入侵检测技术

《入侵检测技术》由会员分享，可在线阅读，更多相关《入侵检测技术（38页珍藏版）》请在装配图网上搜索。

1、第第 7 章章 入侵检测技术入侵检测技术本章学习目标：本章学习目标：了解入侵检测系统的原理了解入侵检测系统的原理掌握入侵检测系统的核心技术掌握入侵检测系统的核心技术了解入侵检测系统的作用了解入侵检测系统的作用了解入侵检测技术的发展趋势了解入侵检测技术的发展趋势掌握入侵检测系统在网络安全中的地位掌握入侵检测系统在网络安全中的地位掌握评价入侵检测系统的性能指标掌握评价入侵检测系统的性能指标 27.1 7.1 入侵检测系统概述入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对

2、不是坚不外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由型的攻击，不能防止用户由InternetInternet上下载被病毒感染的计算机程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序或将该类程序附在电子邮件上传输。入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩入侵检测是防火墙的合理补充，它帮助系统对付网络攻

3、击，扩展了系统管理员的安全管理能力展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别包括安全审计、监视、进攻识别和响应和响应)，提高了信息安全基础结构的完整性。，提高了信息安全基础结构的完整性。37.1 7.1 入侵检测系统概述入侵检测系统概述7.1.1 7.1.1 相关术语相关术语攻击攻击攻击者利用工具，出于某种动机，对目标系统采取的行动，攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果；在在攻击过程中发生的可以识别的行动或行动造成的

4、后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。CIDF 将入侵检测系统需要分析的数据统将入侵检测系统需要分析的数据统称为事件（称为事件（event）4入侵入侵对信息系统的非授权访问及（或）未经许可在信息系统中进对信息系统的非授权访问及（或）未经许可在信息系统中进行操作行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程过程入侵检测系统（入侵检测系统（IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行

5、入侵检测或者独立进行入侵检测的自动化工具7.1 7.1 入侵检测系统概述入侵检测系统概述7.1.1 7.1.1 相关术语相关术语5 入侵检测（入侵检测（Intrusion DetectionIntrusion Detection）技术是一种动态的网）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的

6、网络攻击，则采取适当的方法来阻断攻击（与防火墙联行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。中是否有违反安全策略的行

7、为和遭到袭击的迹象。7.1 7.1 入侵检测系统概述入侵检测系统概述7.1.2 7.1.2 入侵检测入侵检测67.1 7.1 入侵检测系统概述入侵检测系统概述入侵检测系统入侵检测系统 入侵检测系统（入侵检测系统（IDSIDS）由入侵检测的软件与硬件组合而）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现：击和误操作的实时保护。这些都通过它执行以下任务来实现：

8、1 1）监视、分析用户及系统活动。）监视、分析用户及系统活动。2 2）系统构造和弱点的审计。）系统构造和弱点的审计。3 3）识别反映已知进攻的活动模式并向相关人士报警。）识别反映已知进攻的活动模式并向相关人士报警。4 4）异常行为模式的统计分析。）异常行为模式的统计分析。5 5）评估重要系统和数据文件的完整性。）评估重要系统和数据文件的完整性。6 6）操作系统的审计跟踪管理，并识别用户违反安全策）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。略的行为。77.1 7.1 入侵检测系统概述入侵检测系统概述7.1.3 7.1.3 入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系

9、统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪 形象地说，它就是网络摄形象地说，它就是网络摄像像机，能够捕获并记录网络上的所有数据，机，能够捕获并记录网络上的所有数据，同时它也是智能摄同时它也是智能摄像像机，能够分析网络数据并提炼出可疑的、异常的网机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是络数据，它还是X光摄光摄像像机，能够穿透一些巧妙的伪装，抓住实际的内机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄容。它还不仅仅只是摄像像机，还包括保安员的摄机，还包括保安员的摄像像机机.87.1 7.1 入侵检测系统概述入侵检测系

10、统概述97.1 7.1 入侵检测系统概述入侵检测系统概述7.1.4 7.1.4 入侵检测的发展历程入侵检测的发展历程 19801980年年，概念的诞生概念的诞生1984198419861986年，模型的发展年，模型的发展 19901990年，形成网络年，形成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今，九十年代后至今，百家争鸣百家争鸣、繁荣昌盛、繁荣昌盛107.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实入侵检测系统根据数据包来源的不同，采用不用的实现

