系統(tǒng)入侵檢測與防御

1、1第第8章章 系統(tǒng)入侵檢測與防御系統(tǒng)入侵檢測與防御曹天杰中國礦業(yè)大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院1. 入侵檢測系統(tǒng)入侵檢測系統(tǒng)2. 入侵響應(yīng)入侵響應(yīng)3. 入侵檢測的分析技術(shù)入侵檢測的分析技術(shù)4. 入侵檢測系統(tǒng)的結(jié)構(gòu)與部署入侵檢測系統(tǒng)的結(jié)構(gòu)與部署5. 入侵檢測系統(tǒng)入侵檢測系統(tǒng)SNORT6. 其它類型的入侵檢測系統(tǒng)其它類型的入侵檢測系統(tǒng)7. 蜜罐蜜罐8. 入侵防御系統(tǒng)入侵防御系統(tǒng)3入侵檢測的定義n入侵檢測的概念最早由Anderson在1980年提出，是指對入侵行為的發(fā)覺，并對此做出反應(yīng)的過程。入侵檢測是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)

2、），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。4入侵檢測系統(tǒng)主要功能n（1）監(jiān)視并分析用戶和系統(tǒng)的活動。n（2）檢查系統(tǒng)配置和漏洞。n（3）識別已知的攻擊行為并報警。n（4）異常行為模式的統(tǒng)計分析。 n（5）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性。n（6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。5基于主機(jī)的入侵檢測系統(tǒng)n基于主機(jī)的入侵檢測系統(tǒng)（Host-b

3、ased Intrusion Detection System）為早期的入侵檢測系統(tǒng)結(jié)構(gòu)，其檢測的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機(jī)的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運(yùn)行在被檢測的主機(jī)或單獨(dú)的主機(jī)上，基本過程如圖8.1所示。 入侵檢測器主機(jī)系統(tǒng)應(yīng)急措施配置系統(tǒng)庫攻擊模式庫報警系統(tǒng)操作審計記錄圖8.1 基于主機(jī)系統(tǒng)的結(jié)構(gòu)6基于主機(jī)的入侵檢測系統(tǒng)的弱點(diǎn) n（1）主機(jī)入侵檢測系統(tǒng)安裝在我們需要保護(hù)的設(shè)備上，如當(dāng)一個數(shù)據(jù)庫服務(wù)器要保護(hù)時，就要在服務(wù)器本身上安裝入侵檢測系統(tǒng)。這會降低應(yīng)用系統(tǒng)的效率。此外，它也會帶來一些額外的安全問題，安裝了主機(jī)入侵檢測系統(tǒng)后，將本不允許安

4、全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。n（2）主機(jī)的審計信息弱點(diǎn)，如易受攻擊，入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。n（3）主機(jī)入侵檢測系統(tǒng)依賴于服務(wù)器固有的日志與監(jiān)視能力，且只能對服務(wù)器的特定的用戶、應(yīng)用程序執(zhí)行動作、日志進(jìn)行檢測，所能檢測到的攻擊類型受到限制。n（4）主機(jī)入侵檢測系統(tǒng)除了監(jiān)測自身的主機(jī)以外，根本不監(jiān)測網(wǎng)絡(luò)上的情況，不能通過分析主機(jī)審計記錄來檢測網(wǎng)絡(luò)攻擊（如域名欺騙、端口掃描等）。n（5）全面部署主機(jī)入侵檢測系統(tǒng)代價較大，企業(yè)中很難將所有主機(jī)用主機(jī)入侵檢測系統(tǒng)保護(hù)，只能選擇部分主機(jī)保護(hù)。那些未安裝主機(jī)入侵檢測系統(tǒng)的機(jī)器將成為保護(hù)的盲點(diǎn)，入

5、侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。 7基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) n隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，單獨(dú)地依靠主機(jī)審計信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。從而人們提出了基于網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、單臺或多臺主機(jī)的審計數(shù)據(jù)檢測入侵?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與系統(tǒng)內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測系統(tǒng)是基于網(wǎng)絡(luò)的。8基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)n圖8.2中的探測器由過濾器、網(wǎng)絡(luò)接口引擎器以及過濾規(guī)則決策器構(gòu)成，探測器的功能是按一定的

