《信息安全技术基础》课件 5.3入侵检测系统

第五单元网络安全主要内容任务3入侵检测系统任务3入侵检测系统最近网络安全事件频发，奇威公司领导要求加强公司网络安全建设，做到未雨绸缪。因此新采购1台服务器部署公司的CRM（客户关系管理）系统，系统涉及公司重要商业信息，公司领导要求对这台服务器的访问和操作进行严格管控，小卫通过自身对安全的了解，决定在这台服务器上部署一套基于主机的入侵检测系统。【任务情境】任务3入侵检测系统1、 什么是入侵检测系统IDS（IntrusionDetectionSystems）入侵检测是入侵检测系统是一种主动防护的网络安全技术，期原理是通过实时地收集和分析网络或计算机系统中的信息，通过预定的安全策略进行对比来检查是否出现违背安全策略的行为的入侵的迹象，进而达到警告入侵和预防攻击的目的。【知识准备】任务3入侵检测系统2、 入侵检测系统的分类入侵检测从部署和防护范围可以分为网络入侵检测（NIDS）和主机（HIDS）两种：主机入侵检测系统：检测目标主要是网络内的计算机系统。检测原理是在每个需要保护的服务器或终端上运行代理程序(agent)，对服务器或终端上的网络实时连接以及文件进行分析和判断，发现可疑事件并作出响应。网络入侵检测系统：一般由控制台和探测器（探针）两部分组成，其中探测器(探针)是在部署网络内部的一个数据采集硬件设备，部署方式一般通过并联的连接交换机镜像端口，实行对交换机中传输数据的采集、分析，控制台通常是IDS分析应用软件，可以通过对网络探测器（探针）采集的监测数据，对网络中的异常现象来做全面的管理和控制。【知识准备】任务3入侵检测系统3、 入侵检测的工作原理入侵检测是在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复，这个检测过程是不断循环进行的。入侵检测的第一步是信息收集。收集内容包括系统、网络、数据及用户活动的状态和行为。入侵检测很大程度上依赖于收集信息的可靠性和准确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应当具有相当强的坚固性，防止被篡改而收集到错误的信息。【知识准备】任务3入侵检测系统入侵检测的第二步是信息分析。对采集到的信息，入侵检测技术需要利用特征检测技术和异常检测技术进行分析，以此发现一些简单的入侵行为，还需要在此基础上利用数据挖掘技术，分析审计数据以发行更为复杂的入侵行为。入侵检测的第三步是入侵响应。IDS常见的响应的策略有：弹出窗口报警、E-mail通知、切断TCP连接、执行自定义程序、与其他安全产品交互，如防火墙等。IDS的处理策略有：限制访问权限，隔离入侵者，断开连接等。IDS在网络中的位置决定了其本身的响应能力相当有限，因此需要把IDS与有充分响应能力的网络设备或网络安全设备集成在一起，协同工作，构成响应和预警互补的综合安全系统。【知识准备】任务3入侵检测系统为了完成本次任务，小卫决定采用开源的入侵检测系统snort来完成本次任务，snort系统现在支持各种平台。本次任务以主机入侵检测为例进行实验。步骤1：安装winpcap，如图5-21所示，安装完成如图5-22所示。【任务实施】图5-21安装程序图5-22安装完成任务3入侵检测系统步骤2：安装snort，如图5-23所示，安装完成如图5-24所示，点击“Close”后会出现图5-25的图示，点击“确定”即可。【任务实施】图5-25出现提示图5-24安装完成图5-23安装程序任务3入侵检测系统步骤3：打开C:\Snort文件夹，如图5-26所示，复制schemas文件夹到C:\Snort中，打开snortrules-snapshot-2900.tar压缩文件，如图5-27所示。【任务实施】图5-27打开文件图5-26打开文件夹任务3入侵检测系统步骤4：将snortrules-snapshot-2900.tar中的“doc、rules、so_rules”三个文件夹复制到C:\Snort中，如图5-28所示。【任务实施】图5-28复制文件任务3入侵检测系统步骤5：使用notepad++打开C:\Snort\etc\snort.conf文件，修改第60-62内容，修改如图5-29所示。第60行：varRULE_PATHc:\snort\rules第61行：varSO_RULE_PATHc:\snort\so_rules第62行：varPREPROC_RULE_PATHc:\snort\preproc_rules【任务实施】图5-29修改snort配置文件任务3入侵检测系统步骤6：修改第127、第130行内容，修改内容如图5-30所示。