11、方式，一般地可分为网络型、主机型，也可是这两种类现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统（基于网络的入侵检测系统（NIDSNIDS）基于主机的入侵检测系统（基于主机的入侵检测系统（HIDSHIDS）混合型入侵检测系统（混合型入侵检测系统（Hybrid IDSHybrid IDS）117.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS：网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备(或一个专用主机或一个专用主机)，通过监

12、听网络上的所有报文，根据协议进行分析，并报告通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。网络中的非法使用者信息。安装在被保护的网段（通常是共享网络，交换环境中交安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中换机需支持端口映射）中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应127.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 图图7-1 7-1 网络网络IDSIDS工作模型工作模型 137.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 网络网络IDS优势优势(1)实时分析网络

13、数据，检测网络系统的非法行为；实时分析网络数据，检测网络系统的非法行为；(2)网络网络IDS系统单独架设，不占用其它计算机系统的任何资系统单独架设，不占用其它计算机系统的任何资源；源；(3)网络网络IDS系统是一个独立的网络设备，可以做到对黑客透系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4)它既可以用于实时监测系统，也是记录审计系统，可以做它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证；到实时保护，事后分析取证；(5)通过与防火墙的联动，不但可以对攻击预警，还可以更有通过与防火墙的联动，不但可以对攻击预警，还可以

14、更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。不会增加网络中主机的负担。147.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 网络网络IDS的劣势的劣势(1)不适合交换环境和高速环境不适合交换环境和高速环境(2)不能处理加密数据不能处理加密数据(3)资源及处理能力局限资源及处理能力局限(4)系统相关的脆弱性系统相关的脆弱性157.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.1 7.2.1 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS：运行于被检测的主机之上，通过查询、监听当前系统运行于被检测的主机之上，通过

15、查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。修改的事件，进行上报和处理。安装于被保护的主机中安装于被保护的主机中 主要分析主机内部活动主要分析主机内部活动 占用一定的系统资源占用一定的系统资源167.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 主机主机IDS优势优势(1)精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2)监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3)HIDS能够检测到能够检测到NIDS无法检测的攻击无法检测的攻击(4)HID

16、S适用加密的和交换的环境。适用加密的和交换的环境。(5)不需要额外的硬件设备。不需要额外的硬件设备。177.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 主机主机IDS的劣势的劣势(1)HIDS对被保护主机的影响。对被保护主机的影响。(2)HIDS的安全性受到宿主操作系统的限制。的安全性受到宿主操作系统的限制。(3)HIDS的数据源受到审计系统限制。的数据源受到审计系统限制。(4)被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDS。(5)维护维护/升级不方便。升级不方便。187.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 3 3、两种实现方式的、两种实现方式的比较比

17、较：1)1)如果攻击不经过网络基于网络的如果攻击不经过网络基于网络的IDSIDS无法检测到只能无法检测到只能通过使用基于主机的通过使用基于主机的IDSIDS来检测；来检测；2)2)基于网络的基于网络的IDSIDS通过检查所有的包头来进行检测，而通过检查所有的包头来进行检测，而基于主机的基于主机的IDSIDS并不查看包头。主机并不查看包头。主机IDSIDS往往不能识别基于往往不能识别基于IPIP的拒绝服务攻击和碎片攻击；的拒绝服务攻击和碎片攻击；3)3)基于网络的基于网络的IDSIDS可以研究数据包的内容，查找特定攻可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序

18、列击中使用的命令或语法，这类攻击可以被实时检查包序列的的IDSIDS迅速识别；而基于主机的系统无法看到负载，因此也迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。197.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 4 4、混合型入侵检测系统（混合型入侵检测系统（Hybrid IDSHybrid IDS）在新一在新一代代的入侵检测系统中的入侵检测系统中将把将把现在的基于网络和基现在的基于网络和基于主机于主机这这两种检测技术两种检测技术很好地很好地集集成起成起来，提供集来，提供集成化成化的攻的攻击签名检测报击签名检测报告告和事件关和事