6、規(guī)則從網(wǎng)絡(luò)上獲取與安全事件相關(guān)的數(shù)據(jù)包，然后傳遞給分析引擎器進(jìn)行安全分析判斷。分析引擎器將從探側(cè)器上接收到的包結(jié)合網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行分析，把分析的結(jié)果傳遞給配置構(gòu)造器。配置構(gòu)造器按分析引擎器的結(jié)果構(gòu)造出探測器所需要的配置規(guī)則。安全配置構(gòu)造器分析結(jié)果網(wǎng)絡(luò)接口分析引擎探測器探測器網(wǎng)絡(luò)安全數(shù)據(jù)庫圖8.2 基于網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)9基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)n（1）平臺無關(guān)性。n（2）成本低、配置簡單。n（3）檢測的攻擊標(biāo)記標(biāo)識較多。n（4）實時性的檢測和響應(yīng)。10基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的缺點(diǎn)n（1）不適用于交換的網(wǎng)絡(luò)環(huán)境。n（2）網(wǎng)絡(luò)入侵檢測系統(tǒng)不適用于加密的網(wǎng)絡(luò)環(huán)境。n（3）網(wǎng)絡(luò)入侵檢測系統(tǒng)為了性能目標(biāo)

7、通常采用特征檢測的方法，它可以檢測出普通的一些攻擊，而很難實現(xiàn)一些復(fù)雜的需要大量計算與分析時間的攻擊檢測。n（4）網(wǎng)絡(luò)流量較大時，處理能力有限。11混合型入侵檢測系統(tǒng) n基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS各有優(yōu)缺點(diǎn)，且具有互補(bǔ)性?；诰W(wǎng)絡(luò)的IDS能夠獨(dú)立于主機(jī)，不影響主機(jī)性能，并且監(jiān)控范圍廣，能夠客觀地反映網(wǎng)絡(luò)活動，特別是能夠監(jiān)視到系統(tǒng)審計的盲區(qū);而基于主機(jī)的IDS能夠更加精確地監(jiān)視系統(tǒng)中的各種活動，不會因為網(wǎng)絡(luò)流量的增加而放棄對網(wǎng)絡(luò)行為的監(jiān)視，并且可以用于加密環(huán)境。因此，為了克服兩者的不足造成防御體系的不全面，20世紀(jì)90年代以后，許多大型的分布式入侵檢測系統(tǒng)都是混合型的入侵檢測系統(tǒng)。混合型

8、入侵檢測系統(tǒng)集基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)于一身，即可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況，從而大大提高了入侵檢測系統(tǒng)的功能。 12入侵響應(yīng)n被動響應(yīng)入侵檢測系統(tǒng) 被動響應(yīng)系統(tǒng)只會發(fā)出告警通知，將發(fā)生的異常情況報告給管理員，本身并不試圖降低所造成的破壞，更不會主動地對攻擊者采取反擊行動，而由管理員決定是否采取下一步行動。告警和通知、SNMP陷阱和插件是兩種常用的被動響應(yīng)技術(shù)。n主動響應(yīng)入侵檢測系統(tǒng) 主動響應(yīng)系統(tǒng)可以分為兩類:對被攻擊系統(tǒng)實施控制的系統(tǒng)和對攻擊系統(tǒng)實施控制的系統(tǒng)。對攻擊系統(tǒng)實施控制比較困難，主要是對被攻擊系統(tǒng)實施控制。主動響應(yīng)有兩種形式，一種是由用戶

9、驅(qū)動的，一種是由系統(tǒng)本身自動執(zhí)行的。對入侵者采取反擊行動，修正系統(tǒng)環(huán)境和收集盡可能多的信息是主動響應(yīng)的基本手段。 13入侵響應(yīng)n應(yīng)急響應(yīng)組 所謂應(yīng)急響應(yīng)即“Incident Response”或“Emergency Response”，通常指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)的開始是因為有“事件”發(fā)生。所謂“事件”或“安全事件”指的是那些影響計算機(jī)系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為。網(wǎng)絡(luò)安全事件造成的損失往往是巨大的，而且往往是在很短的時間內(nèi)造成的。因此，應(yīng)對網(wǎng)絡(luò)事件的關(guān)鍵是速度與效率。應(yīng)急響應(yīng)技術(shù)在“事件”方面的內(nèi)容包括事件分類、事件描述和事件報告等。n

