《入侵检测技术》ppt课件

1、第第 7 章章 入侵检测技术入侵检测技术本章学习目的：本章学习目的：了解入侵检测系统的原理了解入侵检测系统的原理掌握入侵检测系统的中心技术掌握入侵检测系统的中心技术了解入侵检测系统的作用了解入侵检测系统的作用了解入侵检测技术的开展趋势了解入侵检测技术的开展趋势掌握入侵检测系统在网络平安中的位置掌握入侵检测系统在网络平安中的位置掌握评价入侵检测系统的性能目的掌握评价入侵检测系统的性能目的 27.1 7.1 入侵检测系统概述入侵检测系统概述 防火墙是一切维护网络的方法中最能普遍接受的方法，能阻挠防火墙是一切维护网络的方法中最能普遍接受的方法，能阻挠外部入侵者，但对内部攻击无能为力；同时，防火墙绝对

2、不是坚不外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些平安问题。防火墙不可摧的，即使是某些防火墙本身也会引起一些平安问题。防火墙不能防止通向站点的后门，不提供对内部的维护，无法防备数据驱动能防止通向站点的后门，不提供对内部的维护，无法防备数据驱动型的攻击，不能防止用户由型的攻击，不能防止用户由InternetInternet上下载被病毒感染的计算机程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充，它协助系统对付网络攻击，扩入侵检测是防火墙的合理补充，它协助系统对付网络

3、攻击，扩展了系统管理员的平安管理才干展了系统管理员的平安管理才干( (包括平安审计、监视、进攻识别包括平安审计、监视、进攻识别和呼应和呼应) )，提高了信息平安根底构造的完好性。，提高了信息平安根底构造的完好性。 37.1 7.1 入侵检测系统概述入侵检测系统概述7.1.1 7.1.1 相关术语相关术语攻击攻击 攻击者利用工具，出于某种动机，对目的系统采取的行动，攻击者利用工具，出于某种动机，对目的系统采取的行动，其后果是获取其后果是获取/ /破坏破坏/ /篡改目的系统的数据或访问权限篡改目的系统的数据或访问权限事件事件 在攻击过程中发生的可以识别的行动或行动呵斥的后果；在在攻击过程中发生的可

4、以识别的行动或行动呵斥的后果；在入侵检测系统中，事件经常具有一系列属性和详细的描画信入侵检测系统中，事件经常具有一系列属性和详细的描画信息可供用户查看。息可供用户查看。 CIDF CIDF 将入侵检测系统需求分析的数据统将入侵检测系统需求分析的数据统称为事件称为事件eventevent4入侵入侵 对信息系统的非授权访问及或未经答应在信息系统中进对信息系统的非授权访问及或未经答应在信息系统中进展操作展操作入侵检测入侵检测 对企图入侵、正在进展的入侵或曾经发生的入侵进展识别的对企图入侵、正在进展的入侵或曾经发生的入侵进展识别的过程过程入侵检测系统入侵检测系统IDSIDS 用于辅助进展入侵检测或者独

5、立进展入侵检测的自动化工具用于辅助进展入侵检测或者独立进展入侵检测的自动化工具7.1 7.1 入侵检测系统概述入侵检测系统概述7.1.1 7.1.1 相关术语相关术语5 入侵检测入侵检测Intrusion DetectionIntrusion Detection技术是一种动态的网技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意运用行络检测技术，主要用于识别对计算机和网络资源的恶意运用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵景象，那么该当做出适当的反响。对于正在一旦发现网络入侵景象，那么该

6、当做出适当的反响。对于正在进展的网络攻击，那么采取适当的方法来阻断攻击与防火墙进展的网络攻击，那么采取适当的方法来阻断攻击与防火墙联动，以减少系统损失。对于曾经发生的网络攻击，那么应联动，以减少系统损失。对于曾经发生的网络攻击，那么应经过分析日志记录找到发生攻击的缘由和入侵者的踪迹，作为经过分析日志记录找到发生攻击的缘由和入侵者的踪迹，作为加强网络系统平安性和清查入侵者法律责任的根据。它从计算加强网络系统平安性和清查入侵者法律责任的根据。它从计算机网络系统中的假设干关键点搜集信息，并分析这些信息，看机网络系统中的假设干关键点搜集信息，并分析这些信息，看看网络中能否有违反平安战略的行为和遭到袭击

