信息系统安全检测技术

第七章信息系统安全检测技术

信息安全1/24/2023本章主要内容

7.1入侵检测技术7.2漏洞检测技术7.3审计追踪1/24/2023本章学习目标

本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习，使学员：

（1）理解入侵检测的概念、分类、基本方法；

（2）理解入侵响应、审计追踪技术；

（3）理解漏洞扫描技术；

（4）掌握Snort入侵检测工具的使用。1/24/2023入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。7.1入侵检测技术

1/24/20237.1.1入侵检测定义入侵检测（IntrusionDetection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线是检测。IDS可分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。利用最新的可适应网络安全技术和P2DR（Policy，Protection，Detection，Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。7.1入侵检测技术

1/24/20237.1.2IDS分类1.基于行为的和基于知识的检测

按具体的检测方法，将检测系统分为基于行为的和基于知识的两类。基于行为的检测也被称为异常检测。基于知识的检测也被称为误用检测。

7.1入侵检测技术

1/24/20237.1.2IDS分类

2.根据数据源不同的检测

根据检测系统所分析的原始数据不同，将入侵检测分为来自系统日志和网络数据包两种。

7.1入侵检测技术

系统日志网络数据包异常检测误用检测报警报警并做出相应措施实时检测周期性检测原始数据检测原理两类检测的关系1/24/20237.1.3入侵检测系统基本原理1.入侵检测框架

对安全事件的检测包括大量复杂的步骤，涉及到很多系统，任何单一技术很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备检测能力。因此，对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架（CIDF）和入侵检测交换格式（IDEF）。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架：IDEF是由IETF的入侵检测工组（IDWG）开发的安全事件报警的标准格式。7.1入侵检测技术

1/24/20237.1.3入侵检测系统基本原理1.入侵检测框架

7.1入侵检测技术

数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架（CIDF）1/24/20237.1.3入侵检测系统基本原理1.入侵检测框架