10、應(yīng)急響應(yīng)計劃 應(yīng)急響應(yīng)計劃（Emergency Response Plan）是指組織為了應(yīng)對突發(fā)/重大信息安全事件而編制的，對包括信息系統(tǒng)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的策略和規(guī)程。 14入侵檢測的分析技術(shù)-異常檢測 n異常檢測技術(shù)也稱為基于行為的檢測技術(shù)，是根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。異常檢測基于一個假設(shè)，即入侵行為存在于偏離系統(tǒng)正常使用的事件中，異常檢測就是要找出偏離正常行為的事件，并從中發(fā)現(xiàn)入侵。通過將過去觀察到的正常行為與受到攻擊時的行為加以比較，根據(jù)使用者的異常行為或資源的異常使用狀況來判斷是否發(fā)生入侵活動，其原則是任何與已知行為模型不符合的行為都認(rèn)為是

11、入侵行為。 15入侵檢測的分析技術(shù)-異常檢測 n異常檢測的假設(shè)是入侵者活動異常于正常主體的活動。這種活動存在4種可能：入侵性而非異常、非入侵性且異常、非入侵性且非異常、入侵且異常。異常檢測一般先建立用戶正常行為的模型，再將實際觀察到的行為與之相比較，檢測與正常行為偏差較大的行為。因此，如果能夠建立系統(tǒng)正常運(yùn)行的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。模型如圖8.5所示。 正常行為描述庫異常檢測匹配規(guī)則動態(tài)產(chǎn)生新描述動態(tài)更新描述網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)入侵行為圖8.5 異常檢測模型 16入侵檢測的分析技術(shù)-異常檢測 n異常檢測的優(yōu)點(diǎn)是，與系統(tǒng)相對無關(guān)，通用性比較強(qiáng)，易于實現(xiàn)，易于

12、自動更新，可以發(fā)現(xiàn)未知的入侵行為，同時有一定的學(xué)習(xí)能力。但單純的統(tǒng)計異常檢測方法對時間發(fā)生的次序不夠敏感，誤報、虛報率較高，對沒有統(tǒng)計特征的攻擊方法難以檢測。n異常檢測的難題在于如何建立系統(tǒng)正常行為的“活動輪廓”以及如何設(shè)計統(tǒng)計算法，基于異常的入侵檢測系統(tǒng)通過構(gòu)造不同的異常模型來實現(xiàn)不同的檢測方法，使用觀測到的一組測量值偏離度來預(yù)測用戶行為的變化而做出決策判斷。目前基于異常的入侵檢測系統(tǒng)主要采用的技術(shù)有統(tǒng)計分析、貝葉斯推理、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘等方法。17入侵檢測的分析技術(shù)-誤用檢測 n誤用檢測檢測技術(shù)也稱為基于知識的檢測或基于特征的檢測。誤用檢測假設(shè)所有入侵的行為或手段及其變種都能表達(dá)為一種模

13、式或特征。誤用檢測技術(shù)通過對已知道的入侵行為和手段進(jìn)行分析，提取檢測特征，構(gòu)建攻擊模式或攻擊簽名。檢測時，主要判別主機(jī)或者網(wǎng)絡(luò)中所搜集到的數(shù)據(jù)特征是否匹配所收集的特征庫中的一種，以此判斷是否有入侵行為。n基于誤用檢測的入侵檢測技術(shù)通過收集入侵攻擊和系統(tǒng)缺陷的相關(guān)知識來構(gòu)成入侵檢測系統(tǒng)中的知識庫，然后利用這些知識尋找那些企圖利用這些系統(tǒng)缺陷的攻擊行為。也就是說基于誤用檢測的入侵檢測技術(shù)是通過檢測那些與已知的入侵行為模式類似的行為或間接地違背系統(tǒng)安全規(guī)則的行為來判斷是否有入侵活動。系統(tǒng)中的任何不能確認(rèn)是攻擊的行為都被認(rèn)為是系統(tǒng)的正常行為。18入侵檢測的分析技術(shù)-誤用檢測 n基于誤用的入侵檢測技術(shù)具