19、件关联功联功能。能。可可以以深深入入地地研究入侵事件入侵手段研究入侵事件入侵手段本身本身及被入侵及被入侵目标目标的的漏洞漏洞等。等。207.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的基本结构的基本结构 无论无论IDSIDS系统是网络型的还是主机型的，从功能上看，都可系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。产生事件；后者用于显示和分析事件以及策略定制等工作。217.2 7.2 入侵

20、检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的基本结构的基本结构 图图7-3 7-3 引擎的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为：原始数据读取、为：原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 227.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.2 IDS7.2.2 IDS的基本结构的基本结构 图图7-4 7-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能为：通信、事件读取、事件显示、策控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日

21、志分析、系统帮助等。略定制、日志分析、系统帮助等。237.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过检查系统的当前系统配置，诸静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统

22、是否已经或者如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征可能会遭到破坏。静态是指检查系统的静态特征(系统配系统配置信息置信息)，而不是系统中的活动。，而不是系统中的活动。247.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 2 2、异常检测技术、异常检测技术 通过对系统审计数据的分析建立起系统主体通过对系统审计数据的分析建立起系统主体(单个用户、单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等一组用户、主机，甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测

23、时，如果系统中的审计数据与已建的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称这一检测方法称“异常检测技术异常检测技术”。一般一般采用统计或基于规则描述的方法建立系统主体的行为采用统计或基于规则描述的方法建立系统主体的行为特征轮廓特征轮廓，即，即统计性特征轮廓统计性特征轮廓和和基于规则描述的特征轮廓。基于规则描述的特征轮廓。257.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.3 IDS7.2.3 IDS采用的技术采用的技术 3 3误用检测技术误用检测

24、技术 误用检测技术误用检测技术(Misuse Detection)(Misuse Detection)通过检测用户行为中通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。入侵活动，是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理序列和系统缺陷的

25、模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。267.2 7.2 入侵检测的原理与技术入侵检测的原理与技术 7.2.4 7.2.4 入侵检测入侵检测分析分析技术的比较技术的比较 1 1模式匹配的缺陷模式匹配的缺陷 1 1）计算负荷大）计算负荷大 2 2）检测准确率低）检测准确率低 2 2协议分析新技术的优势协议分析新技术的优势 1 1）提高了性能）提高了性能 2 2）提高了准确性）提高了准确性 3 3）反规避能力）反规避能力 4 4）系统资源开销小）系统资源开销小 277.3 7.3 入侵检测系统的

26、性入侵检测系统的性能指标能指标 1 1系统结构系统结构好的好的IDSIDS应能采用分级、远距离分式部署和管理。应能采用分级、远距离分式部署和管理。287.3 7.3 入侵检测系统的性入侵检测系统的性能指标能指标 2 2事件数量事件数量 考察考察IDSIDS系统的一个关键性指标是报警事件的多少。系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明一般而言，事件越多，表明IDSIDS系统能够处理的能力越系统能够处理的能力越强。强。3 3处理带宽处理带宽 IDSIDS的处理带宽，即的处理带宽，即IDSIDS能够处理的网络流量，是能够处理的网络流量，是IDSIDS的一个重要性能。目前的网络的

27、一个重要性能。目前的网络IDSIDS系统一般能够处理系统一般能够处理202030M30M网络流量，经过专门定制的系统可以勉强处理网络流量，经过专门定制的系统可以勉强处理404060M60M的流量。的流量。297.3 7.3 入侵检测系统的性入侵检测系统的性能指标能指标 4 4探测引擎与控制中心的探测引擎与控制中心的通信通信 作为分布式结构的作为分布式结构的IDSIDS系统，通信是其自身安全的系统，通信是其自身安全的关键因素。通信安全通过身份认证和数据加密两种方法关键因素。通信安全通过身份认证和数据加密两种方法来实现。来实现。身份认证是要保证一个引擎，或者子控制中心只能身份认证是要保证一个引擎，

28、或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻由固定的上级进行控制，任何非法的控制行为将予以阻止止。身份认证采用非对称加密算法，通过拥有对方的公身份认证采用非对称加密算法，通过拥有对方的公钥，进行加密、解密完成身份认证钥，进行加密、解密完成身份认证。307.3 7.3 入侵检测系统的性入侵检测系统的性能指标能指标 5 5事件定义事件定义 事件的可定义性或可定义事件是事件的可定义性或可定义事件是IDSIDS的一个主要特性。的一个主要特性。6 6二次事件二次事件 对事件进行实时统计分析，并产生新的高级事件能力对事件进行实时统计分析，并产生新的高级事件能力。7 7事件响应事件响应

