网络安全实验十-入侵检测系统
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验10:入侵检测系统
【实验题目】
入侵检测系统
【实验目的与要求】
(1)理解入侵检测系统的工作原理;
(2)掌握开源入侵检测系统(软件类)的发展现状;安装调研一种入侵检测系统如Snort 进行试用;
(3)调研目前主流厂家的入侵检测系统和入侵防护系统(硬件类)的发展状况(厂商、产品型号和报价等);
【实验需求】
(1)入侵检测系统的工作原理:
数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数据包等;
数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、噪声,并且进行数据标准化及格式化处理);
数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵;行为
响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留入侵证据以作他日调查所用,同时向管理员报警。
(2)开源入侵检测系统的发展现状:从总体上讲,目前除了完善常规的、传统的技术(模式识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关的研究。许多学者在研究新的检测方法,如采用自动代理的主动防御方法,将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为:
(1)分布式入侵检测与CIDF
传统的入侵检测系统一般局限于单一的主机或网络架构,对异构系统及大规模网络的检测明显不足,同时不同的入侵检测系统之间不能协同工作。为此,需要分布式入侵检测技术与CIDF。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测Web之类的通用协议,不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能入侵检测
目前,入侵方法越来越多样化与综合化,尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域,但这些只是一些尝试性的研究工作,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。
(4)与网络安全技术相结合
结合防火墙、PKIX、安全电子交易(SET)等网络安全与电子商务技术,提供完整的网络安全保障。
(5)建立入侵检测系统评价体系
设计通用的入侵检测测试、评估方法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行,评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。
在Windows 环境下安装和使用Snort:
1.首先从/install/default.htm下载winpcap并安装
2.从 下载snort规则,解压后,将规则文件(.rules)复制到Snort安装目录的rules/目录下
3.从 下载snort并安装
4.从“命令提示符”进入Snort安装目录,找到\bin目录并运行snort.exe。例如:
C:\snort\bin>snort -V
注意:使用-i选项,以选择正确的网卡。使用-l选项,选择正确的日志记录目录。
B.嗅探模式:snort -v
C.记录模式
mkdir log
snort -dev -l ./log
D.网络入侵检测模式
mkdir log
snort -dev -l ./log -h 192.168.1.0/24 -c /etc/snort/snort.conf
5.修改并使用Snort的默认配置文件(snort.conf)运行Snort,snort.conf是规则集文件。snort 会对每个包和规则集进行匹配,发现这样的包就采取相应的行动。如果不指定输出目录,snort 就输出到/var/log/snort目录。注意Snort的语法。使用时,将其复制到Snort的/etc/目录,使用命令:
C:\snort\bin>snort –i 2 –c ../etc/snort.conf –l ../log/
注:-i 2 表示系统里面的第2块网卡,根据自己的电脑网卡情况决定,需要使用 snort –W 显示网卡接口。不要复制上面命令,手动输入,字符存在差异。
如需停止snort,使用“ctrl+c”
(3)思科入侵检测系统。Cisco IDS 4200系列设备检测器包括三型产品:Cisco IDS 4210、
Cisco IDS 4235和Cisco IDS 4250。整个Cisco IDS设备系列提供多种解决方案,这些解决方案可以集成到多种不同的环境中,包括企业和电信运营商环境。每个设备检测器都能提供多档性能,满足从45Mbps到千兆位的带宽要求。Cisco IDS 4210可以监控45Mbps的流量,适用于T1/E1和T3环境。在200Mbps速度下,Cisco IDS 4235可以在交换环境中、多个T3子网上以及在10/100/1000接口的支持下提供保护。另外,它还可以部署在部分使用的千兆位链路上。Cisco IDS 4250不但能以500Mbps的速度支持无与伦比的性能,还能保护千兆位子网以及正在穿越交换机(从多个子网汇集流量)的流量。检测器几乎可以放置在需要安全可视性的企业网的任何网段上。
【实验心得】
通过本次实验,我掌握了开源入侵检测系统的发展现状。还掌握了如何安装及使用snort,了解了snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。最后还理解入侵检测系统的工作原理。