安全防护与入侵检测

捕获面板： 捕获面板： 显示捕获过程中所捕获数据包的数量和当前缓存的 使用情况。 使用情况。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
地址本： 地址本： 保存节点的地址信息，便于管理和分析网络状况。 保存节点的地址信息，便于管理和分析网络状况。
5.1.3 Sniffer Pro报文的捕获与解 报文的捕获与解 析
5.1.2 Sniffer Pro的登录与界面 的登录与界面
1．Sniffer Pro的登录（单块网卡时）
5.1.2 Sniffer Pro的登录与界面 的登录与界面
1．Sniffer Pro的登录（多块网卡时）
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
提供事件记录 流的信息源 收集信息源 的数据
存放各种中 间和最终数 据的地方的 统称
对基于分析引擎的数 图5.27 入侵检测系统的组成 据结果产生反应
5.2.2 入侵检测系统的构成与功能
入侵检测系统的功能： 入侵检测系统的功能： （1）检测和分析用户与系统的活动 ） （2）审计系统配置和漏洞 ） （3）评估系统关键资源和数据文件的完整性 ） （4）识别已知攻击 ） （5）统计分析异常行为 ） （6）操作系统的审计、跟踪、管理、并识别 ）操作系统的审计、跟踪、管理、 违反安全策略的用户活动
定义过滤器
捕获ARP 捕获ARP帧的结果 ARP帧的结果
5.1.4 Sniffer Pro的高级应用 的高级应用
表5.2 Sniffer Pro高级系统层次与OSI对应关系
图 标
高级系统层次名称 服务层（Service） 应用程序层（Application） 会话层（Session） 数据链路层（Connection） 工作站层（Station） DLC
（1）基于主机的入侵检测产品（HIDS） ）基于主机的入侵检测产品（ ） 安装在被检测的主机上， 安装在被检测的主机上，对该主机的 网络进行实时连接以及系统审计日志进行 智能分析和判断。 智能分析和判断。 （2）基于网络的入侵检测产品（NIDS） ）基于网络的入侵检测产品（ ） 放置在比较重要的网段内， 放置在比较重要的网段内，不停地监 视网段中的各种数据包。 视网段中的各种数据包。
5.2.5 入侵检测系统的选型
表5.5
产品是否可扩展 该产品是否进行过攻击测 试 产品支持的入侵特征数
入侵检测系统选择标准
系统支持的传感器数目、最大数据库大小、传感器与 控制台之间通信带宽和对审计日志溢出的处理 了解产品提供商提供的产品是否进行过攻击测试，明 确测试步骤和内容，主要关注本产品抵抗拒绝服务攻 击的能力 不同厂商对检测特征库大小的计算方法都不一样，尽 量参考国际标准
第5章 安全防护与入侵检测
5.1
Pro网络管理与监视 Sniffer Pro网络管理与监视 入侵检测系统
5.2
5.3
蜜罐系统
5.1 Sniffer Pro网络管理与监视 Pro网络管理与监视
5.1.1 Sniffer Pro的功能 Pro的功能
Sniffer Pro支持各种平台（Windows XP/ 支持各种平台（ 支持各种平台 2000/NT/ME/9X/2003），性能优越，是可视化 ），性能优越 ），性能优越， 的网络分析软件，主要功能有以下几点。 的网络分析软件，主要功能有以下几点。 实时监测网络活动。 实时监测网络活动。 数据包捕捉与发送。 数据包捕捉与发送。 网络测试与性能分析。 网络测试与性能分析。 利用专家分析系统进行故障诊断。 利用专家分析系统进行故障诊断。 网络硬件设备测试与管理。 网络硬件设备测试与管理。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
协议分布： 协议分布： 收集网络上所有可见的协议，查看协议分布情况。 收集网络上所有可见的协议，查看协议分布情况。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
5.2 入侵检测系统
5.2.1 入侵检测的概念与原理
入侵检测利用不同的引擎实时或定期地对网络数据源进行 分析，并对其中的威胁部分提取出来，触发响应机制。
图5.26 通用入侵检测模型 将入侵检测的软件与硬件的组合称为入侵检测系统（IDS）
