物联网信息安全 课件 第2章 入侵检测技术

2.6入侵检测技术12入侵检测的概念入侵检测系统指的是一种硬件或软件系统，该系统对系统资源的非授权使用能够做出及时的判断，记录和报警。入侵可以分为两类：外部入侵和内部入侵入侵检测系统3入侵检测是对防火墙的合理补充，他帮助系统对付网络攻击，扩展了系统管理员的管理能力，提高了信息基础结构的完整性。4入侵检测的方法异常入侵检测技术误用入侵检测技术入侵检测的步骤5信息收集数据分析响应入侵检测系统结构6基于主机系统的结构基于网络系统的结构基于分布式系统的结构几种常见的入侵检测系统CyberCop入侵检测系统ISS公司的RealSerure2.0forWindowsNTAbirnet公司的Session-Wall-32.1Anzen公司的NFRIBM公司的IERS系统“天眼”入侵检测系统启明星辰公司的黑客入侵检测与预警功能网咯入侵检测系统Snort7入侵检测Snort的使用8Snort简介Snort是一个用C语言编写的开放源代码软件，符合GPL（GNUGeneralPublicLicense）的要求，当前的最新版本是2.8，其作者为MartinRoesch。Snort是一个跨平台、轻量级的网络入侵检测软件，实际上它是一个基于libpcap的网络数据包嗅探器和日志记录工具，可以用于入侵检测。从入侵检测分类上来看，Snort是一个基于网络和误用的入侵检测软件。9Snort的工作模式嗅探器Snort–v–d-e数据包记录器Snort–vde–lc:\snort\log网络入侵检测系统Snort–vde–lc:\snort\log–cc:\snort\etc\snort.conf10底层库的安装与配置安装Snort所需的底层库有三个：

Libpcap，提供的接口函数主要实现和封装了与数据包截获有关的过程。Libnet，提供的接口函数主要实现和封装了数据包的构造和发送过程。NDISpacketcaptureDriver，是为了方便用户在Windows环境下抓取和处理网络数据包而提供的驱动程序。在Linux和Solaris环境下，必须首先安装Libpcap，然后才能安装Snort，如果需要还应该安装Libnet；在Windows环境下，必须首先安装NDISpacketcaptureDriver(可用Winpcap代替)，然后才能安装Snort。11Snort的安装Win32环境下的安装方法一解开snort-2.1-win32-source.zip用VC++打开位于snort-2.1-win32-source\snort-2.1\win32-Prj目录下的snort.dsw文件选择“Win32Release”编译选项进行编译在Release目录下会生成所需的Snort.exe可执行文件Win32环境下的安装方法二直接执行SnortWindows安装包SWIB12Snort的配置配置Snort并不需要自已编写配置文件，只需对Snort.conf文件进行修改即可设置网络变量varDNS_SERVERS配置预处理器配置输出插件配置所使用的规则集varRULE_PATHc:\snort\rules13操作实例输出IP和TCP/UDP/ICMP的包头信息14输出TCP/IP信息包启用windows下的运行窗口输入cmd进入DOS界面进入c:\snort\bin文件夹cmdcmd15cdc:\snort\bin16输出TCP/IP信息包进入c:\snort\bin文件夹输入命令snort–v扫描信息包17snort-v18扫描中的界面19输出TCP/IP信息包进入c:\snort\bin文件夹输入命令snort–v扫描信息包snort-vCtrl+c退出Snort运行并显示扫描统计信息20扫描后的统计界面21操作实例同时显示IP和TCP/UDP/ICMP的包头信息、应用层数据信息、数据链路层的信息并将扫描的信息记录进c:\snort\log文件夹内22指定网段输出多层信息包并保存到指定文件夹进入c:\snort\bin文件夹输入命令snort–vde–lc:\snort\log扫描信息包23snort–vde–lc:\snort\logsnort–v–d–e–lc:\snort\log或输入24输入命令后的开始界面25扫描中的界面26进入c:\snort\bin文件夹snort-vCtrl+c退出Snort运行并显示扫描统计信息输出