14、有良好的精確度，誤報率較低，但其檢測依賴于對入侵攻擊和系統(tǒng)缺陷相關(guān)知識的不斷更新和補(bǔ)充，因此不能檢測未知的入侵行為。誤用檢測的關(guān)鍵是如何表達(dá)入侵行為、構(gòu)建攻擊模式，把真正的入侵與正常行為區(qū)分開，以及檢測過程中的推理模型。在具體實現(xiàn)上，基于誤用檢測的IDS知識在表示入侵模式的方式以及在系統(tǒng)的審計入侵模式的機(jī)制上有所不同。誤用檢測的主要實現(xiàn)技術(shù)有專家系統(tǒng)、狀態(tài)轉(zhuǎn)換分析、模式匹配等。19入侵檢測系統(tǒng)的結(jié)構(gòu)n為了提高IDS產(chǎn)品、組件以及與其他安全產(chǎn)品之間的互操作性，美國國防高級研究計劃署與Internet工程任務(wù)組的入侵檢測工程組（IDWG）發(fā)起制定了一系列建議草案，從體系結(jié)構(gòu)、API、通信機(jī)制、語言

15、格式等方面規(guī)范IDS的標(biāo)準(zhǔn)，提出了通用入侵檢測框架（common intrusion detection framework，CIDF），如圖所示。nCIDF闡述了一個入侵檢測系統(tǒng)（IDS）的通用模型，其結(jié)構(gòu)如圖8.6所示。它將一個入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（Event generators）、事件分析器（Event analyzers）、響應(yīng)單元（Response units）、事件數(shù)據(jù)庫（Event databases）。事件數(shù)據(jù)庫事件分析器響應(yīng)單元事件產(chǎn)生器圖8.6 CIDF 體系結(jié)構(gòu)20分布式的入侵檢測系統(tǒng) n隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，出現(xiàn)了許多新的入侵檢測問題：n首

16、先，系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中的各個主機(jī)上，這些弱點(diǎn)問題可能被入侵者一起用來攻擊網(wǎng)絡(luò)，而僅依靠一個主機(jī)或網(wǎng)絡(luò)入侵檢測系統(tǒng)難以發(fā)現(xiàn)入侵行為；n第二，網(wǎng)絡(luò)入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作的入侵特點(diǎn)，例如，分布式拒絕服務(wù)攻擊；n第三，入侵檢測系統(tǒng)所依靠的數(shù)據(jù)來源分散化，使得收集原始的檢測數(shù)據(jù)變得比較困難，例如交換型網(wǎng)絡(luò)使得監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)包受到限制；n第四，網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量大，原始數(shù)據(jù)的集中處理方式往往造成檢測瓶頸，從而導(dǎo)致漏檢。21分布式的入侵檢測系統(tǒng) n分布式IDS的目標(biāo)是既能檢測網(wǎng)絡(luò)入侵行為，又能檢測主機(jī)的入侵行為。系統(tǒng)通常由數(shù)據(jù)采集模塊，通信傳輸模塊、入侵檢測分析模塊、

17、響應(yīng)處理模塊、管理中心模塊和安全知識庫組成。這些模塊可根據(jù)不同情況進(jìn)行組合，例如數(shù)據(jù)采集模塊和通信模塊組合產(chǎn)生出的新模塊就能完成數(shù)據(jù)采集和傳輸兩種任務(wù)。所有的這些模塊組合起來就變成了一個入侵檢測系統(tǒng)。需要指出的是，模塊按照網(wǎng)絡(luò)配置情況和檢測的需要可以安裝在單獨(dú)的一臺主機(jī)上或者分散在網(wǎng)絡(luò)的不同位置，甚至一些模塊本身就能夠單獨(dú)地檢測本地的入侵，同時將入侵檢測的局部結(jié)果信息提供給入侵檢測管理中心。 22入侵檢測系統(tǒng)SnortnSnort是一款免費(fèi)的基于Libpcap的輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它具有易于配置、檢測效率高的特點(diǎn)。Snort具有實時的流量分析和IP數(shù)據(jù)包日志分析能力，能夠?qū)f(xié)議進(jìn)行分析或?qū)?/p>