7、的迹象。看网络中能否有违反平安战略的行为和遭到袭击的迹象。 7.1 7.1 入侵检测系统概述入侵检测系统概述7.1.2 7.1.2 入侵检测入侵检测67.1 7.1 入侵检测系统概述入侵检测系统概述入侵检测系统入侵检测系统 入侵检测系统入侵检测系统IDSIDS由入侵检测的软件与硬件组合而由入侵检测的软件与硬件组合而成，被以为是防火墙之后的第二道平安闸门，在不影响网络成，被以为是防火墙之后的第二道平安闸门，在不影响网络性能的情况下能对网络进展监测，提供对内部攻击、外部攻性能的情况下能对网络进展监测，提供对内部攻击、外部攻击和误操作的实时维护。这些都经过它执行以下义务来实现：击和误操作的实时维护。

8、这些都经过它执行以下义务来实现： 1 1监视、分析用户及系统活动。监视、分析用户及系统活动。 2 2系统构造和弱点的审计。系统构造和弱点的审计。 3 3识别反映知进攻的活动方式并向相关人士报警。识别反映知进攻的活动方式并向相关人士报警。 4 4异常行为方式的统计分析。异常行为方式的统计分析。 5 5评价重要系统和数据文件的完好性。评价重要系统和数据文件的完好性。 6 6操作系统的审计跟踪管理，并识别用户违反平安战操作系统的审计跟踪管理，并识别用户违反平安战略的行为。略的行为。 77.1 7.1 入侵检测系统概述入侵检测系统概述7.1.3 7.1.3 入侵检测系统的作用入侵检测系统的作用监控网络

9、和系统发现入侵企图或异常景象实时报警自动呼应审计跟踪 笼统地说，它就是网络摄像机，可以捕获并记录网络上的一切数据，笼统地说，它就是网络摄像机，可以捕获并记录网络上的一切数据，同时它也是智能摄像机，可以分析网络数据并提炼出可疑的、异常的网同时它也是智能摄像机，可以分析网络数据并提炼出可疑的、异常的网络数据，它还是络数据，它还是X X光摄像机，可以穿透一些巧妙的伪装，抓住实践的内光摄像机，可以穿透一些巧妙的伪装，抓住实践的内容。它还不仅仅只是摄像机，还包括保安员的摄像机容。它还不仅仅只是摄像机，还包括保安员的摄像机. .87.1 7.1 入侵检测系统概述入侵检测系统概述97.1 7.1 入侵检测系

10、统概述入侵检测系统概述7.1.4 7.1.4 入侵检测的开展历程入侵检测的开展历程 19801980年，概念的诞生年，概念的诞生1984198419861986年，模型的开展年，模型的开展 19901990年，构成网络年，构成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今，百家争鸣、昌盛昌盛九十年代后至今，百家争鸣、昌盛昌盛107.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实入侵检测系统根据数据包来源的不同，采用不用的实现方式，普通地可分为网络型、主机型

11、，也可是这两种类现方式，普通地可分为网络型、主机型，也可是这两种类型的混合运用。型的混合运用。基于网络的入侵检测系统NIDS基于主机的入侵检测系统HIDS混合型入侵检测系统Hybrid IDS117.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS： 网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备( (或一个公用主机或一个公用主机) )，经过监听网络上的一切报文，根据协议进展分析，并报告经过监听网络上的一切报文，根据协议进展分析，并报告网络中的非法运用者信息。网络中的非法运用者信

12、息。 安装在被维护的网段通常是共享网络，交换环境中交换机需支持端口映射中混杂方式监听分析网段中一切的数据包实时检测和呼应127.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 图图7-1 7-1 网络网络IDSIDS任务模型任务模型 137.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 网络网络IDSIDS优势优势(1) 实时分析网络数据，检测网络系统的非法行为；实时分析网络数据，检测网络系统的非法行为；(2) 网络网络IDS系统单独架设，不占用其它计算机系统的任何资系统单独架设，不占用其它计算机系统的任何资源；源；(3) 网络网络IDS系统是一个独立的网络设备，可以做到对黑客透

