入侵检测与防御技术

《入侵检测与防御技术》由会员分享，可在线阅读，更多相关《入侵检测与防御技术（40页珍藏版）》请在装配图网上搜索。

1、第 4 章 入 侵 检 测 技 术本 章 学 习 目 标 ：了 解 入 侵 检 测 系 统 的 原 理掌 握 入 侵 检 测 系 统 的 核 心 技 术了 解 入 侵 检 测 系 统 的 作 用了 解 入 侵 检 测 技 术 的 发 展 趋 势掌 握 入 侵 检 测 系 统 在 网 络 安 全 中 的 地 位掌 握 评 价 入 侵 检 测 系 统 的 性 能 指 标 4.1 入 侵 检 测 系 统 概 述 防 火 墙 是 所 有 保 护 网 络 的 方 法 中 最 能 普 遍 接 受 的 方 法 ， 能 阻 挡外 部 入 侵 者 ， 但 对 内 部 攻 击 无 能 为 力 ； 同 时 ， 防

2、火 墙 绝 对 不 是 坚 不可 摧 的 ， 即 使 是 某 些 防 火 墙 本 身 也 会 引 起 一 些 安 全 问 题 。 防 火 墙 不能 防 止 通 向 站 点 的 后 门 ， 不 提 供 对 内 部 的 保 护 ， 无 法 防 范 数 据 驱 动型 的 攻 击 ， 不 能 防 止 用 户 由 Internet上 下 载 被 病 毒 感 染 的 计 算 机 程序 或 将 该 类 程 序 附 在 电 子 邮 件 上 传 输 。 入 侵 检 测 是 防 火 墙 的 合 理 补 充 ， 它 帮 助 系 统 对 付 网 络 攻 击 ， 扩展 了 系 统 管 理 员 的 安 全 管 理 能 力

3、 (包 括 安 全 审 计 、 监 视 、 进 攻 识 别和 响 应 )， 提 高 了 信 息 安 全 基 础 结 构 的 完 整 性 。 4.1 入 侵 检 测 系 统 概 述4.1.1 相 关 术 语攻 击攻 击 者 利 用 工 具 ， 出 于 某 种 动 机 ， 对 目 标 系 统 采 取 的 行 动 ，其 后 果 是 获 取 /破 坏 /篡 改 目 标 系 统 的 数 据 或 访 问 权 限事 件在 攻 击 过 程 中 发 生 的 可 以 识 别 的 行 动 或 行 动 造 成 的 后 果 ； 在入 侵 检 测 系 统 中 ， 事 件 常 常 具 有 一 系 列 属 性 和 详 细 的

4、 描 述 信息 可 供 用 户 查 看 。 CIDF 将 入 侵 检 测 系 统 需 要 分 析 的 数 据 统称 为 事 件 （ event） 入 侵对 信 息 系 统 的 非 授 权 访 问 及 （ 或 ） 未 经 许 可 在 信 息 系 统 中 进行 操 作入 侵 检 测对 企 图 入 侵 、 正 在 进 行 的 入 侵 或 已 经 发 生 的 入 侵 进 行 识 别 的过 程入 侵 检 测 系 统 （ IDS）用 于 辅 助 进 行 入 侵 检 测 或 者 独 立 进 行 入 侵 检 测 的 自 动 化 工 具4.1 入 侵 检 测 系 统 概 述4.1.1 相 关 术 语 入 侵 检

5、 测 系 统 (Intrusion Detection System， IDS)， 是 对 入 侵 自动 进 行 检 测 、 监 控 和 分 析 过 程 的 软 件 与 硬 件 的 组 合 系 统 ,是 一 种自 动 监 测 信 息 系 统 内 、 外 入 侵 的 安 全 设 备 。 IDS通 过 从 计 算 机网 络 或 计 算 机 系 统 中 的 若 干 关 键 点 收 集 信 息 ， 并 对 其 进 行 分 析 ，从 中 发 现 网 络 或 系 统 中 是 否 有 违 反 安 全 策 略 的 行 为 和 遭 到 袭 击的 迹 象 的 一 种 安 全 技 术 。4.1 入 侵 检 测 系