7.1入侵检测技术

报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据简单的入侵检测系统1/24/2023入入侵侵检检测测系系统统基基本本原原理理2.信息息收收集集在网网络络系系统统中中的的若若干干不不同同关关键键点点（（网网段段和和主主机机））。。收集集系统统、、网网络络、、数数据据及及用用户户活活动动的的状状态态和和行行为为信信息息。。入入侵侵检检测测可以以利利用用的的分分析析数数据据信信息息：：（1））网网络络和和系系统统日日志志文文件件（2））目目录录和和文文件件中中的的不不期期望望的的改改变变（3））程程序序执执行行中中的的不不期期望望行行为为（4））物物理理形形式式的的入入侵侵信信息息（5））其其他他信信息息7.1入入侵侵检检测测技技术术1/7/2023入入侵检测系系统基本原理理3.信息分析析通过三种技术术手段进行分分析：模式匹配（实实时）：将收集到的信信息与已知网网络入侵和系系统误用模式数数据库进行比比较，而发现现违背安全策策略的行为。。统计分析（实实时）：先给系统对象象（用户、文文件、目录和和设备等）创建建一个统计描描述，统计正正常使用时的的一些测量属属性（访问次数数、操作失败败次数、延时时）。测量属属性的平均值值将被用来与网网络、系统的的行为进行比比较。完整性分析(事后)：关注文件和目目录的内容及及属性，发现现被更改的或被被特洛伊木马马化的应用程程序。7.1入侵侵检测技术1/7/20231.基于主主机的入侵侵检测系统统7.1入入侵检测技技术入侵检测系系统的结构构报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据检测的目标标主要是主机机系统和系统本地地用户。1/7/20231.基于主主机的入侵侵检测系统统7.1入入侵检测技技术入侵检测系系统的结构构审计记录收集方法异常检测误用检测安全管理员接口审计记录数据库审计记录数据归档/查询目标系统审计记录预处理在需要保护护的主机（端端系统）上运行代理理程序，根据主机的的审计数据和系统统的日志发现可疑疑事件，从而实现监监控。1/7/20232.基于网络络的入侵检测测系统7.1入侵侵检测技术入侵检测系统统的结构分析结果网络接口网络接口分析引擎模块管理/配置模块网络安全数据库采集模块采集模块利用网络适配配器来实时监视和和分析所有通过网络进进行传输的通信。一旦旦检测到攻击，IDS相应模块通过通知、报报警以及中断连接等方方式来对攻击做出反应应。1/7/20232.基于网络络的入侵检测测系统优点：①检测的范围围是整个网段段，而不仅仅仅是被保护的的主机。②实时检测和和应答。一旦旦发生恶意访访问或攻击，，能够更快地做出反应，，将入侵活动动对系统的破破坏减到最低低。③隐蔽性好。。不需要在每每个主机上安安装，不易被被发现。④不需要任何何特殊的审计计和登录机制制，只要配置置网络接口就可以了，不不会影响其他他数据源。⑤操作系统独独立。基于网网络的IDS并不依赖主主机的操作系系统作为检测资资源。7.1入侵侵检测技术入侵检测系统统的结构1/7/20233.分分布布式式入入侵侵检检测测系系统统分布布式式入入侵侵检检测测系系统统产产生生的的原原因因情情况况：：系统统的的弱弱点点或或漏漏洞洞分分散散在在网网络络中中各各个个主主机机上上，，这这些些弱弱点点有有可可能能被被入入侵侵者者一一起起用用来来攻攻击击网网络络，，而而仅仅仅仅依依靠靠一一个个主主机机或或网网络络入入侵侵检检测测系系统统难难以以发发现现入入侵侵行行为为。。网络络入入侵侵行行为为不不再再是是单单一一的的行行为为，，而而是是表表现现出出相相互互协协作作入入侵侵的的特特点点，，如如分分布布式式拒拒绝绝服服务务攻攻击击。。入侵侵检检测测所所依依靠靠的的数数据据来来源源分分散散化化，，收收集集原原始始的的检检测测数数据据变变得得困困难难。。