29、 通过事件上报、通过事件上报、事件日志事件日志、EmailEmail通知通知、手机短信息手机短信息、语音报警语音报警等方式进行响应。等方式进行响应。还可通过还可通过TCPTCP阻断、防火墙联动等方式主动响应。阻断、防火墙联动等方式主动响应。317.3 7.3 入侵检测系统的性入侵检测系统的性能指标能指标 8 8自身安全自身安全 自身安全指的是探测引擎的安全性。自身安全指的是探测引擎的安全性。要有良好的隐蔽要有良好的隐蔽性，一般使用定制的操作系统。性，一般使用定制的操作系统。9 9终端安全终端安全 主要主要指指控制中心的安全性控制中心的安全性。有多个用户、多个级别的。有多个用户、多个级别的控制中

30、心，不同的用户应该有不同的权限，保证控制中心控制中心，不同的用户应该有不同的权限，保证控制中心的安全性。的安全性。327.7.4 4 入侵防御系统简介入侵防御系统简介 IDS IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。方案，以确保企业网络在威胁四起的环境下正常运行。入侵防御系统（入侵防御系统（Intrusion Prevention SystemIntrusion Pr

31、evention System或或Intrusion Intrusion Detection PreventionDetection Prevention，即，即IPSIPS或或IDPIDP）就应运而生了。）就应运而生了。IPSIPS是一种是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。保护信息系统不受实质性的攻击。IPSIPS使得使得IDSIDS和防火墙走向统一。和防火墙走向

32、统一。IPS IPS在网络中一般有四种连接方式：在网络中一般有四种连接方式：SpanSpan（接在交换机旁边，作为端接在交换机旁边，作为端口映像）、口映像）、TapTap（接在交换机与路由器中间，旁路安装，拷贝一份数据到接在交换机与路由器中间，旁路安装，拷贝一份数据到IPSIPS中）、中）、InlineInline（接在交换机与路由器中间，在线安装，在线阻断攻击）和（接在交换机与路由器中间，在线安装，在线阻断攻击）和Port-clusterPort-cluster（被动抓包，在线安装）。（被动抓包，在线安装）。它在报警的同时，能阻断攻击。它在报警的同时，能阻断攻击。337.5 7.5 蜜网陷阱

33、蜜网陷阱Honeynet Honeynet HoneynetHoneynet是一个网络系统，并非某台单一主机，这一网络系统是一个网络系统，并非某台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。隐藏在防火墙的后面，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个在一个HoneynetHoneynet中，可以使用各种不同的操作系统及设备，如中，可以使用各种不同的操作系统及设备，如SolarisSolaris、LinuxLinux、Windows NT

34、Windows NT、Cisco SwitchCisco Switch等。等。这样，建立的网络环境看上去会更加真实可信，同时还有不同这样，建立的网络环境看上去会更加真实可信，同时还有不同的系统平台上面运行着不同的服务，比如的系统平台上面运行着不同的服务，比如LinuxLinux的的DNS ServerDNS Server、WindowsNTWindowsNT的的WebServerWebServer或者一个或者一个SolarisSolaris的的FTP ServerFTP Server，可以使用，可以使用不同的工具以及不同的策略或许某些入侵者仅仅把目标定于几个特不同的工具以及不同的策略或许某些入

35、侵者仅仅把目标定于几个特定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵定的系统漏洞上，而这种多样化的系统，就可能更多地揭示出入侵者的一些特性。者的一些特性。347.5 7.5 蜜网陷阱蜜网陷阱Honeynet Honeynet 利用利用SnortSnort软件软件安装安装Win200Win2000 0ServerServer下的下的蜜网陷阱蜜网陷阱 Snort Snort 是一个强大的轻量级的网络入侵检测系统。它具有是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志实时数据流量分析和日志IPIP网络数据包的能力，能够进行协议网络数据包的能力，能够进行协议分析，对内容