13、系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的平安性高；明，因此其本身的平安性高；(4) 它既可以用于实时监测系统，也是记录审计系统，可以做它既可以用于实时监测系统，也是记录审计系统，可以做到实时维护，事后分析取证；到实时维护，事后分析取证；(5) 经过与防火墙的联动，不但可以对攻击预警，还可以更有经过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。(6)不会添加网络中主机的负担。不会添加网络中主机的负担。147.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 网络网络IDSIDS的优势的优势(1)不适宜交换环境和高速环境不适宜交

14、换环境和高速环境(2)不能处置加密数据不能处置加密数据(3) 资源及处置才干局限资源及处置才干局限(4) 系统相关的脆弱性系统相关的脆弱性157.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS： 运转于被检测的主机之上，经过查询、监听当前系统运转于被检测的主机之上，经过查询、监听当前系统的各种资源的运用运转形状，发现系统资源被非法运用和的各种资源的运用运转形状，发现系统资源被非法运用和修正的事件，进展上报和处置。修正的事件，进展上报和处置。 安装于被维护的主机中 主要分析主机内部活动 占用一定的

15、系统资源167.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 主机主机IDSIDS优势优势(1) 准确地判别攻击行为能否胜利。准确地判别攻击行为能否胜利。(2) 监控主机上特定用户活动、系统运转情况监控主机上特定用户活动、系统运转情况(3) HIDS可以检测到可以检测到NIDS无法检测的攻击无法检测的攻击(4) HIDS适用加密的和交换的环境。适用加密的和交换的环境。(5) 不需求额外的硬件设备。不需求额外的硬件设备。177.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 主机主机IDSIDS的优势的优势(1) HIDS对被维护主机的影响。对被维护主机的影响。(2) HIDS的平

16、安性遭到宿主操作系统的限制。的平安性遭到宿主操作系统的限制。(3) HIDS的数据源遭到审计系统限制。的数据源遭到审计系统限制。(4) 被木马化的系统内核可以骗过被木马化的系统内核可以骗过HIDS。(5) 维护维护/晋级不方便。晋级不方便。187.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 3 3、两种实现方式的比较：、两种实现方式的比较： 1)1)假设攻击不经过网络基于网络的假设攻击不经过网络基于网络的IDSIDS无法检测到只能无法检测到只能经过运用基于主机的经过运用基于主机的IDSIDS来检测；来检测； 2)2)基于网络的基于网络的IDSIDS经过检查一切的包头来进展检测，而经过

17、检查一切的包头来进展检测，而基于主机的基于主机的IDSIDS并不查看包头。主机并不查看包头。主机IDSIDS往往不能识别基于往往不能识别基于IPIP的回绝效力攻击和碎片攻击；的回绝效力攻击和碎片攻击； 3)3)基于网络的基于网络的IDSIDS可以研讨数据包的内容，查找特定攻可以研讨数据包的内容，查找特定攻击中运用的命令或语法，这类攻击可以被实时检查包序列击中运用的命令或语法，这类攻击可以被实时检查包序列的的IDSIDS迅速识别；而基于主机的系统无法看到负载，因此也迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。197.2 7.2 入侵检测的

18、原理与技术入侵检测的原理与技术 4 4、混合型入侵检测系统、混合型入侵检测系统Hybrid IDSHybrid IDS 在新一代的入侵检测系统中将把如今的基于网络和基在新一代的入侵检测系统中将把如今的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。击签名检测报告和事件关联功能。 可以深化地研讨入侵事件入侵手段本身及被入侵目的可以深化地研讨入侵事件入侵手段本身及被入侵目的的破绽等。的破绽等。207.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的根本构造的根本