5.2.2 入侵检测系统的构成与功能
入侵检测系统一般由4个部分的组成： 入侵检测系统一般由 个部分的组成：事件发生 个部分的组成 事件分析器、响应单元、事件数据库。 器、事件分析器、响应单元、事件数据库。
全局统计： 全局统计： 显示捕获过程的整体统计信息。 显示捕获过程的整体统计信息。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
警告日志： 警告日志： 显示警告信息。 显示警告信息。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
2．Sniffer Pro的界面
应用程序响应时间： 应用程序响应时间： 主要用于对服务器的监控， 主要用于对服务器的监控，了解网络应用的响应 状况，及时发现服务存在的问题。 状况，及时发现服务存在的问题。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
历史抽样： 历史抽样： 用于确定基准，即网络的正常运行情况。 用于确定基准，即网络的正常运行情况。
5.2.4 入侵检测系统的部署
放在主要的网络中枢中， 放在主要的网络中枢中，传感器可以监控大量的网络 数据，可提高检测黑客攻击的可能性， 数据，可提高检测黑客攻击的可能性，可通过授权用户 的权利周界来发现未授权用户的行为。 的权利周界来发现未授权用户的行为。 放在一些安全级别需求高的子网中， 放在一些安全级别需求高的子网中，对非常重要的系 统和资源的入侵检测，比如一个公司的财务部门， 统和资源的入侵检测，比如一个公司的财务部门，这个 网段安全级别需求非常高， 网段安全级别需求非常高，因此可以对财务部门单独放 置一个检测器系统。 置一个检测器系统。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
主机列表： 主机列表： 收集发出流量的节点， 收集发出流量的节点，显示节点的流量统计信息 支持4种视图：大纲、详细资料、直方图、 支持4种视图：大纲、详细资料、直方图、饼图
5.1.2 Sniffer Pro的登录与界面 的登录与界面
5.2.5 入侵检测系统的选型
IDS软件厂商的网址 软件厂商的网址
Axent Technologies公司网址 http://www.axent.com 公司网址: 公司网址 Cisco Systems公司网址 http://www.cisco.com 公司网址: 公司网址 Internet Security Systems公司网址 http://www.iss.net 公司网址: 公司网址 Intrusion Detection公司网址 http://www.intrusion.com 公司网址: 公司网址 Network Associates公司网址 http://www.nai.com http://www.ngc.com 公司网址: 公司网址 Computer Associates公司网址 http://www.cai.com/ 公司网址: 公司网址 Trusted Information Systems公司网址 http://www.tis.com 公司网址: 公司网址 Network Security Wizards公司网址 http://www.securitywizards.com 公司网址: 公司网址 Network Ice公司网址 http://www.networkice.com 公司网址: 公司网址 NFR公司网址 http://www.nfr.net/ 公司网址: 公司网址 CyberSafe公司网址 公司网址:http://www.cybersafe.com/ 公司网址 中科网威公司网址: http://www.netpower.com.cn/ 中科网威公司网址 启明星辰公司网址: 启明星辰公司网址 http://www.venustech.com.cn
表5.1
名 称 开始按钮 暂停按钮 停止按钮 停止并显示 按钮 显示按钮 定义过滤器 按钮 选择过滤器
捕获栏功能介绍
表5.1
图 标
捕获栏功能介绍
功 能
表示可以开始捕获过程 可以在任何时间停止捕获过程，稍后再 继续 可以停止过程来查看信息，或将信息存 为一个文件 以停止捕获并显示捕获的帧 显示一个已经停止捕获过程的结果 定义用来捕获帧的条件 以从定义好的条件列表中选择一个用于 捕获