6、统 概 述4.1.2 入 侵 检 测 4.1 入 侵 检 测 系 统 概 述入 侵 检 测 系 统 入 侵 检 测 系 统 （ IDS） 由 入 侵 检 测 的 软 件 与 硬 件 组 合 而成 ， 被 认 为 是 防 火 墙 之 后 的 第 二 道 安 全 闸 门 ， 在 不 影 响 网 络性 能 的 情 况 下 能 对 网 络 进 行 监 测 ， 提 供 对 内 部 攻 击 、 外 部 攻击 和 误 操 作 的 实 时 保 护 。 6大 主 要 功 能 ：5） 评 估 重 要 系 统 和 数 据 文 件 的 完 整 性 。4） 异 常 行 为 模 式 的 统 计 分 析 。3） 识 别 反

7、 映 已 知 进 攻 的 活 动 模 式 并 向 相 关 人 士 报 警 。 2） 系 统 构 造 和 弱 点 的 审 计 。1） 监 视 、 分 析 用 户 及 系 统 活 动 。 6） 操 作 系 统 的 审 计 跟 踪 管 理 ， 并 识 别 违 反 安 全 策 略 的 行 为 。 4.1 入 侵 检 测 系 统 概 述4.1.3 入 侵 检 测 系 统 的 作 用监 控 网 络 和 系 统发 现 入 侵 企 图 或 异 常 现 象实 时 报 警主 动 响 应审 计 跟 踪 形 象 地 说 ， 它 就 是 网 络 摄 像 机 ， 能 够 捕 获 并 记 录 网 络 上 的 所 有 数 据

8、 ， 同 时 它 也 是 智 能 摄 像 机 ， 能 够 分 析 网 络 数 据 并 提 炼 出 可 疑 的 、 异 常 的 网络 数 据 ， 它 还 是 X光 摄 像 机 ， 能 够 穿 透 一 些 巧 妙 的 伪 装 ， 抓 住 实 际 的 内容 。 它 还 不 仅 仅 只 是 摄 像 机 ， 还 包 括 保 安 员 的 摄 像 机 . 4.1 入 侵 检 测 系 统 概 述 7.1 入 侵 检 测 系 统 概 述4.1.4 入 侵 检 测 的 发 展 历 程 1980年 ， 概 念 的 诞 生1984 1986年 ， 模 型 的 发 展 1990年 ， 形 成 网 络 IDS和 主 机

9、IDS两 大 阵 营九 十 年 代 后 至 今 ， 百 家 争 鸣 、 繁 荣 昌 盛 4. 2 入 侵 检 测 系 统 的 功 能 及 分 类 IDS分 类 1） 按 照 体 系 结 构 分 为 ： 集 中 式 和 分 布 式 。 2） 按 照 工 作 方 式 分 为 ： 离 线 检 测 和 在 线 检测 。 3） 按 照 所 用 技 术 分 为 ： 特 征 检 测 和 异 常 检测 4） 按 照 检 测 对 象 （ 数 据 来 源 ） 分 为 ： 基 于主 机 、 基 于 网 络 和 分 布 式 （ 混 合 型 ） 。 4.2 入 侵 检 测 系 统 的 功 能 及 分 类 2） 按 照

10、工 作 方 式 分 为 ： 离 线 检 测 和 在 线 检 测 。 离 线 检 测 系 统 是 非 实 时 工 作 的 系 统 ， 它 在 事 后 分 析审 计 事 件 ， 从 中 检 查 入 侵 活 动 。 在 线 检 测 系 统 是 实 时 联 机 的 检 测 系 统 ， 实 时 入 侵 检测 在 网 络 连 接 过 程 中 进 行 ， 系 统 根 据 用 户 的 历 史 行为 模 型 、 专 家 知 识 以 及 神 经 网 络 模 型 对 用 户 当 前 的操 作 进 行 判 断 ， 一 旦 发 现 入 侵 迹 象 立 即 断 开 入 侵 者与 主 机 的 连 接 ， 并 收 集 证 据

11、 和 实 施 数 据 恢 复 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.1 入 侵 检 测 的 实 现 方 式 入 侵 检 测 系 统 根 据 数 据 包 来 源 的 不 同 ， 采 用 不 用 的 实现 方 式 ， 一 般 地 可 分 为 网 络 型 、 主 机 型 ， 也 可 是 这 两 种 类型 的 混 合 应 用 。基 于 网 络 的 入 侵 检 测 系 统 （ NIDS）基 于 主 机 的 入 侵 检 测 系 统 （ HIDS）混 合 型 入 侵 检 测 系 统 （ Hybrid IDS） 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.1 入 侵 检 测