第127行：dynamicpreprocessordirectoryc:\snort\lib\snort_dynamicpreprocessor第130行：dynamicenginec:\snort\lib\snort_dynamicengine\sf_engine.dll【任务实施】图5-30修改snort配置文件任务3入侵检测系统步骤7：修改第153行内容，修改内容如图5-31所示：第153行:preprocessorhttp_inspect:globaliis_unicode_mapc:\snort\etc\unicode.map1252【任务实施】图5-31修改snort配置文件任务3入侵检测系统步骤8：修改第270行内容，修改内容如图5-32所示。第270行：outputdatabase:alert,mysql,user=snortpassword=snortdbname=snortdbhost=localhost【任务实施】图5-32修改snort配置文件任务3入侵检测系统步骤9：修改326-344行，347、348行，351-365行，去掉每一行前的“#，修改内容如图5-33所示，保存文件。【任务实施】图5-33修改snort配置文件任务3入侵检测系统步骤10：安装appserv，如图5-34所示，数据库密码为“123456789”，安装完成如图5-35所示，如果出现安全警报，点击“允许访问”即可。【任务实施】图5-35安装完成图5-34安装程序任务3入侵检测系统步骤11：打开浏览器，访问“”，出现图5-36即为安装成功。【任务实施】图5-36访问页面任务3入侵检测系统步骤12：打开cmd，切换到“C:\AppServ\MySQL\bin”，输入mysql-uroot-p密码123456789，如果第一次输入提示错误，再试一次即可，如图5-37所示【任务实施】图5-37登陆数据库任务3入侵检测系统步骤13：输入如下命令：mysql>createdatabasesnortdb;mysql>createdatabasesnortarc;mysql>usesnortdb;mysql>sourcec:\snort\schemas\create_mysqlmysql>usesnortarc;mysql>sourcec:\snort\schemas\create_mysqlmysql>grantusageon*.*to"snort"@"localhost"identifiedby"snort";mysql>grantselect,insert,update,delete,create,alteronsnortdb.*to"snort"@"localhost";mysql>grantselect,insert,update,delete,create,alteronsnortarc.*to"snort"@"localhost";mysql>setpasswordfor"snort"@"localhost"=password('snort');【任务实施】任务3入侵检测系统步骤14：打开base-1.4.5.tar文件，将里面的内容解压到C:\AppServ\www中，并从命名为“base”。步骤15：打开adodb-5.20.12.zip文件，将里面的内容解压到C:\AppServ\www中，并从命名为“adodb”。步骤16：打开浏览器，输入“/base”，出现如图5-38所示内容即为配置正确，点击“continue”。【任务实施】图5-38测试配置任务3入侵检测系统步骤17：在第二个输入框中填入“C:\AppServ\www\adodb”，点击“continue”，如图5-39所示【任务实施】图5-39填写路径任务3入侵检测系统步骤18：按图5-40输入对应的内容，两处密码均为“snort”，点击“continue”【任务实施】图5-40连接数据库任务3入侵检测系统步骤19：任意填写用户名和密码并记住，如图5-41所示【任务实施】图5-41创建用户任务3入侵检测系统步骤20：如图5-42所示，忽略警告，点击“CreateBASEAG”【任务实施】图5-42创建数据库任务3入侵检测系统步骤21：如图5-43所示，点击“setup5”【任务实施】图5-43创建数据表任务3入侵检测系统步骤22：如图5-44所示，忽略警告，在页面最底端即为实时监测状态，在命令行输入“c:\snort\bin\snort-i1-dev-cc:\snort\etc\snort.conf-lc:\snort\log”切换监测模式【任务实施】图5-45切换到网络检测模式图5-44安装完成任务3入侵检测系统步骤23：在另一台电脑上进行测试，使用Zenmap工具扫描主机，如图5-45所示，可以看到snort监测的报警信息，如图5-46所示【任务实施】图5-46Zenmap扫描工具图5-47监测结果显示任务3入侵检测系统注：如果运行snort出现图5-47错误，则