网络络速速度度传传输输加加快快，，网网络络流流量量大大，，原原始始数数据据的的集集中中处处理理方方式式往往往往造造成成检检测测瓶瓶颈颈，，从从而而导导致致漏漏检检。。7.1入入侵侵检检测测技技术术入侵侵检检测测系系统统的的结结构构1/7/20233.分分布布式式入入侵侵检检测测系系统统7.1入入侵侵检检测测技技术术入侵侵检检测测系系统统的的结结构构…中央数据处理单元传感器传感器传感器传感器局域网管理器早期期的的分分布布式式入入侵侵检检测测系系统统分布布式式IDS系系统统的的目目标标是是既既能能检检测测网网络络入入侵侵行行为为，，又又能检检测测主主机机的的入入侵侵行行为为。。1/7/20233.分布布式入侵侵检测系系统7.1入入侵检检测技术术入侵检测测系统的的结构格式化数据模型格式化数据模型格式化数据数据仓库传感器检测器原始数据自适应模型产生器1/7/20231.基基于用用户行行为概概率统统计模模型的的入侵侵检测测方法法根据系系统内内部保保存的的用户户行为为概率率统计计模型型进行行检测测。在用用户的的历史史行为为以及及早期期的证证据或或模型型的基基础上上生成成每个用用户的的历史史行为为记录录库，，系统统实时时地检检测用用户对对系统统的使用用情况况，当当用户户改变变他们们的行行为习习惯时时，当当发现现有可可疑的行行为发发生时时，这这种异异常就就会被被检测测出来来。例如，，统计计系统统会记记录CPU的使使用时时间、、I/O的的使用用通道和频频率、、常用用目录录的建建立与与删除除、文文件的的读些些、修修改、、删除、、以及及用户户习惯惯使用用的编编辑器器和编编译器器、最最常用用的系系统调用用、用用户ID的的存取取、文文件和和目录录的使使用。。7.1入入侵检检测技技术入侵检检测的的基本本方法法1/7/20232.基于神神经网络的的入侵检测测方法这种方法是是利用神经经网络技术术来进行入入侵检测的的，因此，这种方方法对于用用户行为具具有学习和和自适应性性，能够根根据实际检测测到的信息息有效地加加以处理并并做出判断断。但尚不不十分成熟，，目前还没没有出现较较为完善的的产品。7.1入入侵检测技技术入侵检测的的基本方法法1/7/20233.基于于专家系系统的入入侵检测测方法根据安全全专家对对可疑行行为的分分析经验验形成的的一套推推理规则，建建立相应应的专家家系统，，自动进进行对所所涉及的的入侵行行为进行分分析。实现基于于规则的的专家系系统是一一个知识识工程问问题，应应当能够随着着经验的的积累而而利用其其自学习习能力进进行规则则的扩充充和修正。。这样的的能力需需在专家家指导和和参与才才能实现现。一方方面，推理理机制使使得系统统面对一一些新的的行为现现象时可可能具备备一定的应应对能力力(即有有可能会会发现一一些新的的安全漏漏洞)；；另一方面，，攻击行行为不会会触发任任何一个个规则，，从而被被检测到到。7.1入入侵检检测技术术入侵检测测的基本本方法1/7/20233.基于于专家系系统的入入侵检测测方法基于专家家系统也也有局限限性。这这类系统统的基础础的推理理规则一一般都是是根据已已知的安安全漏洞洞进行安安排和策策划的，，而对系系统的最最危险的的威胁则则主要是是来自未未知的安安全漏洞洞。7.1入入侵检检测技术术入侵检测测的基本本方法1/7/20234.基于模型型推理的入侵侵检测方法根据入侵者在在进行入侵时时所执行程序序的某些行为为特征建立一种入侵侵行为模型；；根据这种行行为模型所代代表的入侵意图的行为特特征来判断用用户的操作是是否属于入侵侵行为。当然这种方法也也是建立在对对已知的入侵侵行为的基础础之上的，对未知的入侵侵行为模型识识别需要进一一步的学习和和扩展。上述每一种方方法都不能保保证准确地检检测出变化无无穷的入侵行为，因因此在网络安安全防护中要要充分衡量各各种方法的利弊。综合运运用这些方法法才能有效地地检测出入侵侵者的非法行为。