信息系统安全检测技术

第七章信息系统安全检测技术

信息安全2023/4/131*本章主要内容

7.1入侵检测技术7.2漏洞检测技术7.3审计追踪2023/4/132*本章学习目标

本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习，使学员：

（1）理解入侵检测的概念、分类、基本方法；

（2）理解入侵响应、审计追踪技术；

（3）理解漏洞扫描技术；

（4）掌握Snort入侵检测工具的使用。2023/4/133*入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。7.1入侵检测技术

2023/4/134*7.1.1入侵检测定义入侵检测（IntrusionDetection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线是检测。IDS可分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。利用最新的可适应网络安全技术和P2DR（Policy，Protection，Detection，Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。7.1入侵检测技术

2023/4/135*7.1.2IDS分类1.基于行为的和基于知识的检测

按具体的检测方法，将检测系统分为基于行为的和基于知识的两类。基于行为的检测也被称为异常检测。基于知识的检测也被称为误用检测。

7.1入侵检测技术

2023/4/136*7.1.2IDS分类

2.根据数据源不同的检测

根据检测系统所分析的原始数据不同，将入侵检测分为来自系统日志和网络数据包两种。

7.1入侵检测技术

系统日志网络数据包异常检测误用检测报警报警并做出相应措施实时检测周期性检测原始数据检测原理两类检测的关系2023/4/137*7.1.3入侵检测系统基本原理1.入侵检测框架

对安全事件的检测包括大量复杂的步骤，涉及到很多系统，任何单一技术很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备检测能力。因此，对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架（CIDF）和入侵检测交换格式（IDEF）。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架：IDEF是由IETF的入侵检测工组（IDWG）开发的安全事件报警的标准格式。7.1入侵检测技术

2023/4/138*7.1.3入侵检测系统基本原理1.入侵检测框架

7.1入侵检测技术

数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架（CIDF）2023/4/139*7.1.3入侵检测系统基本原理1.入侵检测框架

7.1入侵检测技术

报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据简单的入侵检测系统2023/4/1310*7.1.3入侵检测系统基本原理2.信息收集

在网络系统中的若干不同关键点（网段和主机）。收集系统、网络、数据及用户活动的状态和行为信息。入侵检测可以利用的分析数据信息：

（1）网络和系统日志文件（2）目录和文件中的不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵信息（5）其他信息

7.1入侵检测技术

2023/4/1311*7.1.3入侵检测系统基本原理3.信息分析通过三种技术手段进行分析：模式匹配（实时）：将收集到的信息与已知网络入侵和系统误用模式数据库进行比较，而发现违背安全策略的行为。统计分析（实时）：先给系统对象（用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（访问次数、操作失败次数、延时）。测量属性的平均值将被用来与网络、系统的行为进行比较。完整性分析(事后)：关注文件和目录的内容及属性，发现被更改的或被特洛伊木马化的应用程序。7.1入侵检测技术

2023/4/1312*1.基于主机的入侵检测系统

7.1入侵检测技术

7.1.4入侵检测系统的结构

报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据检测的目标主要是主机系统和系统本地用户。2023/4/1313*1.基于主机的入侵检测系统

7.1入侵检测技术

7.1.4入侵检测系统的结构

审计记录收集方法异常检测误用检测安全管理员接口审计记录数据库审计记录数据归档/查询目标系统审计记录预处理在需要保护的主机（端系统）上运行代理程序，根据主机的审计数据和系统的日志发现可疑事件，从而实现监控。2023/4/1314*2.基于网络的入侵检测系统

7.1入侵检测技术

7.1.4入侵检测系统的结构

分析结果网络接口网络接口分析引擎模块管理/配置模块网络安全数据库采集模块采集模块利用网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。

2023/4/1315*2.基于网络的入侵检测系统

优点：①检测的范围是整个网段，而不仅仅是被保护的主机。②实时检测和应答。一旦发生恶意访问或攻击，能够更快地做出反应，将入侵活动对系统的破坏减到最低。③隐蔽性好。不需要在每个主机上安装，不易被发现。④不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。⑤操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。

7.1入侵检测技术

7.1.4入侵检测系统的结构

2023/4/1316*3.分布式入侵检测系统分布式入侵检测系统产生的原因情况：系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。网络入侵行为不再是单一的行为，而是表现出相互协作入侵的特点，如分布式拒绝服务攻击。入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。网络速度传输加快，网络流量大，原始数据的集中处理方式往往造成检测瓶颈，从而导致漏检。7.1入侵检测技术