19、构造 无论无论IDSIDS系统是网络型的还是主机型的，从功能上看，都可系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产惹事件；后者用于显示和分析事件以及战略定制等任务。产惹事件；后者用于显示和分析事件以及战略定制等任务。 217.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的根本构造的根本构造 图图7-3 7-3 引擎的任务流程引擎的任务流程 引擎的主要功能引擎的主要功能为：原始数据读取、为：原始数据读取、数据分析、产惹事件、数据分析、产惹

20、事件、战略匹配、事件处置、战略匹配、事件处置、通讯等功能通讯等功能 227.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的根本构造的根本构造 图图7-4 7-4 控制中心的任务流程控制中心的任务流程 控制中心的主要功能为：通讯、事件读取、事件显示、战控制中心的主要功能为：通讯、事件读取、事件显示、战略定制、日志分析、系统协助等。略定制、日志分析、系统协助等。237.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 入侵检测主要经过专家系统、方式匹配、协议分析入侵检测主要经过专家系统、方式

21、匹配、协议分析或形状转换等方法来确定入侵行为。入侵检测技术有：或形状转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是经过检查系统的当前系统配置，诸静态配置分析是经过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统能否曾经或者如系统文件的内容或系统表，来检查系统能否曾经或者能够会遭到破坏。静态是指检查系统的静态特征能够会遭到破坏。静态是指检查系统的静态特征( (系统配系统配置信息置信息) )，而不是系统中的活动。，而不是系统中的活动。 247.2 7.2

22、 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 2 2、异常检测技术、异常检测技术 经过对系统审计数据的分析建立起系统主体经过对系统审计数据的分析建立起系统主体( (单个用户、单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等一组用户、主机，甚至是系统中的某个关键的程序和文件等) )的正常行为特征轮廓；检测时，假设系统中的审计数据与已建的正常行为特征轮廓；检测时，假设系统中的审计数据与已建立的主体的正常行为特征有较大出入就以为是一个入侵行为。立的主体的正常行为特征有较大出入就以为是一个入侵行为。这一检测方法称这一检测方法称“异常

23、检测技术。异常检测技术。 普通采用统计或基于规那么描画的方法建立系统主体的行普通采用统计或基于规那么描画的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规那么描画的特征轮廓。为特征轮廓，即统计性特征轮廓和基于规那么描画的特征轮廓。257.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 3 3误用检测技术误用检测技术 误用检测技术误用检测技术(Misuse Detection)(Misuse Detection)经过检测用户行为中经过检测用户行为中的那些与某些知的入侵行为方式类似的行为或那些利用系统中的那些与某些知的入侵行为

24、方式类似的行为或那些利用系统中缺陷或是间接地违背系统平安规那么的行为，来检测系统中的缺陷或是间接地违背系统平安规那么的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。入侵活动，是一种基于已有的知识的检测。 这种入侵检测技术的主要局限在于它只是根据知的入侵序这种入侵检测技术的主要局限在于它只是根据知的入侵序列和系统缺陷的方式来检测系统中的可疑行为，而不能处置对列和系统缺陷的方式来检测系统中的可疑行为，而不能处置对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。267.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.4 7

25、.2.4 入侵检测分析技术的比较入侵检测分析技术的比较 1 1方式匹配的缺陷方式匹配的缺陷 1 1计算负荷大计算负荷大 2 2检测准确率低检测准确率低 2 2协议分析新技术的优势协议分析新技术的优势 1 1提高了性能提高了性能 2 2提高了准确性提高了准确性 3 3反躲避才干反躲避才干 4 4系统资源开销小系统资源开销小 277.3 7.3 入侵检测系统的性能目的入侵检测系统的性能目的 1 1系统构造系统构造好的好的IDSIDS应能采用分级、远间隔分式部署和管理。应能采用分级、远间隔分式部署和管理。287.3 7.3 入侵检测系统的性能目的入侵检测系统的性能目的 2 2事件数量事件数量 调查调