7.1入侵侵检测技术入侵检测的基基本方法1/7/20231.信息收集集分析时间2.采用的分分析类型3.检测系统统对攻击和误误用的反应4.检测系统统的管理和安安装5.检测系统统的完整性6.设置诱骗骗服务器7.1入侵侵检测技术入侵检测实现现时若干问题题的考虑1/7/2023入侵者者常常常是从从收集集、发发现和和利用用信息息系统统的漏漏洞来来发起对对系统统的攻攻击的的系统统，不不同的的应用用，甚甚至同同一系系统不不同的版版本，，其系系统漏漏洞都都不尽尽相同同。这这些大大致上上可以以分为为以下几几类。。1.网络络传输和和协议的的漏洞2.系统统的漏洞洞3.管理理的漏洞洞7.2漏漏洞检检测技术术入入侵攻击击可利用用的系统统漏洞的的类型1/7/2023实时监控非法入侵侵的安全全实验EMAIL报警日志志攻击检测测记录重配置防火墙/路由器器INTERNAL攻击检测测记录通话终止止1/7/2023InternetWesServerWesServerWesServer7.2漏漏洞检检测技术术入入侵攻击击可利用用的系统统漏洞的的类型1/7/2023漏洞检测技技术通常采采用两种策策略，即被被动式策略略和主动式策略。被动式策略略是基于主主机的检测测，对系统统中不合适适的设置、脆弱的口口令以及其其他同安全全策略相抵抵触的对象象进行检查查；主动式策略略是基于网网络的检测测，通过执执行一些脚脚本文件对系统进行行攻击。并并记录它的的反应，从从而发现其其中的漏洞洞。漏洞检测的的结果实际际上是对系系统安全性性能的一个个评估，指指出了这些攻击击是可能的的，因此成成为安全方方案的一个个重要组成成部分。7.2.2漏洞检检测技术分分类7.2漏漏洞检测技技术1/7/2023（1））检测测分析析的位位置（2））报告告与安安装（3））检测测后的的解决决方案案（4））检测测系统统本身身的完完整性性漏漏洞检检测的的特点点7.2漏漏洞检检测技技术1/7/20231.设计计目标该网络漏漏洞检测测系统的的设计目目标是使使得在攻攻击者入入侵之前，能能够帮助助系统管管理员主主动对网网络上的的设备进进行安全全测试，根根据当前前Internet上上或软件件公司公公布的系系统中的的漏洞及时下下载安装装各种补补丁程序序，以便便提高网网络系统统抵抗攻攻击的能力力。漏漏洞检测测系统的的设计实实例7.2漏漏洞检检测技术术1/7/20232.系统统组成该系统大大体上可可分为两两大模块块：外部扫描描模块功能和特特点是，，模拟黑黑客攻击击的部分分过程在在网络上上进行扫扫描，把把扫描得得到的信信息进行行综合分分析，再再结合不不断更新新的漏洞洞数据库库来发现现网络上上存在的的隐患；；内部扫描描模块功能和特特点是，，模拟系系统管理理员从主主机内部部进行扫扫描，检检查一切切和网络络安全有有关的配配置是否否正确，，进而从从内部清清除隐患患。通过过内外扫扫描的结结合，就就可以很很全面地地检查和和防范在在网络环环境中可可能出现现的安全全隐患，，最大可可能地使使黑客无无可乘之之机。漏漏洞检测测系统的的设计实实例7.2漏漏洞检检测技术术1/7/20233.外外部部扫扫描描模模块块体体系系结结构构（1））网网络络端端口口扫扫描描模模块块（2））应应用用服服务务软软件件探探测测模模块块（3））反反馈馈信信息息分分析析整整理理模模块块（4））信信息息数数据据库库（5））匹匹配配漏漏洞洞信信息息模模块块（6））应应用用服服务务和和信信息息漏漏洞洞维维护护模模块块（7））漏漏洞洞数数据据库库漏漏洞洞检检测测系系统统的的设设计计实实例例7.2漏漏洞洞检检测测技技术术1/7/2023漏漏洞洞检检测测系系统统的的设设计计实实例例7.2漏漏洞洞检检测测技技术术局域网网络端口扫描模块应用服务软件探测模块反馈信息分析整理模块应用服务和信息漏洞维护模块信息数据库漏洞数据库匹配漏洞信息模块判断处理系统管理员外部部扫扫描描模模块块结结构构示示意意3.