18、內(nèi)容進(jìn)行實時搜索。Snort能夠檢測不同的攻擊行為，如緩沖區(qū)溢出攻擊、端口掃描、拒絕服務(wù)攻擊等，并實時的報警。nSnort的安裝和配置有兩種選擇，一種是只安裝Snort，另一種是安裝Snort的同時安裝其他的工具軟件，從而搭建一個完整的Snort系統(tǒng)。在第一種的安裝方式下，Snort會將捕捉到的入侵檢測數(shù)據(jù)以文本或二進(jìn)制的形式保存在文件中，同時將生成的警告信息發(fā)送到SNMP管理器，這種方式使得用戶面對大量的日志和警告信息。第二種方式，用戶不但可以將入侵檢測數(shù)據(jù)保存到數(shù)據(jù)庫中，而且可以利用工具對入侵檢測的數(shù)據(jù)進(jìn)行分析。23搭建Windows入侵檢測平臺 n下面是搭建windwos入侵檢測平臺用到

19、的軟件及其版本：n(1) pache_2.0.63_win32（windows版本的apache Web服務(wù)器），用作web服務(wù)器。n(2) PHP_4.3.2_win32，作為web服務(wù)器和MySQL數(shù)據(jù)庫之間的接口。n(3) snort_2.0.0_win32 ,入侵檢測軟件Snortn(4) mysql_4.0.23_win32 ,用來存放Snort產(chǎn)生的警告信息，也可以使用Oracle等數(shù)據(jù)庫。n(5) adodb465, ACID用來連接MySQL數(shù)據(jù)庫。n(6) acid_0.9.6b23 是一個用PHP編寫的軟件包，用來查看和分析snort產(chǎn)生的入侵檢測數(shù)據(jù)。n(7) jpgra

20、ph_1.26 用于生成Snort產(chǎn)生的入侵檢測數(shù)據(jù)的統(tǒng)計圖形。n(8) winpcap_3.2, 用于信息包捕獲和網(wǎng)絡(luò)分析，安裝Snort所必須的軟件包。24安裝apache_2.0.63 For Windowsn1、安裝apache_2.0.63 For Windowsn（1）雙擊apache_2.0.63安裝包，安裝程序默認(rèn)安裝至C:Program FilesApache Group目錄。n如果主機(jī)以經(jīng)安裝了IIS，并啟動了Web Server，由于IIS WebServer與Apache WebServer都默認(rèn)在TCP80端口監(jiān)聽，所以會和Apache WebServer 沖突。解決

21、方法是，停止IIS工作或修改Apache WebServer的默認(rèn)端口。我們修改Apache WebServer的監(jiān)聽端口為18080，打開Apache的配置文件C:Program FilesApache GroupApache2confhttpd.conf，將Listen 80改為Listen 108080，如圖8.9所示圖8.9 修改Apache WebServer的監(jiān)聽端口25安裝apache_2.0.63 For Windowsn（2）安裝Apache為服務(wù)方式運(yùn)行n運(yùn)行命令C:Program FilesApache GroupApache2binapache -k -install，

22、而且apache_2.0.63提供了圖形界面支持，方便啟動和關(guān)閉Apache服務(wù)，如圖8.10所示。圖8.10 Apache服務(wù)26安裝apache_2.0.63 For Windowsn（3）檢驗Apache安裝成功n在瀏覽器中輸入:18080，若能看到圖8.11所示的信息，則說明Apache安裝成功。圖8.11 檢驗Apache安裝成功27安裝apache_2.0.63 For Windowsn（4）添加Apache對PHP的支持na.解壓縮php-4.3.2-win32.zip至c:phpnb.復(fù)制php4ts.dll至操作系統(tǒng)目錄c:windowssyst