OSI模型的层次 应用层与表示层 应用层与表示层 会话层 数据链路层 网络层 数据链路层与物理层
入侵检测系统
5.2 入侵检测系统
5.2.1 入侵检测的概念与原理
入侵检测是指“通过对行为、安全日志或审计数据或其他 网络上可以获得的信息进行操作，检测到对系统的闯入或 闯入的企图。 入侵检测技术是用来发现内部攻击、外部攻击和误操作的 一种方法。是一种动态的网络安全技术，传统的操作系统 加固技术等都是静态安全防御技术。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影 响网络性能的情况下能对网络进行检测，从而提供对内部 攻击、外部攻击和误操作的实时保护。
2．Sniffer Pro的界面
矩阵： 矩阵： 收集网络主机间 的会话内容并进 行流量统计， 行流量统计，根 MAC、IP地址 据MAC、IP地址 查看矩阵内容。 查看矩阵内容。 支持5 支持5种查看方 地图、大纲、 式：地图、大纲、 详细资料、 详细资料、直方 饼图。 图、饼图。
5.1.2 Sniffer Pro的登录与界面 的登录与界面
5.2.4 入侵检测系统的部署
一般入侵检测产品都由传感器和控制台两个部分组成。 一般入侵检测产品都由传感器和控制台两个部分组成。 传感器负责采集、分析数据并生成安全事件。 传感器负责采集、分析数据并生成安全事件。控制台主 要起到中央管理的作用。 要起到中央管理的作用。基于网络的入侵检测系统需要 有传感器才能工作。 有传感器才能工作。入侵检测系统的位置主要是传感器 的部署位置。如果传感器放的位置不正确， 的部署位置。如果传感器放的位置不正确，入侵检测系 统也无法工作在最佳状态，一般可以采取以下4个选择 个选择： 统也无法工作在最佳状态，一般可以采取以下4个选择： 放在边界防火墙之内， 放在边界防火墙之内，传感器可以发现所有来自 Internet 的攻击，然而如果攻击类型是 的攻击，然而如果攻击类型是TCP攻击，而防火 攻击， 攻击 墙或过滤路由器能封锁这种攻击， 墙或过滤路由器能封锁这种攻击，那么入侵检测系统可 能就检测不到这种攻击的发生。 能就检测不到这种攻击的发生。 放在边界防火墙之外， 放在边界防火墙之外，可以检测所有对保护网络的攻 击事件，包括数目和类型。 击事件，包括数目和类型。但是这样部署会使传感器彻 底地暴露在黑客之下。 底地暴露在黑客之下。
5.2.3 入侵检测系统的分类
1．按照检测类型划分 ．
（1）异常检测模型（Anomaly detection） ）异常检测模型（ ）
ห้องสมุดไป่ตู้
2）特征检测模型（ detection） （2）特征检测模型（Signature-based detection）
5.2.3 入侵检测系统的分类
2．按照检测对象划分 ．
Sniffer Pro是一款比较完备的网络管 是一款比较完备的网络管 理工具，可以用来捕获流量。 理工具，可以用来捕获流量。对于蠕虫病 毒、广播风暴或者网络攻击，识别它们最 广播风暴或者网络攻击， 好的方法是，分析问题并将之分类， 好的方法是，分析问题并将之分类，这样 就可以全面了解网络的现状， 就可以全面了解网络的现状，并针对不同 的问题采取不同的解决方法。 的问题采取不同的解决方法。首先了解一 下捕获栏的使用，如表5.1所示 所示。 下捕获栏的使用，如表 所示。 捕获栏
特征库升级与维护的周期、 入侵检测的特征库需要不断更新才能检测出新出现的 方式、费用 攻击方法 最大可处理流量 是否通过了国家权威机构 的测评 是否有成功案例 系统的价格 一般有百兆、千兆、万兆之分 主要的权威测评机构有：国家信息安全测评认证中心、 公安部计算机信息系统安全产品质量监督检验中心 需要了解产品的成功应用案例，有必要进行实地考察 和测试使用 性能价格比，以要保护系统的价值为主要的因素
菜单栏 捕获栏 工具栏 状态栏
5.1.2 Sniffer Pro的登录与界面 的登录与界面
2．Sniffer Pro的界面
仪表盘：提供实时信息，判断网络是否异常。 仪表盘：提供实时信息，判断网络是否异常。 仪表显示网络利用率、数据包流量、 仪表显示网络利用率、数据包流量、错误统计率 表格显示网络利用率、数据分布规模、 表格显示网络利用率、数据分布规模、错误详细统计