第6章-入侵检测和入侵防御系统只是课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
注意:网络上不需要的活动不一定就是实际的入侵,可 以是任何不想要的活动。
& 此时,执行snort命令时需要用“-c”选项指定入侵 检测时所使用的配置文件。
& Snort默认安装时,已经在/etc/snort目录提供了一 个例子配置文件,其文件名是snort.conf。
Linux系统上Snort配置
➢ /etc/snort/snort.conf文件是snort命令运行时的主 配置文件,为了使用的方便,用户可以在其中定义 许多变量,以便以后在其它位置进行引用。另外, Snort系统本身也使用某些名称的变量,用户赋予的 值将影响Snort的工作状态。变量的值一般是文件系 统中的路径、IP地址、端口号等。
入侵检测系统
• 入侵防御系统(IPS),它的功能强大,除了能够 检测恶意行为外,还能够采取行动阻止恶意行 为的危害。
入侵检测系统的配置
• 硬件需求 • 安装NIDS—它能识别恶意流量
添加P105页 图6-1
Linux系统上Snort配置
➢ Snort是一种开放源代码、免费、跨平台的网络入侵 保护和检测系统,它使用了一种规则驱动的语言, 支持各种形式的插件、扩充和定制,具有实时数据 流量分析、对IP网络数据包进行日志记录、以及对入 侵进行探测的功能。
➢ 基于网络的主动响应有四种策略,针对协议栈的 不同层:
✓ 数据链路
✓网络 ✓传输层 ✓应用层
基于IDS报警的响应攻击
➢ 当分组从一个网络路由到另外一个时,网关设备将会 检查分组,并决定他们是否转发出去。因此,为了安 全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
入侵检测系统
• 实现IDS最常见的方法是通过系统监控、检查指 定链路上的所有流量,然后将流量通数据库中 已知不需要检测的流量特征加以比较,这是基 于特征的IDS。
• 还有一种是,IDS试图从实际网络数据构建“正 常”通信量列表,然后标示任何与已建正常通 信量列表不匹配的流量,这是基于异常检测的 IDS。
配置Snort选项的格式如下: config <directive> [: <value>]
Linux系统上Snort配置
• Snort的规则选项是入侵检测引擎的核心,所有的 入侵行为都可以通过Snort规则选项将其表达出来, 使用起来非常灵活。所有的snort规则选项和选项 值之间用“:”分隔,而规则选项本身由“;”进行 分隔。
第6章-入侵检测和入侵防御系统
6.1入侵检测系统
• 传统上,企业网络一般采用防火墙作为安全的第一 道防线,但随着攻击工具与手法的日趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
• 入侵检测系统是继防火墙之后,保护网络安全的第 二道防线,它可以在网络受到攻击时,发出警报或 者采取一定的干预措施,以保证网络的安全。
LinuБайду номын сангаас系统上Snort配置
执行snort命令时,可以通过指定命令行选项使 Snort工作于不同的状态,实际上,很多的命令行选 项都可以在snort.conf文件中进行配置,于是,就 不需要在snort命令行中指定了。除了命令行选项外 ,在snort.conf文件中还可以指定其它一些不能在 命令行中使用的选项。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
6.2 主动响应与IPS
• 主动响应与入侵防御的对比
– 入侵防御通常应用在内联设备 – 而主动响应不需要内联设备来实现,而且主动响应更
具有更改或阻塞网络流量的功能。 – 两者区别在于:任何不与恶意流量内联在线的响应机制,
不再阻止这种流量到达想要到达的目标和位置。
6.2 主动响应与IPS
➢ 主动响应的目的是在不需要管理员的情况下买自 动地对检测到的攻击做出反应并减少计算机入侵 企图造成的破坏效果。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
6.3 入侵防御讨论
讨论一下防火墙和IDS之间的差异: ➢ 防火墙的核心目的是根据流量与防火墙给定的策略,
允许或阻止网络流量。 ➢ 它能快速做出决定,尽快放行或阻塞分组
➢ NIDS目的是在网络中找出感兴趣的攻击/入侵/事件 ➢ 使用时不要因为流量过大而漏掉分组,并且需要不断
持续重新检测。
小结
本章研究了入侵检测事件的主动响应概念, 给出了三种软件SnortSam、Fwsnort和 snort_inline在使用不同策略对Snort IDS事 件作出响应。
此课件下载可自行编辑修改,仅供参考! 感谢您的支持,我们努力做得更好!谢谢