23、em32;nc.將c: phpphp.ini-dist改名為php.ini，并且復(fù)制到操作系統(tǒng)目錄c:windowssystem32;nd.修改c: phpphp.ini，將文件php.ini中的extention=php_gb2.dll的注釋“；”去掉，以添加對gb圖形庫的支持，如圖8.12所示。圖8.12 添加Apache對PHP的支持28安裝apache_2.0.63 For Windowsn（5）啟動Apache服務(wù)n運(yùn)行net start apache2命令，如圖8.13所示 圖8.13 啟動Apache服務(wù)29安裝apache_2.0.63 For Windowsn（6）測試apa

24、che對php的支持已經(jīng)成功安裝n在C:Program FilesApache GroupApache2htdocs目錄下建立test.php文件，文件的內(nèi)容如圖8.14所示。n在瀏覽器中輸入:18080/test.php，如圖8.15所示，說明成功安裝了apache對php的支持。圖8.14 測試apache對php的支持已經(jīng)成成功安裝圖8.15 成功安裝apache對php的支持30安裝Snort 2.0.0與winpcap n直接雙擊snort 2.0.0.exe文件，將默認(rèn)安裝snort到c:snort（Snort的新版本的規(guī)則庫現(xiàn)在已經(jīng)收費(fèi)）。31安裝、

25、配置MySQL數(shù)據(jù)庫 n（1）默認(rèn)安裝mysql 4.0.23 for windows至c:mysql。n（2）安裝Mysql為服務(wù)方式運(yùn)行：n（3）啟動Mysql服務(wù)n（4）安裝adodbn（5）安裝acidn（6）安裝jpgraph-1.26.tar.gzn（7）配置Snort32Snort For Windows的工作模式 nSnort有三種工作模式，分別為嗅探器模式、數(shù)據(jù)包記錄器模式、網(wǎng)絡(luò)IDS模式，我們主要用Snort作為IDS，但同時也要對其他兩種模式有所了解。33nSnort的嗅探模式，通?？梢杂脕頇z測Snort是否安裝成功，輸入命令Snort -v -i3，使得Snort只將I

26、P和TCP/UDP/ICMP的包頭信息輸出到屏幕上。如圖8.30所示：Snort的嗅探模式 圖8.30 Snort的嗅探模式34數(shù)據(jù)包記錄器模式 n如果要將數(shù)據(jù)包記錄在LOG文件中（c:snortlog），則使用下面的命令： Snort -d -e -v -i3 -l c:snortlog，n其中，-l選項指定了存放日志的文件夾；運(yùn)行該命令后，將在c:snortlog目錄下自動生成許多文件夾和文件，文件夾以數(shù)據(jù)包目的主機(jī)的IP地址命名，如圖8.31所示，每個文件夾記錄的是和該外部主機(jī)相關(guān)的網(wǎng)路流量。n打開日志文件，其記錄的格式與嗅探器下的屏幕輸出類似，為Tcpdump格式，如圖8.32所示。圖

27、8.31 數(shù)據(jù)包記錄器模式圖8.32 打開日志文件35IDS模式 n使用命令snort -d -e -v -i3 -l c:snortlog -c c:snortetcsnort.conf可以啟動IDS模式，-c選項表示使用snort.conf中的規(guī)則集。Snort會將每個包和規(guī)則集進(jìn)行匹配，如符合規(guī)則就采取規(guī)則所指定的動作。在下一部分，我們將使用Snort的IDS模式，檢測攻擊。36使用搭建的Windows入侵檢測平臺檢測入侵 n我們在主機(jī)3上配置了入侵檢測平臺，使用mysql來存儲檢測的信息，使用acid作為檢測控制臺的主界面。n（1）啟動Snort，使用命令C:

28、Snortbinsnort -dve -l c:snortlog -h 5/24 -c c:snortetcsnort.conf。n使用X-Scan 3.3在主機(jī)8上對網(wǎng)段5-00進(jìn)行掃描，如圖8.33所示。圖8.33 掃描網(wǎng)段5-0037使用搭建的Windows入侵檢測平臺檢測入侵 n打開acid檢測控制臺主界面:18080/acid/acid_main.php，如圖8.34所示，分別給出了TCP、UDP、I