7.1.4入侵检测系统的结构

2023/4/1317*3.分布式入侵检测系统

7.1入侵检测技术

7.1.4入侵检测系统的结构

…中央数据处理单元传感器传感器传感器传感器局域网管理器早期的分布式入侵检测系统分布式IDS系统的目标是既能检测网络入侵行为，又能检测主机的入侵行为。2023/4/1318*3.分布式入侵检测系统

7.1入侵检测技术

7.1.4入侵检测系统的结构

格式化数据模型格式化数据模型格式化数据数据仓库传感器检测器原始数据自适应模型产生器2023/4/1319*1.基于用户行为概率统计模型的入侵检测方法根据系统内部保存的用户行为概率统计模型进行检测。在用户的历史行为以及早期的证据或模型的基础上生成每个用户的历史行为记录库，系统实时地检测用户对系统的使用情况，当用户改变他们的行为习惯时，当发现有可疑的行为发生时，这种异常就会被检测出来。例如，统计系统会记录CPU的使用时间、I/O的使用通道和频率、常用目录的建立与删除、文件的读些、修改、删除、以及用户习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。

7.1入侵检测技术

7.1.5入侵检测的基本方法

2023/4/1320*2.基于神经网络的入侵检测方法这种方法是利用神经网络技术来进行入侵检测的，因此，这种方法对于用户行为具有学习和自适应性，能够根据实际检测到的信息有效地加以处理并做出判断。但尚不十分成熟，目前还没有出现较为完善的产品。7.1入侵检测技术

7.1.5入侵检测的基本方法

2023/4/1321*3.基于专家系统的入侵检测方法

根据安全专家对可疑行为的分析经验形成的一套推理规则，建立相应的专家系统，自动进行对所涉及的入侵行为进行分析。实现基于规则的专家系统是一个知识工程问题，应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。这样的能力需在专家指导和参与才能实现。一方面，推理机制使得系统面对一些新的行为现象时可能具备一定的应对能力(即有可能会发现一些新的安全漏洞)；另一方面，攻击行为不会触发任何一个规则，从而被检测到。

7.1入侵检测技术

7.1.5入侵检测的基本方法

2023/4/1322*3.基于专家系统的入侵检测方法

基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。7.1入侵检测技术

7.1.5入侵检测的基本方法

2023/4/1323*4.基于模型推理的入侵检测方法

根据入侵者在进行入侵时所执行程序的某些行为特征建立一种入侵行为模型；根据这种行为模型所代表的入侵意图的行为特征来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知的入侵行为的基础之上的，对未知的入侵行为模型识别需要进一步的学习和扩展。上述每一种方法都不能保证准确地检测出变化无穷的入侵行为，因此在网络安全防护中要充分衡量各种方法的利弊。综合运用这些方法才能有效地检测出入侵者的非法行为。7.1入侵检测技术

7.1.5入侵检测的基本方法

2023/4/1324*1.信息收集分析时间2.采用的分析类型3.检测系统对攻击和误用的反应4.检测系统的管理和安装5.检测系统的完整性6.设置诱骗服务器7.1入侵检测技术

7.1.6入侵检测实现时若干问题的考虑

2023/4/1325*入侵者常常是从收集、发现和利用信息系统的漏洞来发起对系统的攻击的系统，不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同。这些大致上可以分为以下几类。1.网络传输和协议的漏洞2.系统的漏洞3.管理的漏洞7.2漏洞检测技术7.2.1入侵攻击可利用的系统漏洞的类型2023/4/1326*实时监控非法入侵的安全实验EMAIL报警日志攻击检测记录重配置防火墙/路由器INTERNAL攻击检测记录通话终止2023/4/1327*InternetWesServerWesServerWesServer7.2漏洞检测技术7.2.1入侵攻击可利用的系统漏洞的类型2023/4/1328*漏洞检测技术通常采用两种策略，即被动式策略和主动式策略。被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查；主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击。并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估，指出了这些攻击是可能的，因此成为安全方案的一个重要组成部分。7.2.2漏洞检测技术分类7.2漏洞检测技术2023/4/1329*（1）检测分析的位置（2）报告与安装（3）检测后的解决方案（4）检测系统本身的完整性7.2.3漏洞检测的特点7.2漏洞检测技术2023/4/1330*1.设计目标该网络漏洞检测系统的设计目标是使得在攻击者入侵之前，能够帮助系统管理员主动对网络上的设备进行安全测试，根据当前Internet上或软件公司公布的系统中的漏洞及时下载安装各种补丁程序，以便提高网络系统抵抗攻击的能力。7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1331*2.系统组成该系统大体上可分为两大模块：外部扫描模块功能和特点是，模拟黑客攻击的部分过程在网络上进行扫描，把扫描得到的信息进行综合分析，再结合不断更新的漏洞数据库来发现网络上存在的隐患；内部扫描模块功能和特点是，模拟系统管理员从主机内部进行扫描，检查一切和网络安全有关的配置是否正确，进而从内部清除隐患。通过内外扫描的结合，就可以很全面地检查和防范在网络环境中可能出现的安全隐患，最大可能地使黑客无可乘之机。7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1332*3.外部扫描模块体系结构