外外部部扫扫描描模模块块体体系系结结构构1/7/20234.内部部扫描模模块体系系结构内部扫描描模块由由五个子子模块组组成。（1）主主机登录录用户扫扫描模块块（2）主主机登录录密码文文件扫描描模块（3）基基于信任任机制的的漏洞扫扫描模块块（4）网网络服务务的内部部扫描模模块（5）网网络应用用软件扫扫描模块块漏漏洞检测测系统的的设计实实例7.2漏漏洞检检测技术术1/7/20235.系统统工作过过程系统启动动。启动外部部扫描模模块。扫扫描整个个网段，，获取本本网段内内的主机机信息（（包括使使用的操操作系统统、IP地址、、打开的的端口号号及各个个端口所所提供的的服务））。获取详细细信息，，将信息息传递给给反馈信信息分析析整理模模块；信息进行行分析，，过滤掉掉无用信信息，并并将有效效信息规规则化，，然后存存入信息息数据库库；漏洞数据据库中的的相应漏漏洞信息息进行匹匹配；如如果匹配配成功，，则产生生报警信信号，同同时给出出其他相相关信息息。漏漏洞检测测系统的的设计实实例7.2漏漏洞检检测技术术1/7/20235.系系统统工工作作过过程程系统统启启动动。。当内内部部扫扫描描被被选选择择以以后后，，内内部部扫扫描描模模块块启启动动．．主主机机登登录录用用户户扫扫描描模模块块、、主主机机登登录录密密码码文文件件扫扫描描模模块块、、基基于于信信任任机机制制的的隐隐患患扫扫描描模模块块、、网网络络服服务务的的内内部部扫扫描描模模块块和和网网络络应应用用软软件件扫扫描描模模块块并并发发执执行行。。发发现现漏漏洞洞，，则则以以分分级级的的形形式式给给出出告告警警，，相相关关的的漏漏洞洞信信息息以以及及配配置置建建议议，，由由系系统统管管理理员员进进一一步步决决定定。。而而网网络络应应用用软软件件扫扫描描模模块块则则进进一一步步给给出出漏漏洞洞的的补补丁丁程程序序的的标标号号、、位位置置等等，，这这一一点点与与外外部部扫扫描描模模块块相相似似。。漏漏洞检检测系系统的的设计计实例例7.2漏漏洞检检测技技术1/7/2023审计追追踪是是系统统活动动的流流水记记录。。该记记录按按事件件从始始至终的的途径径，顺顺序检检查、、审查查和检检验每每个事事件的的环境境及活活动。通通过书书面方方式提提供应应负责责任人人员的的活动动证据据以支支持职职能的实实现。。审计计追踪踪记录录系统统活动动(操操作系系统和和应用用程序序进程)和和用户户活动动(用用户在在操作作系统统中和和应用用程序序中的的活动动)。。借助适适当的的工具具和规规程，，审计计追踪踪可以以发现现违反反安全全策略略的活动动、影影响运运行效效率的的问题题以及及程序序中的的错误误。审计追追踪即即是正常系系统操操作的的一种种支持持(例如如系统统中断)，也也是一种安安全策策略，用于于帮助助系统统管理理员确确保系系统及其资资源免免遭黑黑客、、内部部使用用者或或技术术故障障的伤伤害。。审审计追追踪概概述7.3审审计计追踪踪1/7/2023审计追踪提提供了实现现多种安全全相关目标标的一种方方法，这些目标包包括：个人职能事件重建入侵探测故障分析审计追踪的的目的7.3审审计追踪踪1/7/2023系统可以以同时维维护多个个审计追追踪。有有两种典典型的审审计记录：其其一，所所有键盘盘敲击的的记录，，通常称称为击键键监控；；其二，面面向事件件的审计计日志。。这些日日志通常常包括描描述系统统事件、应应用事件件或用户户事件的的记录。。审计追踪踪应该包包括足够够的信息息，以确确定事件件的内容容和引起事件件的因素素。通常常，事件件记录应应该列有有事件发发生的时时间、和事事件有关关的用户户识别码码、启动动事件的的程序或或命令以以及事件的的结果。。日期和和时间戳戳可以帮帮助确定定用户到到底是假假冒的还是是真实的的，采用用标准格格式记录录信息。。审计追踪踪和日志志的类型型7.3审审计计追踪1/7/2023审计追踪踪和日志志的类型型7.3审审计计追踪