26、查IDSIDS系统的一个关键性目的是报警事件的多少。系统的一个关键性目的是报警事件的多少。普通而言，事件越多，阐明普通而言，事件越多，阐明IDSIDS系统可以处置的才干越系统可以处置的才干越强。强。 3 3处置带宽处置带宽 IDS IDS的处置带宽，即的处置带宽，即IDSIDS可以处置的网络流量，是可以处置的网络流量，是IDSIDS的一个重要性能。目前的网络的一个重要性能。目前的网络IDSIDS系统普通可以处置系统普通可以处置202030M30M网络流量，经过专门定制的系统可以勉强处置网络流量，经过专门定制的系统可以勉强处置404060M60M的流量。的流量。 297.3 7.3 入侵检测系统

27、的性能目的入侵检测系统的性能目的 4 4探测引擎与控制中心的通讯探测引擎与控制中心的通讯 作为分布式构造的作为分布式构造的IDSIDS系统，通讯是其本身平安的系统，通讯是其本身平安的关键要素。通讯平安经过身份认证和数据加密两种方法关键要素。通讯平安经过身份认证和数据加密两种方法来实现。来实现。 身份认证是要保证一个引擎，或者子控制中心只能身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进展控制，任何非法的控制行为将予以阻由固定的上级进展控制，任何非法的控制行为将予以阻止。身份认证采用非对称加密算法，经过拥有对方的公止。身份认证采用非对称加密算法，经过拥有对方的公钥，进展加密、解密完成身

28、份认证。钥，进展加密、解密完成身份认证。307.3 7.3 入侵检测系统的性能目的入侵检测系统的性能目的 5 5事件定义事件定义 事件的可定义性或可定义事件是事件的可定义性或可定义事件是IDSIDS的一个主要特性。的一个主要特性。 6 6二次事件二次事件 对事件进展实时统计分析，并产生新的高级事件才干。对事件进展实时统计分析，并产生新的高级事件才干。 7 7事件呼应事件呼应 经过事件上报、事件日志、经过事件上报、事件日志、EmailEmail通知、手机短信息、通知、手机短信息、语音报警等方式进展呼应。语音报警等方式进展呼应。 还可经过还可经过TCPTCP阻断、防火墙联动等方式自动呼应。阻断、防

29、火墙联动等方式自动呼应。317.3 7.3 入侵检测系统的性能目的入侵检测系统的性能目的 8 8本身平安本身平安 本身平安指的是探测引擎的平安性。要有良好的隐蔽本身平安指的是探测引擎的平安性。要有良好的隐蔽性，普通运用定制的操作系统。性，普通运用定制的操作系统。 9 9终端平安终端平安 主要指控制中心的平安性。有多个用户、多个级别的主要指控制中心的平安性。有多个用户、多个级别的控制中心，不同的用户应该有不同的权限，保证控制中心控制中心，不同的用户应该有不同的权限，保证控制中心的平安性。的平安性。 327.4 7.4 入侵防御系统简介入侵防御系统简介 IDS IDS只能被动地检测攻击，而不能自动

30、地把变化莫测的要挟阻只能被动地检测攻击，而不能自动地把变化莫测的要挟阻止在网络之外。因此，人们迫切地需求找到一种自动入侵防护处理止在网络之外。因此，人们迫切地需求找到一种自动入侵防护处理方案，以确保企业网络在要挟四起的环境下正常运转。方案，以确保企业网络在要挟四起的环境下正常运转。 入侵防御系统入侵防御系统Intrusion Prevention SystemIntrusion Prevention System或或Intrusion Intrusion Detection PreventionDetection Prevention，即，即IPSIPS或或IDPIDP就应运而生了。就应运而生

31、了。IPSIPS是一种是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能经过一定的呼应方式，实时地中止入侵行为的发生和开展，实时地经过一定的呼应方式，实时地中止入侵行为的发生和开展，实时地维护信息系统不受本质性的攻击。维护信息系统不受本质性的攻击。IPSIPS使得使得IDSIDS和防火墙走向一致。和防火墙走向一致。 IPS IPS在网络中普通有四种衔接方式：在网络中普通有四种衔接方式：SpanSpan接在交换机旁边，接在交换机旁边，作为端口映像、作为端口映像、TapTap接在交换机与路由器中间，旁路安装，拷接在交换机与路由