（1）网络端口扫描模块（2）应用服务软件探测模块（3）反馈信息分析整理模块（4）信息数据库（5）匹配漏洞信息模块（6）应用服务和信息漏洞维护模块（7）漏洞数据库7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1333*7.2.3漏洞检测系统的设计实例7.2漏洞检测技术局域网网络端口扫描模块应用服务软件探测模块反馈信息分析整理模块应用服务和信息漏洞维护模块信息数据库漏洞数据库匹配漏洞信息模块判断处理系统管理员外部扫描模块结构示意3.外部扫描模块体系结构2023/4/1334*4.内部扫描模块体系结构内部扫描模块由五个子模块组成。（1）主机登录用户扫描模块（2）主机登录密码文件扫描模块（3）基于信任机制的漏洞扫描模块（4）网络服务的内部扫描模块（5）网络应用软件扫描模块7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1335*5.系统工作过程

系统启动。启动外部扫描模块。扫描整个网段，获取本网段内的主机信息（包括使用的操作系统、IP地址、打开的端口号及各个端口所提供的服务）。获取详细信息，将信息传递给反馈信息分析整理模块；信息进行分析，过滤掉无用信息，并将有效信息规则化，然后存入信息数据库；漏洞数据库中的相应漏洞信息进行匹配；如果匹配成功，则产生报警信号，同时给出其他相关信息。7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1336*5.系统工作过程系统启动。当内部扫描被选择以后，内部扫描模块启动．主机登录用户扫描模块、主机登录密码文件扫描模块、基于信任机制的隐患扫描模块、网络服务的内部扫描模块和网络应用软件扫描模块并发执行。发现漏洞，则以分级的形式给出告警，相关的漏洞信息以及配置建议，由系统管理员进一步决定。而网络应用软件扫描模块则进一步给出漏洞的补丁程序的标号、位置等，这一点与外部扫描模块相似。7.2.3漏洞检测系统的设计实例7.2漏洞检测技术2023/4/1337*审计追踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计追踪记录系统活动(操作系统和应用程序进程)和用户活动(用户在操作系统中和应用程序中的活动)。借助适当的工具和规程，审计追踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计追踪即是正常系统操作的一种支持(例如系统中断)，也是一种安全策略，用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。

7.3.1审计追踪概述7.3审计追踪2023/4/1338*审计追踪提供了实现多种安全相关目标的一种方法，这些目标包括：个人职能事件重建入侵探测故障分析7.3.2审计追踪的目的7.3审计追踪2023/4/1339*系统可以同时维护多个审计追踪。有两种典型的审计记录：其一，所有键盘敲击的记录，通常称为击键监控；其二，面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。审计追踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常，事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的，采用标准格式记录信息。7.3.3审计追踪和日志的类型

7.3审计追踪2023/4/1340*

7.3.3审计追踪和日志的类型

7.3审计追踪

格

式

例

主体

某人

动作

写入文件

目标

雇员记录文件

例外条件

无

资源利用次数10

时戳0900080199如记录信息格式2023/4/1341*

1.击键监控（keystrokemonitoring）用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计追踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符，阅读用户的电子邮件以及检查用户敲入的信息。有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。