36、进行搜索分析，对内容进行搜索/匹配。它能够检测各种不同的攻击方式，匹配。它能够检测各种不同的攻击方式，对攻击进行实时报警。对攻击进行实时报警。构建完整的构建完整的SnortSnort系统需要以下软件，详细安装方法请参照系统需要以下软件，详细安装方法请参照网上相关资料。网上相关资料。acid-0.9.6b23.tar.gzacid-0.9.6b23.tar.gz 基于基于php php 的入侵检测数据库分析控制台的入侵检测数据库分析控制台adodb360.zipadodb360.zip ADOdb ADOdb（Active Data Objects Data BaseActive Data Ob

37、jects Data Base）库）库for PHPfor PHPapache_2.0.46-win32-x86-no_src.msiapache_2.0.46-win32-x86-no_src.msi Windows Windows 版本的版本的Apache Web Apache Web 服务器服务器jpgraph-1.12.2.tar.gzjpgraph-1.12.2.tar.gz OO OO 图形库图形库for PHPfor PHPmysqlmysql-4.0.13-win.zip-4.0.13-win.zip Windows Windows 版本的版本的Mysql Mysql 数据库服

38、务器数据库服务器phpphp-4.3.2-Win32.zip-4.3.2-Win32.zip Windows Windows 版本的版本的php php 脚本环境支持脚本环境支持snort-2_0_0.exesnort-2_0_0.exe Windows Windows 版本的版本的Snort Snort 安装包安装包WinPcapWinPcap_3_0.exe_3_0.exe 网络数据包截取驱动程序网络数据包截取驱动程序phpmyadmin-2.5.1-phpphpmyadmin-2.5.1-php.zip.zip 基于基于php php 的的Mysql Mysql 数据库管理程序数据库管理

39、程序357.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统 天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系天阗黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的统。它利用全面流量监控发现异常，结合地理信息显示入侵事件的定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威定位状况，应用入侵和漏洞之间具有的对应关联关系，给出入侵威胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并胁和资产脆弱性之间的风险分析结果，从而有效地管理安全事件并进行及时处理和响应。它能够实时监控网络传输，自动检测可疑行进行及时处理和响

40、应。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙为，及时发现来自网络外部或内部的攻击。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。紧密结合，弥补了防火墙的访问控制不严密的问题。包含如下五个独立的部分：包含如下五个独立的部分：1 1）天阗网络入侵检测系统，产品型号：）天阗网络入侵检测系统，产品型号：NS200/NS500/NS2200/NS2800NS200/NS500/NS2200/NS2800。2 2）天阗入侵事件定位系统，产品型号：）天阗入侵事件定位系统，产品型号：IMS-EPIMS-EP。3 3）天阗网络异常流量监

41、测系统，产品型号：）天阗网络异常流量监测系统，产品型号：FS1900FS1900。4 4）天阗入侵风险评估系统，产品型号：）天阗入侵风险评估系统，产品型号：IMS-RAIMS-RA。5 5）天阗主机入侵检测系统，产品型号：）天阗主机入侵检测系统，产品型号：HS120/HS220/HS320/HS420/HS520HS120/HS220/HS320/HS420/HS520367.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 37本章小结本章小结 本章首先分析了网络攻击或入侵的概念，介绍了六个攻击的层本章首先分析了网络

42、攻击或入侵的概念，介绍了六个攻击的层次和相应的防范策略。在此基础上引出入侵检测系统。次和相应的防范策略。在此基础上引出入侵检测系统。介绍了基于主机和基于网络的两种入侵检测系统的概念、基本介绍了基于主机和基于网络的两种入侵检测系统的概念、基本组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技组成结构和相应的工作原理。介绍了入侵检测系统中常用的四种技术：静态配置分析、异常检测方法、误用检测和基于系统关键程序术：静态配置分析、异常检测方法、误用检测和基于系统关键程序的安全规格描述方法。给出了入侵系统的性能评价指标。的安全规格描述方法。给出了入侵系统的性能评价指标。介绍了流行的蜜网陷阱系统介绍了流行的蜜网陷阱系统HoneynetHoneynet，用以获取网络攻击的行为和，用以获取网络攻击的行为和方法。方法。对入侵防御系统对入侵防御系统IPSIPS作了简单介绍。作了简单介绍。38 P156P156 2 2、3 3、4 4 推荐实验：推荐实验：用用SnortSnort搭建一个入侵检测系统。搭建一个入侵检测系统。