29、CMP協(xié)議的詳細(xì)日志情況，點(diǎn)擊后面的百分比可以查看詳細(xì)信息。圖8.34 檢測控制臺主界面38使用搭建的Windows入侵檢測平臺檢測入侵 nICMP協(xié)議日志，給出了詳細(xì)的信息，如時間戳、目的/源地址，如圖8.35所示圖8.35 ICMP協(xié)議日志39使用搭建的Windows入侵檢測平臺檢測入侵 n點(diǎn)擊alert后面的數(shù)字，則可詳細(xì)的看到所給出的特殊的流量記錄，這些可能就是某種攻擊。如圖8.36所示：圖8.36 點(diǎn)擊alert后面的數(shù)字40其它類型的入侵檢測系統(tǒng)n文件完整性檢查系統(tǒng) 文件完整性檢查系統(tǒng)檢查計算機(jī)中上次檢查后文件變化的情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字摘要數(shù)據(jù)庫，每次檢查時

30、，它重新計算文件的數(shù)字摘要并將它與數(shù)據(jù)庫中的值相比較，若不同，則說明文件已經(jīng)被修改；若相同，則說明文件未發(fā)生變化。n日志文件監(jiān)視 日志文件通常有應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等。41蜜罐n蜜罐是一種網(wǎng)絡(luò)攻擊誘騙工具，又叫網(wǎng)絡(luò)陷阱，它通過模擬一個或多個易受攻擊的目標(biāo)系統(tǒng)，給黑客提供一個包含漏洞并容易被攻破的系統(tǒng)作為他們的攻擊目標(biāo)。其主要作用是吸引入侵者來嗅探、攻擊，同時不被察覺地將他們的活動記錄下來，進(jìn)而評估黑客攻擊的目的、使用的工具、運(yùn)用的手段、造成的后果。通常蜜罐部署在容易被入侵者發(fā)現(xiàn)的地方，輔以各種網(wǎng)絡(luò)攻擊誘騙技術(shù)來誘使入侵者上當(dāng)，讓入侵者誤以為

31、已經(jīng)成功侵入網(wǎng)絡(luò)系統(tǒng)，而系統(tǒng)則完成了對入侵者的攻擊過程的記錄，通過這些記錄我們可以分析、學(xué)習(xí)入侵者侵入系統(tǒng)所使用的工具、采用的手段、技術(shù)和他們的意圖。42蜜罐的原理 n從蜜罐的定義可以看出，蜜罐的目的就是布置安全陷阱，誘騙攻擊者對它攻擊，在攻擊者認(rèn)為它成功達(dá)到攻擊目的的同時，蜜罐系統(tǒng)對整個攻擊過程也進(jìn)行了記錄。下面就從布置安全陷阱、誘騙攻擊和記錄攻擊過程三個方面來敘述蜜罐的原理。n（1）布置安全陷阱 如何巧妙的布置安全陷阱是蜜罐系統(tǒng)非常關(guān)鍵的一個步驟，如果攻擊者很容易識別陷阱或根本不知道陷阱位于何處，蜜罐系統(tǒng)的作用也就無用武之地了。在一個典型的受保護(hù)網(wǎng)絡(luò)中，蜜罐系統(tǒng)通常位于受保護(hù)網(wǎng)絡(luò)內(nèi)，它不對

32、外提供IP地址，也不對外提供任何網(wǎng)絡(luò)服務(wù)及服務(wù)接口，因此在這樣的系統(tǒng)中，任何對該蜜罐主機(jī)的連接及操作都可以認(rèn)為是攻擊的發(fā)生。43蜜罐的原理 n（2）誘騙攻擊 當(dāng)攻擊者成功入侵受保護(hù)網(wǎng)絡(luò)后，如何誘騙攻擊者只對蜜罐攻擊而暫時忽略對其它安全主機(jī)的攻擊呢？這正是誘騙攻擊的目的，也是蜜罐系統(tǒng)與受保護(hù)主機(jī)在安全設(shè)置上的區(qū)別。n（3）記錄攻擊過程 攻擊過程的記錄存在于實施攻擊的整個過程，它通過對攻擊過程的詳細(xì)跟蹤來實現(xiàn)對攻擊過程的特征提取。同樣的，有的攻擊者如果在攻擊過程中發(fā)現(xiàn)所攻擊系統(tǒng)是蜜罐系統(tǒng)，可能會尋找蜜罐系統(tǒng)的弱點(diǎn)而將蜜罐系統(tǒng)的日志刪除，因此在日志記錄過程中，要謹(jǐn)防蜜罐系統(tǒng)中日志記錄模塊的安全性。4