12、的 实 现 方 式 1、 网 络 IDS： 网 络 IDS是 网 络 上 的 一 个 监 听 设 备 (或 一 个 专 用 主 机 )，通 过 监 听 网 络 上 的 所 有 报 文 ， 根 据 协 议 进 行 分 析 ， 并 报 告网 络 中 的 非 法 使 用 者 信 息 。 安 装 在 被 保 护 的 网 段 （ 通 常 是 共 享 网 络 ， 交 换 环 境 中 交换 机 需 支 持 端 口 映 射 ） 中混 杂 模 式 监 听分 析 网 段 中 所 有 的 数 据 包 实 时 检 测 和 响 应 4.3 入 侵 检 测 的 原 理 与 技 术 图 7-1 网 络 IDS工 作 模 型

13、 4.3 入 侵 检 测 的 原 理 与 技 术 网 络 IDS优 势(1) 实 时 分 析 网 络 数 据 ， 检 测 网 络 系 统 的 非 法 行 为 ；(2) 网 络 IDS系 统 单 独 架 设 ， 不 占 用 其 它 计 算 机 系 统 的 任 何 资源 ；(3) 网 络 IDS系 统 是 一 个 独 立 的 网 络 设 备 ， 可 以 做 到 对 黑 客 透明 ， 因 此 其 本 身 的 安 全 性 高 ；(4) 它 既 可 以 用 于 实 时 监 测 系 统 ， 也 是 记 录 审 计 系 统 ， 可 以 做到 实 时 保 护 ， 事 后 分 析 取 证 ；(5) 通 过 与

14、防 火 墙 的 联 动 ， 不 但 可 以 对 攻 击 预 警 ， 还 可 以 更 有效 地 阻 止 非 法 入 侵 和 破 坏 。(6)不 会 增 加 网 络 中 主 机 的 负 担 。 4.3 入 侵 检 测 的 原 理 与 技 术 网 络 IDS的 劣 势(1)不 适 合 交 换 环 境 和 高 速 环 境(2)不 能 处 理 加 密 数 据(3) 资 源 及 处 理 能 力 局 限(4) 系 统 相 关 的 脆 弱 性 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.1 入 侵 检 测 的 实 现 方 式 2、 主 机 IDS： 运 行 于 被 检 测 的 主 机 之 上 ，

15、通 过 查 询 、 监 听 当 前 系 统的 各 种 资 源 的 使 用 运 行 状 态 ， 发 现 系 统 资 源 被 非 法 使 用 和修 改 的 事 件 ， 进 行 上 报 和 处 理 。 安 装 于 被 保 护 的 主 机 中 主 要 分 析 主 机 内 部 活 动 占 用 一 定 的 系 统 资 源 4.3 入 侵 检 测 的 原 理 与 技 术 主 机 IDS优 势(1) 精 确 地 判 断 攻 击 行 为 是 否 成 功 。(2) 监 控 主 机 上 特 定 用 户 活 动 、 系 统 运 行 情 况(3) HIDS能 够 检 测 到 NIDS无 法 检 测 的 攻 击(4) H

16、IDS适 用 加 密 的 和 交 换 的 环 境 。(5) 不 需 要 额 外 的 硬 件 设 备 。 4.3 入 侵 检 测 的 原 理 与 技 术 主 机 IDS的 劣 势(1) HIDS对 被 保 护 主 机 的 影 响 。(2) HIDS的 安 全 性 受 到 宿 主 操 作 系 统 的 限 制 。(3) HIDS的 数 据 源 受 到 审 计 系 统 限 制 。(4) 被 木 马 化 的 系 统 内 核 能 够 骗 过 HIDS。(5) 维 护 /升 级 不 方 便 。 4.3 入 侵 检 测 的 原 理 与 技 术 3、 两 种 实 现 方 式 的 比 较 ： 1)如 果 攻 击