32、器中间，旁路安装，拷贝一份数据到贝一份数据到IPSIPS中、中、InlineInline接在交换机与路由器中间，在线接在交换机与路由器中间，在线安装，在线阻断攻击和安装，在线阻断攻击和Port-clusterPort-cluster被动抓包，在线安装。被动抓包，在线安装。它在报警的同时，能阻断攻击。它在报警的同时，能阻断攻击。 337.5 7.5 蜜网圈套蜜网圈套Honeynet Honeynet Honeynet Honeynet是一个网络系统，并非某台单一主机，这一网络系统是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，一切进出的数据都遭到关注、捕获及控制。隐藏在防火墙的

33、后面，一切进出的数据都遭到关注、捕获及控制。这些被捕获的数据用来研讨分析入侵者们运用的工具、方法及动机。这些被捕获的数据用来研讨分析入侵者们运用的工具、方法及动机。在一个在一个HoneynetHoneynet中，可以运用各种不同的操作系统及设备，如中，可以运用各种不同的操作系统及设备，如SolarisSolaris、LinuxLinux、Windows NTWindows NT、Cisco SwitchCisco Switch等。等。 这样，建立的网络环境看上去会更加真实可信，同时还有不同这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运转着不同的效力，比如的系统平台上面运

34、转着不同的效力，比如LinuxLinux的的DNS ServerDNS Server、WindowsNTWindowsNT的的WebServerWebServer或者一个或者一个SolarisSolaris的的FTP ServerFTP Server，可以运用，可以运用不同的工具以及不同的战略或许某些入侵者仅仅把目的定于几个特不同的工具以及不同的战略或许某些入侵者仅仅把目的定于几个特定的系统破绽上，而这种多样化的系统，就能够更多地提示出入侵定的系统破绽上，而这种多样化的系统，就能够更多地提示出入侵者的一些特性。者的一些特性。 347.5 7.5 蜜网圈套蜜网圈套Honeynet Honeyne

35、t 利用利用SnortSnort软件安装软件安装Win2000ServerWin2000Server下的蜜网圈套下的蜜网圈套 Snort Snort 是一个强大的轻量级的网络入侵检测系统。它具有是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志实时数据流量分析和日志IPIP网络数据包的才干，可以进展协议网络数据包的才干，可以进展协议分析，对内容进展搜索分析，对内容进展搜索/ /匹配。它可以检测各种不同的攻击方式，匹配。它可以检测各种不同的攻击方式，对攻击进展实时报警。对攻击进展实时报警。 构建完好的构建完好的SnortSnort系统需求以下软件，详细安装方法请参照系统需求以下软

36、件，详细安装方法请参照网上相关资料。网上相关资料。acid-0.9.6b23.tar.gz acid-0.9.6b23.tar.gz 基于基于php php 的入侵检测数据库分析控制的入侵检测数据库分析控制台台adodb360.zip ADOdbadodb360.zip ADOdbActive Data Objects Data BaseActive Data Objects Data Base库库for PHPfor PHPapache_2.0.46-win32-x86-no_src.msi Windows apache_2.0.46-win32-x86-no_src.msi Windows

37、 版本的版本的Apache Web Apache Web 效力器效力器jpgraph-1.12.2.tar.gz OO jpgraph-1.12.2.tar.gz OO 图形库图形库for PHPfor PHPmysql-4.0.13-win.zip Windows mysql-4.0.13-win.zip Windows 版本的版本的Mysql Mysql 数据库效力器数据库效力器php-4.3.2-Win32.zip Windows php-4.3.2-Win32.zip Windows 版本的版本的php php 脚本环境支持脚本环境支持snort-2_0_0.exe Windows snort-2_0_0.exe Windows 版本的版本的Snort Snort 安装包安装包WinPcap_3_0.exe WinPcap_3_0.exe 网络数据包截取驱动程序网络数据包截取驱动程序phpmyadmin-2.5.1-php.zip phpmyadmin-2.5.1-php.zip 基于基于php php 的的Mysql Mysql 数据库管理程数据库管理程序序357.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统 天阗黑客入侵检测与预警系统是一种动态的入侵检测与呼应系天阗黑客入侵检测与预警系统是一种动态的入侵检测与呼应系统。它