信息安全综合实验

1信息安全综合实验张焕杰中国科学技术大学网络信息中心james@ustc.edu.cn~james/nmsTel:3601897(O)2第五章入侵检测原理与Snort的使用课程目的–学习入侵检测基本原理–通过snort系统的使用加深理解3入侵检测原理PDR安全模型–策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）4PDR安全模型策略–是模型的核心，意味着网络安全要达到的目标防护–是安全的第一步，它的基础是检测和响应的结果检测–防护对于攻击往往是滞后的，漏洞的发现或攻击手段的发明与响应的防护手段之间有个时间差，检测用来弥补时间差响应–发现了攻击后，需要对系统及时反应反复的循环过程，每次循环带来防护水平的提高5入侵检测IDSIntrusionDetectionSystem入侵检测属于PDR模型的检测过程，承接防护和相应的过程是PDR模型的关键部分仅有防护的不足：–防护只能考虑已知的威胁和有限的威胁–防护只能尽量阻止攻击企图的得逞或延缓该过程，不能阻止各种攻击事件的发生6入侵检测特性要求：–经济性、时效性、安全性和可扩展性模块划分–数据提取、数据分析、处理结果7入侵检测分类基于异常的入侵检测–正常行为往往有一定的规律，通过分析相关数据可以总结出该规律–入侵和滥用行为通常与正常的行为有严重差异–通过检测这些差异来检测入侵–如：平时icmp的数据包数量、类型是一种表现，系统感染了冲击波病毒时的icmp数据包的数量和类型是另一种表现–商用不多，研究为主8入侵检测分类基于误用的入侵检测–通过某种模式或信号标示攻击，可以检测出已知的攻击，对未知的攻击手段无能为力–常用的是模式匹配系统9模式匹配检测入侵信号层次–存在只要存在某个审计事件就说明发生了入侵行为或企图，对应存在模式如：HTTP访问../cmd.exe…–序列一组事件的序列，对应序列模式如：icmp数据包连续5秒钟超过100pkt/s10模式匹配检测入侵信号层次–规则表示一组事件的逻辑表示，事件没有顺序关系如：icmp数据包连续5秒钟超过100pkt/s–其他更加复杂的表示存在模式∈序列模式∈规则表示模式∈其他模式11模式的关系12入侵检测系统分类主机模式–通过对主机系统的信息进行分析来检测–分析的数据源可以是各种日志网络模式–通过对网络上的信息进行分析来检测–抓包13Snort入侵检测系统处理模式–抓包—处理—结果––处理依据规则