17、不 经 过 网 络 基 于 网 络 的 IDS无 法 检 测 到 只 能通 过 使 用 基 于 主 机 的 IDS来 检 测 ； 2)基 于 网 络 的 IDS通 过 检 查 所 有 的 包 头 来 进 行 检 测 ， 而基 于 主 机 的 IDS并 不 查 看 包 头 。 主 机 IDS往 往 不 能 识 别 基 于IP的 拒 绝 服 务 攻 击 和 碎 片 攻 击 ； 3)基 于 网 络 的 IDS可 以 研 究 数 据 包 的 内 容 ， 查 找 特 定 攻击 中 使 用 的 命 令 或 语 法 ， 这 类 攻 击 可 以 被 实 时 检 查 包 序 列的 IDS迅 速 识 别 ； 而

18、基 于 主 机 的 系 统 无 法 看 到 负 载 ， 因 此 也无 法 识 别 嵌 入 式 的 数 据 包 攻 击 。 4.3 入 侵 检 测 的 原 理 与 技 术 4、 混 合 型 入 侵 检 测 系 统 （ Hybrid IDS） 在 新 一 代 的 入 侵 检 测 系 统 中 将 把 现 在 的 基 于 网 络 和 基于 主 机 这 两 种 检 测 技 术 很 好 地 集 成 起 来 ， 提 供 集 成 化 的 攻击 签 名 检 测 报 告 和 事 件 关 联 功 能 。 可 以 深 入 地 研 究 入 侵 事 件 入 侵 手 段 本 身 及 被 入 侵 目 标的 漏 洞 等 。 4

19、.3 入 侵 检 测 的 原 理 与 技 术 4.3.2 IDS的 基 本 结 构 无 论 IDS系 统 是 网 络 型 的 还 是 主 机 型 的 ， 从 功 能 上 看 ， 都 可分 为 两 大 部 分 ： 探 测 引 擎 和 控 制 中 心 。 前 者 用 于 读 取 原 始 数 据 和产 生 事 件 ； 后 者 用 于 显 示 和 分 析 事 件 以 及 策 略 定 制 等 工 作 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.2 IDS的 基 本 结 构 图 7-3 引 擎 的 工 作 流 程 引 擎 的 主 要 功 能为 ： 原 始 数 据 读 取 、数 据 分 析

20、、 产 生 事 件 、策 略 匹 配 、 事 件 处 理 、通 信 等 功 能 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.2 IDS的 基 本 结 构 图 7-4 控 制 中 心 的 工 作 流 程 控 制 中 心 的 主 要 功 能 为 ： 通 信 、 事 件 读 取 、 事 件 显 示 、 策略 定 制 、 日 志 分 析 、 系 统 帮 助 等 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.3 IDS采 用 的 技 术 入 侵 检 测 主 要 通 过 专 家 系 统 、 模 式 匹 配 、 协 议 分 析或 状 态 转 换 等 方 法 来 确 定 入 侵 行

21、为 。 入 侵 检 测 技 术 有 ：静 态 配 置 分 析 技 术异 常 检 测 技 术误 用 检 测 技 术 1 静 态 配 置 分 析 技 术 静 态 配 置 分 析 是 通 过 检 查 系 统 的 当 前 系 统 配 置 ， 诸如 系 统 文 件 的 内 容 或 系 统 表 ， 来 检 查 系 统 是 否 已 经 或 者可 能 会 遭 到 破 坏 。 静 态 是 指 检 查 系 统 的 静 态 特 征 (系 统 配 置 信 息 )， 而 不 是 系 统 中 的 活 动 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.3 IDS采 用 的 技 术 2、 异 常 检 测 技 术

22、 通 过 对 系 统 审 计 数 据 的 分 析 建 立 起 系 统 主 体 (单 个 用 户 、一 组 用 户 、 主 机 ， 甚 至 是 系 统 中 的 某 个 关 键 的 程 序 和 文 件 等 )的 正 常 行 为 特 征 轮 廓 ； 检 测 时 ， 如 果 系 统 中 的 审 计 数 据 与 已 建立 的 主 体 的 正 常 行 为 特 征 有 较 大 出 入 就 认 为 是 一 个 入 侵 行 为 。这 一 检 测 方 法 称 “ 异 常 检 测 技 术 ” 。 一 般 采 用 统 计 或 基 于 规 则 描 述 的 方 法 建 立 系 统 主 体 的 行 为特 征 轮 廓 ， 即