7.3.3审计追踪和日志的类型7.3审计追踪2023/4/1342*

2.面向事件的审计日志（event-orientedauditlogs）（1）系统级审计追踪（2）应用级审计追踪（3）用户审计追踪7.3.3审计追踪和日志的类型7.3审计追踪2023/4/1343*为了确保审计追踪数据的可用性和正确性，审计追踪数据需要受到保护，如果不对日志数据进行及时审查，规划和实施，再好的审计追踪也会失去价值。审计追踪应该根据需要（如经常由安全事件触发）定期审查、自动实时审查、或两者兼而有之。系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计追踪数据，其中包括系统内保存和归档保存的数据。与审计追踪实施有关的问题包括三方面：其一，保护审计追踪数据；其二，审查审计追踪数据；其三，用于审计追踪分析的工具。7.3.4审计追踪的实施7.3审计追踪2023/4/1344*1.保护审计追踪数据限制访问在线审计日志。计算机安全管理员和系统管理员或职能部门经理出于检查的目的可以访问，而维护逻辑访问功能的安全和管理人员没有必要访问审计日志。防止非法修改以确保审计追踪数据。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计追踪记录以掩盖自己的踪迹是审计追踪文件需要保护的原因之一。使用强访问控制是保护审计追踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计追踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。7.3.4审计追踪的实施7.3审计追踪2023/4/1345*2.审查审计追踪数据审计追踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。他们应该知道怎么算是正常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来检索审计追踪记录并生成所需的报告，那么审计追踪检查就会比较容易。事后检查定期检查实时检查7.3.4审计追踪的实施7.3审计追踪2023/4/1346*3.审计追踪工具许多工具是用于从大量粗糙原始的审计数据中精选出有用信息。尤其是在大系统中，审计追踪软件产生的数据文件非常庞大，用人工方式分析非常困难。使用自动化工具就是从审计信息中将无用的信息剔除。其它工具还有差异探测工具和攻击特征探测工具。审计精选工具趋势／差别探测工具攻击特征探测工具7.3.4审计追踪的实施7.3审计追踪2023/4/1347*1.自动工具

2.内部控制审计

3.安全检查表

4.入侵测试

7.3.6审计的方法和工具7.3审计追踪2023/4/1348*1.系统日志的检查

2.自动工具

3.配置管理

4.电子新闻

7.3.7监控的方法和工具7.3审计追踪2023/4/1349*入侵检测系统是网络信息系统安全的第二道防线，是安全基础设施的补充。本章在介绍了入侵检测系统的基本功能及使用范围等基本概念的基础上，给出了入侵检测系统的基本原理，对入侵检测系统的框架、信息来源、信息分析方法及基本技术进行了介绍。按检测的监控位置划分，将入侵检测系统分为三大类别，即基于主机的检测系统、基于网络的检测系统和分布式检测系统，并对各类别的结构及其特点进行了概括。最后介绍在Windows2000上配置snort入侵检测系统的方法。

7.4小结2023/4/1350*一．填空1.

是检测和识别系统中未授权或异常现象。2.P2DR是什么含义：

、

、

、

。3.入侵检测的第一步是

，内容包括系统、网络、数据及用户活动的状态和行为。4.入侵检测系统通过

、

和

三种技术手段，对收集到的有关网络、系统、数据及用户活动的状态和行为等信息进行分析。5.

IDS的物理实现方式不同，按检测的监控位置划分，入侵检测系统可分为基于

、基于

和基于

。7.3审计追踪2023/4/1351*二．简答题1.入侵检测所采用的主要技术？2.试述入侵检测方法的分类。3.IDS主要功能是什么？4.简述基于代理的网络入侵检测系统的实现原理。5.IDS在网络中部署的正确位置。6.什么是漏洞？简述漏洞的危害。7.什么是漏洞扫描？8.审计追踪的目的是什么？7.3审计追踪2023/4/1352*引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。

实验五：入侵检测系统snort配置2023/4/1353*实验五：入侵检测系统snort配置2023/4/1354*任务1.安装SnortVersion1.9.1

任务2.安装MySQLDatabase

任务3.生成Win32MySQLdatabase

任务4.在MySQL中生成Acid的库表

任务5.测试Snort

任务6.将Snort设置成为windowsNT4Server/2000/XP的一项服务

任务7.安装PHP

任务8.配置PHP运行在NTServer/2000/XP的IIS4/5环境下

任务9.安装ADODB—一个高性能的数据库

实验五：入侵检测系统snort配置2023/4/1355*引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。

实验五：入侵检测系统snort配置2023/4/1356*引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。

实验五：入侵检测系统snort配置2023/4/1357*引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。

实验五：入侵检测系统snort配置2023/4/1358*引语：在这一实验中，将在Windows平台上建立入侵检测系统（snort）。Snort是一个轻便的网络入侵检测系统，在运行的时只占用极少的网络资源，对原有网络性能影响很小。它可以完成实时流量分析和对网络上的IP包登录进行测试等功能，能完成协议分析，内容查找／匹配，是用来探测多种攻击的侵入探测器（如缓冲区溢出、秘密端口扫描、CGI攻击、SMB嗅探、拇纹采集尝试等）。Snort可以运行在*nix/Win32平台上。目的：本实验在Win2000Server环境安装与配置入侵检测系统（snort）。完成这一实验之后，将能够：安装“snort”服务。使用“snort”服务。