格

式

例

主体

某人

动作

写入文件

目标

雇员记录文件

例外条件

无

资源利用次数10

时戳0900080199如记录信信息格式式1/7/20231.击击键键监监控控（（keystrokemonitoring））用于于对对计计算算机机交交互互过过程程中中的的用用户户键键盘盘输输入入和和计计算算机机的的反应应数数据据进进行行检检查查或或记记录录。。击击键键监监控控通通常常被被认认为为是是审审计计追追踪的的一一种种特特殊殊应应用用。。击击键键监监控控的的例例子子包包括括检检查查用用户户敲敲入入的的字符符，，阅阅读读用用户户的的电电子子邮邮件件以以及及检检查查用用户户敲敲入入的的信信息息。。有些些系系统统维维护护功功能能会会记记录录用用户户的的击击键键。。如如果果这这些些记记录录保存存与与之之相相关关的的用用户户鉴鉴别别码码就就可可以以协协助助管管理理员员确确定定击击键键人人从而而达达到到击击键键监监控控的的目目的的。。击击键键监监控控致致力力于于保保护护系系统统和和数数据免免遭遭非非法法入入侵侵和和合合法法用用户户的的滥滥用用。。入入侵侵者者的的击击键键记记录录可可以协协助助管管理理员员评评估估和和修修复复入入侵侵造造成成的的损损失失。。审计计追追踪踪和和日日志志的的类类型型7.3审审计追踪踪1/7/20232.面向事事件的审计计日志（event-orientedauditlogs）（1）系统统级审计追追踪（2）应用用级审计追追踪（3）用户户审计追踪踪审计追踪和和日志的类类型7.3审审计追踪踪1/7/2023为了确保审审计追踪数数据的可用用性和正确确性，审计计追踪数据需要受受到保护，，如果不对对日志数据据进行及时时审查，规规划和实施，，再好的审审计追踪也也会失去价价值。审计计追踪应该该根据需要（（如经常由由安全事件件触发）定定期审查、、自动实时时审查、或两者者兼而有之。。系统管理员员应该根据计计算机安全管理的要求确确定需要维护护多长时间的的审计追踪数数据，其中包括系统内保保存和归档保保存的数据。。与审计追踪实实施有关的问问题包括三方方面：其一，，保护审计追踪数据据；其二，审审查审计追踪踪数据；其三三，用于审计追踪分析的的工具。审审计追踪的的实施7.3审审计追踪1/7/20231.保护审计计追踪数据限制访问在线线审计日志。。计算机安全全管理员和系系统管理员或或职能部门经经理出于检查查的目的可以以访问，而维维护逻辑访问问功能的安全全和管理人员员没有必要访访问审计日志志。防止非法修改改以确保审计计追踪数据。。使用数字签签名是实现这这一目标的一一种途径。另另一类方法是是使用只读设设备。入侵者者会试图修改改审计追踪记记录以掩盖自自己的踪迹是是审计追踪文文件需要保护护的原因之一一。使用强访访问控制是保保护审计追踪踪记录免受非非法访问的有有效措施。当当牵涉到法律律问题时，审审计追踪信息息的完整性尤尤为重要（这这可能需要每每天打印和签签署日志）。。审审计追踪的的实施7.3审审计追踪1/7/20232.审查查审计追追踪数据据审计追踪踪的审查查和分析析可以分分为在事事后检查查、定期期检查或实时时检查。。审查人人员应该该知道如如何发现现异常活活动。他他们应该知知道怎么么算是正正常活动动。如果果可以通通过用户户识别码码、终端识识别码、、应用程程序名、、日期时时间或其其它参数数组来检检索审计追追踪记录录并生成成所需的的报告，，那么审审计追踪踪检查就就会比较容容易。事后检查查定期检查查实时检查查审审计追踪踪的实施施7.3审审计计追踪1/7/20233.审计计追踪工工具许多工具具是用于于从大量量粗糙原原始的审审计数据据中精选选出有用信息息。尤其其是在大大系统中中，审计计追踪软软件产生生的数据据文件非常常庞大，，用人工工方式分分析非常常困难。。使用自自动化工工具就是从从审计信信息中将将无用的的信息剔剔除。其其它工具具还有差差异探测工工具和攻攻击特征征探测工工具。审计精选选工具趋势／差差别探测测工具攻击特征探探测工具7.3.4审计追追踪的实施施7.3审审计追踪踪1/7/20231.自动工工具2.内部控控制审计3.安全检检查表4.