23、 统 计 性 特 征 轮 廓 和 基 于 规 则 描 述 的 特 征 轮 廓 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.3 IDS采 用 的 技 术 3 误 用 检 测 技 术 误 用 检 测 技 术 (Misuse Detection)通 过 检 测 用 户 行 为 中的 那 些 与 某 些 已 知 的 入 侵 行 为 模 式 类 似 的 行 为 或 那 些 利 用 系 统中 缺 陷 或 是 间 接 地 违 背 系 统 安 全 规 则 的 行 为 ， 来 检 测 系 统 中 的入 侵 活 动 ， 是 一 种 基 于 已 有 的 知 识 的 检 测 。 这 种 入 侵 检 测

24、 技 术 的 主 要 局 限 在 于 它 只 是 根 据 已 知 的 入 侵序 列 和 系 统 缺 陷 的 模 式 来 检 测 系 统 中 的 可 疑 行 为 ， 而 不 能 处 理对 新 的 入 侵 攻 击 行 为 以 及 未 知 的 、 潜 在 的 系 统 缺 陷 的 检 测 。 4.3 入 侵 检 测 的 原 理 与 技 术 4.3.4 入 侵 检 测 分 析 技 术 的 比 较 1 模 式 匹 配 的 缺 陷 1） 计 算 负 荷 大 2） 检 测 准 确 率 低 2 协 议 分 析 新 技 术 的 优 势 1） 提 高 了 性 能 2） 提 高 了 准 确 性 3） 反 规 避 能

25、力 4） 系 统 资 源 开 销 小 4.4 入 侵 检 测 系 统 的 性 能 指 标 1 系 统 结 构好 的 IDS应 能 采 用 分 级 、 远 距 离 分 式 部 署 和 管 理 。 4.4 入 侵 检 测 系 统 的 性 能 指 标 2 事 件 数 量 考 察 IDS系 统 的 一 个 关 键 性 指 标 是 报 警 事 件 的 多 少 。一 般 而 言 ， 事 件 越 多 ， 表 明 IDS系 统 能 够 处 理 的 能 力 越强 。 3 处 理 带 宽 IDS的 处 理 带 宽 ， 即 IDS能 够 处 理 的 网 络 流 量 ， 是 IDS的 一 个 重 要 性 能 。 目

26、前 的 网 络 IDS系 统 一 般 能 够 处 理 2030M网 络 流 量 ， 经 过 专 门 定 制 的 系 统 可 以 勉 强 处 理 4060M的 流 量 。 4.4 入 侵 检 测 系 统 的 性 能 指 标 4 探 测 引 擎 与 控 制 中 心 的 通 信 作 为 分 布 式 结 构 的 IDS系 统 ， 通 信 是 其 自 身 安 全 的关 键 因 素 。 通 信 安 全 通 过 身 份 认 证 和 数 据 加 密 两 种 方 法来 实 现 。 身 份 认 证 是 要 保 证 一 个 引 擎 ， 或 者 子 控 制 中 心 只 能由 固 定 的 上 级 进 行 控 制 ， 任

27、 何 非 法 的 控 制 行 为 将 予 以 阻止 。 身 份 认 证 采 用 非 对 称 加 密 算 法 ， 通 过 拥 有 对 方 的 公钥 ， 进 行 加 密 、 解 密 完 成 身 份 认 证 。 4.4 入 侵 检 测 系 统 的 性 能 指 标 5 事 件 定 义 事 件 的 可 定 义 性 或 可 定 义 事 件 是 IDS的 一 个 主 要 特 性 。 6 二 次 事 件 对 事 件 进 行 实 时 统 计 分 析 ， 并 产 生 新 的 高 级 事 件 能 力 。 7 事 件 响 应 通 过 事 件 上 报 、 事 件 日 志 、 Email通 知 、 手 机 短 信 息 、