实验五：入侵检测系统snort配置2023/4/1359*演讲完毕，谢谢观看！附录资料：不需要的可以自行删除61信息化规划与管理建立企业模型62第一节信息化规划项目的规划

制定大、中型企业的信息化规划本身就是一个庞大的项目，必须对这个信息化规划项目进行规划，这是制定信息化规划阶段的第一项任务，在这一项任务中应该完成以下三个子任务：

63一、确定信息战略规划的边界

确定信息化规划的范围，是对企业制定整体（或全局）规划，还是制定企业一个部门的规划（局部规划）；确定IT规划的信息技术边界，即信息系统应用哪些信息技术；确定信息化规划的时间限制，一般应在3~6个月之内完成，时间太短，结果比较肤浅；时间太长了，规划过于详细，可能过时。

64二、建立制定信息化规划项目的组织

项目发起人，他是主管项目的高级行政官员，他能与其他高层管理人员进行交流；项目小组，即前面所述的核心小组；咨询小组，其作用是提供项目小组不具备的专业技术，审查可交付的报告，以确保能正确反映业务现实。是否一定需要咨询小组，可以根据企业的具体情况来决定，所以，咨询小组是任选的。

65三、制定项目进度表

制定企业的信息化规划要完成7项任务，而每一项任务又包含一些子任务，有的子任务仍需分解成为更小的任务。为此，需要制定一个详细的任务表，规定各个任务的优先次序和完成任务的时间安排。给项目组成员分配具体任务和确定任务完成的时间，并绘制详细的进度表，便于及时检查和掌握工作进度。

66第二节初始的企业模型信息化规划阶段的第二个任务是建立一个初始的高层次的企业模型。高层次的企业模型应包括业务处理的主要数据（称为主题域）和这些数据之间的关系，以及企业的高层业务功能。首先要求识别企业的组织结构，确定企业的任务、目标和关键成功因素及其信息需求，进行业务战略规划。

67一、建立组织层次图

首先，识别企业的组织机构，建立企业的组织层次图。

信息来源：从得到的组织结构的文档中获得。信息输入：组织结构图，组织手册或指南，组织文件或数据库报表。信息输出：组织层次图和组织单元的信息记录表。

68信息输入步骤1：利用IT规划工具箱的组织层次图表来表示层次形式的组织结构，或用缩进形式图表表示。步骤2：记录每一组织单元的下列信息，并建立组织单元信息记录表。

名称；

负责人的姓名和职务；

组织单元的任务；组织单元之间的关系。信息输出：组织层次图、组织单元的信息记录表69二、识别企业的任务、目标、战略重点和关键的成功因素

为了获取企业的信息需求，应该识别企业的任务、目标、战略重点和关键的成功因素。信息来源：从审查的书面文档中提取有关业务的材料。信息输入：正式的业务计划、年底报告、战略备忘录、组织层次图。信息输出：任务说明书组织单元的目标、战略和关键成功因素列表企业目标／组织单元目标矩阵企业和主要单元的初始目标层次列表

70信息输入步骤1：考察全部提供的可用文件，确定并列出企业的任务、目标、战略和关键成功因素，在确定企业的关键成功因素时，应注意它们总是与确保企业竞争能力的因素相关。关键成功因素是由企业的关键信息、关键假设和关键的决策组成的。步骤2：将任务、目标和关键成功因素组成一个任务说明书。

步骤3：记录组织层次图中与企业有直接关系的组织单元的目标、战略和关键成功因素。步骤4：建立企业目标／组织单元目标矩阵，

步骤5：产生一份初始的目标层次列表，信息输出：同前

71三、阐述信息需求和性能度量

在信息输出的基础上，必须识别出支持每个目标和关键成功因素所需要的信息，这称为“信息需求”；给出的评价每个目标完成的方法，称为“性能度量”。信息输入：书面文件，上一节的信息输出、组织层次图。信息输出：信息需求列表信息需求／组织矩阵性能度量／组织矩阵

72信息输入步骤1：识别和记录信息需求及其特征，建立信息需求列表。（表6-2）

步骤2：建立信息需求／组织单元矩阵，