入侵测测试7.3.6审计的的方法和工工具7.3审审计追踪踪1/7/20231.系统日志志的检查2.自动工具具3.配置管理理4.电子新闻闻监监控的方法法和工具7.3审审计追踪1/7/2023入侵侵检检测测系系统统是是网网络络信信息息系系统统安安全全的的第第二二道道防防线线，，是安全基基础设施施的补充充。本章章在介绍绍了入侵侵检测系系统的基本功能能及使用用范围等等基本概概念的基基础上，，给出了了入侵检测系统统的基本本原理，，对入侵侵检测系系统的框框架、信信息来源、信息息分析方方法及基基本技术术进行了了介绍。。按检测测的监控位置划划分，将将入侵检检测系统统分为三三大类别别，即基基于主机的检测测系统、、基于网网络的检检测系统统和分布布式检测测系统，并对各各类别的的结构及及其特点点进行了了概括。。最后介介绍在Windows2000上配配置snort入侵检检测系统统的方法法。7.4小小结结1/7/2023一．填空1.是检测和识别别系统中未授授权或异常现现象。2.P2DR是什么含义：：、、、。3.入侵检测的第第一步是，内容包括系系统、网络、、数据及用户户活动的状态态和行为。4.入侵检测系统统通过、和三种技术手段段，对收集到到的有关网络络、系统、数数据及用户活活动的状态和和行为等信息息进行分析。。5.IDS的物理实现方方式不同，按按检测的监控控位置划分，，入侵检测系系统可分为基基于、基于和基于。7.3审审计追踪1/7/2023二．简简答题题1.入侵检检测所所采用用的主主要技技术？？2.试述入入侵检检测方方法的的分类类。3.IDS主要要功能能是什什么？？4.简述基基于代代理的的网络络入侵侵检测测系统统的实实现原原理。。5.IDS在网网络中中部署署的正正确位位置。。6.什什么是是漏洞洞？简述漏漏洞的的危害害。7.什什么是是漏洞洞扫描描？8.审计追追踪的的目的的是什什么？？7.3审审计计追踪踪1/7/2023引语：：在这一一实验验中，，将在在Windows平平台上上建立立入侵侵检测测系统统（snort）。。Snort是是一个个轻便便的网网络入入侵检检测系系统，，在运运行的的时只只占用用极少少的网网络资资源，，对原原有网网络性性能影影响很很小。。它可可以完完成实实时流流量分分析和和对网网络上上的IP包包登录录进行行测试试等功功能，，能完完成协协议分分析，，内容容查找找／匹匹配，，是用用来探探测多多种攻攻击的的侵入入探测测器（（如缓缓冲区区溢出出、秘秘密端口扫描描、CGI攻击击、SMB嗅探探、拇拇纹采采集尝尝试等等）。。Snort可可以以运行行在*nix/Win32平平台台上。。目的：：本实验验在Win2000Server环境安安装与与配置置入侵侵检测测系统统（snort）。完完成这这一实实验之之后，，将能能够：：安装装“snort”服务务。使使用““snort”服务务。实验五五：入入侵检检测系系统snort配置置1/7/2023实验五：：入侵检检测系统统snort配配置1/7/2023任务1.安装任务2.安装MySQLDatabase任务3.生成Win32MySQLdatabase任务4.在MySQL中生成Acid的库表任务5.测试Snort任务6.将Snort设置成为为windowsNT4Server/2000/XP的一项服服务任务7.安装PHP任务8.配置PHP运行在NTServer/2000/XP的IIS4/5环境下任务9.安装ADODB——一个高性性能的数数据库实验五：：入侵检检测系统统snort配配置1/7/2023引语：在这一实验中中，将在Windows平台上建立立入侵检测系系统（snort）。Snort是是一个轻便的的网络入侵检检测系统，在在运行的时只只占用极少的的网络资源，，对原有网络络性能影响很很小。它可以以完成实时流流量分析和对对网络上的IP包登录进进行测试等功功能，能完成成协议分析，，内容查找／／匹配，是用用来探测多种种攻击的侵入入探测器（如如缓冲区溢出出、秘密端口扫描、CGI攻击、SMB嗅探、、拇纹采集尝尝试等）。Snort可可以运行在在*nix/Win32平台上。。目的：本实验在Win2000Server环境安装与配配置入侵检测