28、语 音 报 警 等 方 式 进 行 响 应 。 还 可 通 过 TCP阻 断 、 防 火 墙 联 动 等 方 式 主 动 响 应 。 4.4 入 侵 检 测 系 统 的 性 能 指 标 8 自 身 安 全 自 身 安 全 指 的 是 探 测 引 擎 的 安 全 性 。 要 有 良 好 的 隐 蔽性 ， 一 般 使 用 定 制 的 操 作 系 统 。 9 终 端 安 全 主 要 指 控 制 中 心 的 安 全 性 。 有 多 个 用 户 、 多 个 级 别 的控 制 中 心 ， 不 同 的 用 户 应 该 有 不 同 的 权 限 ， 保 证 控 制 中 心的 安 全 性 。 4.4 入 侵 防

29、御 系 统 简 介 IDS只 能 被 动 地 检 测 攻 击 ， 而 不 能 主 动 地 把 变 化 莫 测 的 威 胁 阻止 在 网 络 之 外 。 因 此 ， 人 们 迫 切 地 需 要 找 到 一 种 主 动 入 侵 防 护 解 决方 案 ， 以 确 保 企 业 网 络 在 威 胁 四 起 的 环 境 下 正 常 运 行 。 入 侵 防 御 系 统 （ Intrusion Prevention System或 Intrusion Detection Prevention， 即 IPS或 IDP） 就 应 运 而 生 了 。 IPS是 一 种智 能 化 的 入 侵 检 测 和 防 御 产

30、品 ， 它 不 但 能 检 测 入 侵 的 发 生 ， 而 且 能通 过 一 定 的 响 应 方 式 ， 实 时 地 中 止 入 侵 行 为 的 发 生 和 发 展 ， 实 时 地保 护 信 息 系 统 不 受 实 质 性 的 攻 击 。 IPS使 得 IDS和 防 火 墙 走 向 统 一 。 IPS在 网 络 中 一 般 有 四 种 连 接 方 式 ： Span（ 接 在 交 换 机 旁 边 ， 作 为 端 口 映 像 ） 、 Tap（ 接 在 交 换 机 与 路 由 器 中 间 ， 旁 路 安 装 ， 拷 贝 一 份 数 据 到 IPS中 ） 、Inline（ 接 在 交 换 机 与 路

31、由 器 中 间 ， 在 线 安 装 ， 在 线 阻 断 攻 击 ） 和 Port-cluster（ 被 动 抓 包 ， 在 线 安 装 ） 。 它 在 报 警 的 同 时 ， 能 阻 断 攻 击 。 4.5 蜜 网 陷 阱 Honeynet Honeynet是 一 个 网 络 系 统 ， 并 非 某 台 单 一 主 机 ， 这 一 网 络 系 统隐 藏 在 防 火 墙 的 后 面 ， 所 有 进 出 的 数 据 都 受 到 关 注 、 捕 获 及 控 制 。这 些 被 捕 获 的 数 据 用 来 研 究 分 析 入 侵 者 们 使 用 的 工 具 、 方 法 及 动 机 。在 一 个 Hone

32、ynet中 ， 可 以 使 用 各 种 不 同 的 操 作 系 统 及 设 备 ， 如Solaris、 Linux、 Windows NT、 Cisco Switch等 。 这 样 ， 建 立 的 网 络 环 境 看 上 去 会 更 加 真 实 可 信 ， 同 时 还 有 不 同的 系 统 平 台 上 面 运 行 着 不 同 的 服 务 ， 比 如 Linux的 DNS Server、WindowsNT的 WebServer或 者 一 个 Solaris的 FTP Server， 可 以 使 用不 同 的 工 具 以 及 不 同 的 策 略 或 许 某 些 入 侵 者 仅 仅 把 目 标 定

33、于 几 个 特定 的 系 统 漏 洞 上 ， 而 这 种 多 样 化 的 系 统 ， 就 可 能 更 多 地 揭 示 出 入 侵者 的 一 些 特 性 。 4.5 蜜 网 陷 阱 Honeynet 利 用 Snort软 件 安 装 Win2000Server下 的 蜜 网 陷 阱 Snort 是 一 个 强 大 的 轻 量 级 的 网 络 入 侵 检 测 系 统 。 它 具 有实 时 数 据 流 量 分 析 和 日 志 IP网 络 数 据 包 的 能 力 ， 能 够 进 行 协 议分 析 ， 对 内 容 进 行 搜 索 /匹 配 。 它 能 够 检 测 各 种 不 同 的 攻 击 方 式 ，对

