[实用参考]入侵检测实验

实验七入侵检测实验

一、实验目的

通过本实验掌握入侵检测系统（IDS）的基本原理和应用，掌握Windows 系统进行日常安全检测的基本方法和操作技能。

二、实验要求

1、实验前学生应具备以下知识：

✓了解常见网络攻击技术的特点。

✓了解Windows系统用于安全审计的系统工具。

✓了解入侵检测系统（IDS）的基本概念。

2、实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整实验过程中，部分实验内容需要与相邻的同学配合完成。此外，学生需要将实验的结果记录下来，实验内容中的思考题以书面形式解答并附在实验报告的后面。

3、需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。

三、实验仪器设备和材料清单

实验设备：

1．WindowsGP，Windows20GG服务器；或VMWare，Windows20GG/GP虚拟机。

2．TCPView、360安全卫士。

3．Snort。

4．黑客工具包。

四、实验内容

本次实验的主要项目包括以下几个方面：

1、利用TCPView监控网络连接和会话。

2、利用Windows系统工具监控文件共享、系统进程和服务。

3、配置Windows系统审核策略，监控敏感文件，攻击模拟后查看系统安全日志。

4、攻击模拟后查看Web、FTP等服务的访问日志。

5、安装、配置Snort监控所在网络的通信。

五、实验步骤

参考配置和步骤如下：

1、利用TCPView监控网络连接和会话

运行工具软件TCPView，运行浏览器等网络软件，如下图，查看本机的网络连接和会话。

2、利用360安全卫士进行安全检查

360安全卫士是目前最为流行的桌面安全工具，在其“高级工具”中集成了多个检测工具，可以帮助我们发现恶意程序和黑客的入侵，并作出相应的修补。

类似TCPView的工具也可以在360安全卫士的高级工具中找到。

3、利用Windows系统工具监控文件共享、系统进程和服务

运行“计算机管理”管理工具，打开“共享文件夹”，查看已经建立的会话和打开的文件。

运行“任务管理器”查看当前运行的进程和服务，观察是否存在可疑进程和服务。

4、通过配置Windows系统审核策略监控安全事件和敏感文件

运行管理工具“本地安全策略”配置“本地策略”中的“审核策略”，启用“登录审核”、“帐户管理审核”、“对象访问审核”等策略，并同时审核“成功”和“失败”事件。

在NTFS分区上建立一个文件夹，在内建立多个测试用文本文件，分别配置为只可以被特定的用户访问。配置该文件夹中的特定文件的NTFS安全属性，启用审核

然后，进行以下操作：

1）模拟黑客登录密码猜解过程，输入错误的密码。

2）用不同的用户登录系统，在不同权限条件下尝试读写这些测试文件。

打开“事件查看器”管理工具，查看“安全日志”，观察是否记录下这些不安全操作。

5、攻击模拟后查看Web/FTP等服务的访问日志。

模拟黑客用“流光”扫描本机的Web服务，然后观察IIS日志文件中记录的内容。日志文件查看方式如图所示。

6、安装配置Snort部署IDS系统监控所在网络的通信（根据时间情况选做）

运行实验软件工具包中Snort安装程序，在虚拟机中运行网络应用软件和黑客工具如扫描器、DoS等，观察Snort能否检测到对应的攻击。

六、思考题

1、常见的安全审计有哪些种类？

2、TCPView类的监视工具能否完全发现恶意程序的入侵和攻击？

3、Windows的安全审核机制都提供了哪些功能？

4、有防火墙的情况下为什么还需要IDS？

5、IDS有哪些种类？Snort属于哪一类？