33、4蜜罐分類 n（1）蜜罐從性質(zhì)上可以分為產(chǎn)品型蜜罐和研究型蜜罐n（2）根據(jù)蜜罐系統(tǒng)與攻擊交互的頻繁程度可將蜜罐系統(tǒng)分為低交互蜜罐、中交互蜜罐和高交互蜜罐n（3）從具體實現(xiàn)的角度，可以分為物理蜜罐和虛擬蜜罐。45蜜罐的優(yōu)缺點(diǎn) n蜜罐系統(tǒng)有其他網(wǎng)絡(luò)安全技術(shù)沒有的幾個獨(dú)特的優(yōu)勢。n第一個優(yōu)勢是蜜罐的數(shù)據(jù)價值高。n第二個優(yōu)勢是蜜罐的資源消耗少。n第三個優(yōu)勢是蜜罐的設(shè)計和配置簡單。46蜜罐的優(yōu)缺點(diǎn) n蜜罐雖然有眾多的優(yōu)點(diǎn)，同時它也有缺點(diǎn)，這些缺點(diǎn)主要體現(xiàn)在以下幾個方面。n第一個缺陷是蜜罐的視野比較狹窄。n第二個缺陷是蜜罐運(yùn)行時容易留下指紋。47入侵防御系統(tǒng)n入侵防御系統(tǒng)（Intrusion Preven

34、tion System，IPS）是近年來新興的一種網(wǎng)絡(luò)安全產(chǎn)品。它是由入侵檢測系統(tǒng)（Intrusion Detection System，IDS）發(fā)展而來，兼有防火墻的一部分功能。IPS系統(tǒng)包含兩大功能模塊：防火墻和入侵檢測。從功能上講，IPS是傳統(tǒng)防火墻和入侵檢測系統(tǒng)的組合，它對入侵檢測模塊的檢測結(jié)果進(jìn)行動態(tài)響應(yīng)，將檢測出的攻擊行為在位于網(wǎng)絡(luò)出入口的防火墻模塊上進(jìn)行阻斷。然而，IPS并不是防火墻和入侵檢測系統(tǒng)的簡單組合，它是一種有取舍地吸取了防火墻和入侵檢測系統(tǒng)功能的一個新產(chǎn)品，其目的是為網(wǎng)絡(luò)提供深層次的、有效的安全防護(hù)。48基于網(wǎng)絡(luò)的入侵防御系統(tǒng) n網(wǎng)絡(luò)入侵防御系統(tǒng)（Network-based Intrusion Prevention System，NIPS）與受保護(hù)網(wǎng)段是串聯(lián)部署的。受保護(hù)的網(wǎng)段與其它網(wǎng)絡(luò)之間交互的數(shù)據(jù)流都必須通過NIPS設(shè)備。當(dāng)通信（指網(wǎng)絡(luò)流量）通過NIPS時，通信將被監(jiān)視是否存在攻擊。各種系統(tǒng)的攻擊檢測機(jī)制是不一樣的，但是最精確的系統(tǒng)通常集成了多種技術(shù)，可以達(dá)到很高的攻擊和誤用檢測水準(zhǔn)。極高的精確性和高級別的性能，對有效的NIPS是至關(guān)重要的，因為攻擊的誤報將導(dǎo)致合法的通信被阻斷，也就是可能出現(xiàn)拒絕服務(wù)的情形。高性能是保證合法通信通過NIPS時不會延遲。當(dāng)檢測到攻擊時，NIPS丟棄或阻斷含有攻擊性的數(shù)據(jù)，進(jìn)而阻斷了攻擊。49基于