分,它使用基于规则匹配的方式来检测每个数据包。一旦发现数据包使用基于规则匹配的方式来检测每个数据包。一旦发现数据包的特征符合某个规则定义,则触发相应的处理操作。的特征符合某个规则定义,则触发相应的处理操作。日志警报子系统:规则中定义了数据包的处理方式,包括(报日志警报子系统:规则中定义了数据包的处理方式,包括(报警)、(记录)和(忽略)等,但具体的和操作则是由日志警警)、(记录)和(忽略)等,但具体的和操作则是由日志警报子系统完成的。日志子系统将解码得到的信息以码的格式或报子
4、系统完成的。日志子系统将解码得到的信息以码的格式或以的格式记录下来,报警子系统将报警信息发送到、或数据库以的格式记录下来,报警子系统将报警信息发送到、或数据库中。中。 预处理器:可选部件,用于提供除规则匹配外的检测机制。预处理器:可选部件,用于提供除规则匹配外的检测机制。 输出插件:可选部件。用来格式化警报信息。使得管理员可以输出插件:可选部件。用来格式化警报信息。使得管理员可以按照公司环境来配置容易理解、使用和查看的报警和日志方法。按照公司环境来配置容易理解、使用和查看的报警和日志方法。 解码器预处理器检测引擎输出插件日志警报子系统件进行输出,或者利用日志警报子系统进行报警件进行输出,或者利
5、用日志警报子系统进行报警和记录。和记录。ruletype myalter type alter output alter_syslog: LOG_AUTH LOG_ALERT output database: log, mysql, user=snort dbname=snort host=localhost 将与防火墙的功能集中在一起,形成一种新的产品:入侵防御将与防火墙的功能集中在一起,形成一种新的产品:入侵防御系统(系统( ,),有时又称入侵检测和防御系统(,),有时又称入侵检测和防御系统( ,),) $ $ ( :, ; : ; ; ; ; ; ;) 点击点击“开始开始”“运行运行”,输入,输入“ ”连接服务器;连接服务器; 连接成功后,服务器会提示输入用户名和密码。此时,输入正确的用户名和错误的密码。之后,会看到屏幕上会连接成功后,服务器会提示输入用户名和密码。此时,输入正确的用户名和错误的密码。之后,会看到屏幕上会“ ”的提示。的提示。 telnet服务器IP:192.168.0.179编写自定义编写自定义的规则的规则telnet客户端IP:192.168.0.176模拟模拟telnet登陆失败登陆失败查看日志文件,查看日志文件,确认已检测到该确认已检测到该事件事件