网络安全试验十-入侵检测系统

1、2019学年 第1学期 网络安全实验10：入侵检测系统入侵检测系统【实验目的与要求】(1)理解入侵检测系统的工作原理；(2)掌握开源入侵检测系统(软件类)的发展现状；安装调研一种入侵检测系统如Snort进行试用；(3)调研目前主流厂家的入侵检测系统和入侵防护系统(硬件类)的发展状况(厂商、产品型号和报价等)；【实验需求】(1)入侵检测系统的工作原理：数据收集：收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等；数据处理：由于之前收集到的数据过于庞大和繁杂，需要对其进行相应的处理(去除冗余、 噪声，并且进行数据标准化及格式化处理)；数据分析：采用统计、智能算法能方法分析

2、数据是否正常，显示是否存在入侵；行为 响应处理：当发现入侵行为时，采取预案措施进行防护(如切断网络，记录日志)、并保留 入侵证据以作他日调查所用，同时向管理员报警。(2)开源入侵检测系统的发展现状 ：从总体上讲，目前除了完善常规的、传统的技术(模式 识别和完整性检测)外，入侵检测系统应重点加强与统计分析相关的研究。许多学者在研究新的检测方法，如采用自动代理的主动防御方法，将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为：(1)分布式入侵检测与 CIDF传统的入侵检测系统一般局限于单一的主机或网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系统之间不能协同工作。为此

3、，需要分布式入侵检测技术与CIDF。(2)应用层入侵检测许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理如 Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。2019学年 第1学期 网络安全(3)智能入侵检测目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适应能力。(4)与网络安全技术相结合结合防火墙、PKIX、安全电子交易(SET)

4、等网络安全与电子商务技术，提供完整的网络 安全保障。(5)建立入侵检测系统评价体系设计通用的入侵检测测试、评估方法和平台，实现对多种入侵检测系统的检测，已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行，评价指标有：能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。 在 Windows环境下安装和使用Snort:.首先从 HYPERLINK /install/default.htm /install/default.htm 下载 wi

5、npcap 并安装.从下载snort规则,解压后，将规则文件(.rules)复制到Snort安装目 录的 rules/目录下J Snort 282Xticense AtMtsneniePtease rewew ihe kense terms before tnstaing Snort 2,3,2.hess Page Dovjn to see the rest of the agreefiierr, The text ttiat follows is the GNU Generi Pubk License, Verswi 2 GPL V2) vd yoir ijsc , ecxthn 冉nd r

6、 出tdbutiQn刑小丁，Settari，巧F * GPL V2 adtnewMgcs that the Free ScftMare FeindatMri may publish re . ired & nev.c f the GPL.翠工片中fto9further states that a hcensee of a propram subjeti t外 the GPL Y2 conic be to US an / 皿力 rrndjcrversions urxJrr口 占%包fM 黑唇广ana ,L Tadure to Specify J Secton 9 of the GPL * 2 仲

7、如心 a lrsee of avIf you accept Stie terms flf the aqreernert, dick : Agree to EctHiue. Ydli must accept the ayecflitnt to nstal Siwt 282hbjllcirt InsUB Syftfrn v2-C? ICantfil.从 HYPERLINK 下载 snort 并安装2019学年 第1学期 网络安全名枷压嫡防 压缩后 类型目录)文件夹doc文彳按rules文件夹此辱陋其培事胪G 和。d fuIk 招梆 ,otdcle.rulesPflCp.rutes nelt*Djn

8、jlemysjqLru 兄 3muttimrrlu l misc tnjie5locBLrules_ in 叩.utetEpTMoruie， kmpnjlfs 胪* msg, map geMr玳m， ftpru 依fimjer fuIcv邛 5.2* eKperimental.inLjIes dos.nj|i 的 fail-deleted ruhrt ddoj 此4.从“命令提示符“进入 Snort安装目录，找到bin目录并运行snort.exe。例如： C:snortbinsnort -V注意：使用-i选项，以选择正确的网卡。使用 -1选项，选择正确的日志记录目录。B.嗅探模式：snort

9、-vC.记录模式 mkdir log snort -dev -l ./log D.网络入侵检测模式 mkdir logsnort -dev -l ./log -h /24 -c /etc/snort/snort.conf5.修改并使用 Snort的默认配置文件(snort.conf)运行Snort, snort.conf是规则集文件。snort 会对每个包和规则集进行匹配， 发现这样的包就采取相应的行动。 如果不指定输出目录，snort 就输出到/var/log/snort目录。注意Snort的语法。使用时，将其复制到 Snort的/etc/目录，使 用命令：C:snortbinsnort -

10、i 2 -c ./etc/snort.conf -l ./log/注：-i 2表示系统里面的第2块网卡，根据自己的电脑网卡情况决定，需要使用snort - W显示网卡接口。不要复制上面命令，手动输入，字符存在差异。如需停止snort,使用“ctrl+c”(3)思科入侵检测系统。Cisco IDS 4200系列设备检测器包括三型产品：Cisco IDS 4210、32019学年 第1学期 网络安全Cisco IDS 4235和Cisco IDS 4250。整个Cisco IDS设备系列提供多种解决方案，这些解决方案可以集成到多种不同的环境中， 包括企业和电信运营商环境。 每个设备检测器都能提供多

11、 档性能，满足从 45Mbps到千兆位的带宽要求。 Cisco IDS 4210可以监控45Mbps的流量，适用于T1/E1和T3环境。在200Mbps速度下，Cisco IDS 4235可以在交换环境中、多个 T3子网上以及在10/100/1000接口的支持下提供保护。另外，它还可以部署在部分使用的千兆位链路上。Cisco IDS 4250不但能以500Mbps的速度支持无与伦比的性能，还能保护千兆位子网以及正在穿越交换机（从多个子网汇集流量）的流量。检测器几乎可以放置在需要安全可视性的企业网的任何网段上。网反点评：二参考报价;289500启明星.捌飞桁榜：第2名 参考报价:85000 网友点评：会番CQA热门由桁榜:第3名参考报松: 140000网友点评:（ 0 i热门引布榜，第话参考报伊:118600网友点评：/J2019学年 第1学期 网络安全【实验心得】通过本次实验，我掌握了开源入侵检测系统的发展现状。还掌握了如何安装及使用