34、 攻 击 进 行 实 时 报 警 。 构 建 完 整 的 Snort系 统 需 要 以 下 软 件 ， 详 细 安 装 方 法 请 参 照网 上 相 关 资 料 。acid-0.9.6b23.tar.gz 基 于 php 的 入 侵 检 测 数 据 库 分 析 控 制 台adodb360.zip ADOdb（ Active Data Objects Data Base） 库 for PHPapache_2.0.46-win32-x86-no_src.msi Windows 版 本 的 Apache Web 服 务 器 jpgraph-1.12.2.tar.gz OO 图 形 库 for PHP

35、mysql-4.0.13-win.zip Windows 版 本 的 Mysql 数 据 库 服 务 器php-4.3.2-Win32.zip Windows 版 本 的 php 脚 本 环 境 支 持snort-2_0_0.exe Windows 版 本 的 Snort 安 装 包WinPcap_3_0.exe 网 络 数 据 包 截 取 驱 动 程 序phpmyadmin-2.5.1-php.zip 基 于 php 的 Mysql 数 据 库 管 理 程 序 4.6 天阗黑客入侵检测与预警系统 天 阗 黑 客 入 侵 检 测 与 预 警 系 统 是 一 种 动 态 的 入 侵 检 测 与

36、响 应 系统 。 它 利 用 全 面 流 量 监 控 发 现 异 常 ， 结 合 地 理 信 息 显 示 入 侵 事 件 的定 位 状 况 ， 应 用 入 侵 和 漏 洞 之 间 具 有 的 对 应 关 联 关 系 ， 给 出 入 侵 威胁 和 资 产 脆 弱 性 之 间 的 风 险 分 析 结 果 ， 从 而 有 效 地 管 理 安 全 事 件 并进 行 及 时 处 理 和 响 应 。 它 能 够 实 时 监 控 网 络 传 输 ， 自 动 检 测 可 疑 行为 ， 及 时 发 现 来 自 网 络 外 部 或 内 部 的 攻 击 。 天 阗 系 统 可 以 与 防 火 墙紧 密 结 合 ，

37、弥 补 了 防 火 墙 的 访 问 控 制 不 严 密 的 问 题 。 包 含 如 下 五 个 独 立 的 部 分 ：1） 天 阗 网 络 入 侵 检 测 系 统 ， 产 品 型 号 ： NS200/NS500/NS2200/NS2800。2） 天 阗 入 侵 事 件 定 位 系 统 ， 产 品 型 号 ： IMS-EP。 3） 天 阗 网 络 异 常 流 量 监 测 系 统 ， 产 品 型 号 ： FS1900。4） 天 阗 入 侵 风 险 评 估 系 统 ， 产 品 型 号 ： IMS-RA。5） 天 阗 主 机 入 侵 检 测 系 统 ， 产 品 型 号 ： HS120/HS220/HS

38、320/HS420/HS520 4.6 天阗黑客入侵检测与预警系统 天 阗 网 络 入 侵 检 测 系 统 典 型 部 署 结 构 图 本章小结 本 章 首 先 分 析 了 网 络 攻 击 或 入 侵 的 概 念 ， 介 绍 了 六 个 攻 击 的 层次 和 相 应 的 防 范 策 略 。 在 此 基 础 上 引 出 入 侵 检 测 系 统 。 介 绍 了 基 于 主 机 和 基 于 网 络 的 两 种 入 侵 检 测 系 统 的 概 念 、 基 本组 成 结 构 和 相 应 的 工 作 原 理 。 介 绍 了 入 侵 检 测 系 统 中 常 用 的 四 种 技术 ： 静 态 配 置 分 析 、 异 常 检 测 方 法 、 误 用 检 测 和 基 于 系 统 关 键 程 序的 安 全 规 格 描 述 方 法 。 给 出 了 入 侵 系 统 的 性 能 评 价 指 标 。介 绍 了 流 行 的 蜜 网 陷 阱 系 统 Honeynet， 用 以 获 取 网 络 攻 击 的 行 为 和方 法 。 对 入 侵 防 御 系 统 IPS作 了 简 单 介 绍 。 推 荐 实 验 ： 用 Snort搭 建 一 个 入 侵 检 测 系 统 。