網(wǎng)絡(luò)安全試驗(yàn)十-入侵檢測系統(tǒng)

1、2019學(xué)年 第1學(xué)期 網(wǎng)絡(luò)安全實(shí)驗(yàn)10：入侵檢測系統(tǒng)入侵檢測系統(tǒng)【實(shí)驗(yàn)?zāi)康呐c要求】(1)理解入侵檢測系統(tǒng)的工作原理；(2)掌握開源入侵檢測系統(tǒng)(軟件類)的發(fā)展現(xiàn)狀；安裝調(diào)研一種入侵檢測系統(tǒng)如Snort進(jìn)行試用；(3)調(diào)研目前主流廠家的入侵檢測系統(tǒng)和入侵防護(hù)系統(tǒng)(硬件類)的發(fā)展?fàn)顩r(廠商、產(chǎn)品型號和報價等)；【實(shí)驗(yàn)需求】(1)入侵檢測系統(tǒng)的工作原理：數(shù)據(jù)收集：收集的數(shù)據(jù)包括主機(jī)日志、防火墻日志、數(shù)據(jù)庫日志、應(yīng)用程序數(shù)據(jù)以及網(wǎng)絡(luò)數(shù)據(jù)包等；數(shù)據(jù)處理：由于之前收集到的數(shù)據(jù)過于龐大和繁雜，需要對其進(jìn)行相應(yīng)的處理(去除冗余、 噪聲，并且進(jìn)行數(shù)據(jù)標(biāo)準(zhǔn)化及格式化處理)；數(shù)據(jù)分析：采用統(tǒng)計、智能算法能方法分析

2、數(shù)據(jù)是否正常，顯示是否存在入侵；行為 響應(yīng)處理：當(dāng)發(fā)現(xiàn)入侵行為時，采取預(yù)案措施進(jìn)行防護(hù)(如切斷網(wǎng)絡(luò)，記錄日志)、并保留 入侵證據(jù)以作他日調(diào)查所用，同時向管理員報警。(2)開源入侵檢測系統(tǒng)的發(fā)展現(xiàn)狀 ：從總體上講，目前除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式 識別和完整性檢測)外，入侵檢測系統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計分析相關(guān)的研究。許多學(xué)者在研究新的檢測方法，如采用自動代理的主動防御方法，將免疫學(xué)原理應(yīng)用到入侵檢測的方法等。其主要發(fā)展方向可以概括為：(1)分布式入侵檢測與 CIDF傳統(tǒng)的入侵檢測系統(tǒng)一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對異構(gòu)系統(tǒng)及大規(guī)模網(wǎng)絡(luò)的檢測明顯不足，同時不同的入侵檢測系統(tǒng)之間不能協(xié)同工作。為此

3、，需要分布式入侵檢測技術(shù)與CIDF。(2)應(yīng)用層入侵檢測許多入侵的語義只有在應(yīng)用層才能理解，而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議，不能處理如 Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用，需要應(yīng)用層的入侵檢測保護(hù)。2019學(xué)年 第1學(xué)期 網(wǎng)絡(luò)安全(3)智能入侵檢測目前，入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體系、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域，但這些只是一些嘗試性的研究工作，需要對智能化的入侵檢測系統(tǒng)進(jìn)一步研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合結(jié)合防火墻、PKIX、安全電子交易(SET)

4、等網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò) 安全保障。(5)建立入侵檢測系統(tǒng)評價體系設(shè)計通用的入侵檢測測試、評估方法和平臺，實(shí)現(xiàn)對多種入侵檢測系統(tǒng)的檢測，已成為當(dāng)前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域。評價入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用、自身的可靠性等方面進(jìn)行，評價指標(biāo)有：能否保證自身的安全、運(yùn)行與維護(hù)系統(tǒng)的開銷、報警準(zhǔn)確率、負(fù)載能力以及可支持的網(wǎng)絡(luò)類型、支持的入侵特征數(shù)、是否支持IP碎片重組、是否支持TCP流重組等。 在 Windows環(huán)境下安裝和使用Snort:.首先從 HYPERLINK /install/default.htm /install/default.htm 下載 wi

5、npcap 并安裝.從下載snort規(guī)則,解壓后，將規(guī)則文件(.rules)復(fù)制到Snort安裝目 錄的 rules/目錄下J Snort 282Xticense AtMtsneniePtease rewew ihe kense terms before tnstaing Snort 2,3,2.hess Page Dovjn to see the rest of the agreefiierr, The text ttiat follows is the GNU Generi Pubk License, Verswi 2 GPL V2) vd yoir ijsc , ecxthn 冉nd r

6、 出tdbutiQn刑小丁，Settari，巧F * GPL V2 adtnewMgcs that the Free ScftMare FeindatMri may publish re . ired & nev.c f the GPL.翠工片中fto9further states that a hcensee of a propram subjeti t外 the GPL Y2 conic be to US an / 皿力 rrndjcrversions urxJrr口 占%包fM 黑唇廣ana ,L Tadure to Specify J Secton 9 of the GPL * 2 仲

7、如心 a lrsee of avIf you accept Stie terms flf the aqreernert, dick : Agree to EctHiue. Ydli must accept the ayecflitnt to nstal Siwt 282hbjllcirt InsUB Syftfrn v2-C? ICantfil.從 HYPERLINK 下載 snort 并安裝2019學(xué)年 第1學(xué)期 網(wǎng)絡(luò)安全名枷壓嫡防 壓縮后 類型目錄)文件夾doc文彳按rules文件夾此辱陋其培事臚G 和。d fuIk 招梆 ,otdcle.rulesPflCp.rutes nelt*Djn

8、jlemysjqLru 兄 3muttimrrlu l misc tnjie5locBLrules_ in 叩.utetEpTMoruie， kmpnjlfs 臚* msg, map geMr玳m， ftpru 依fimjer fuIcv邛 5.2* eKperimental.inLjIes dos.nj|i 的 fail-deleted ruhrt ddoj 此4.從“命令提示符“進(jìn)入 Snort安裝目錄，找到bin目錄并運(yùn)行snort.exe。例如： C:snortbinsnort -V注意：使用-i選項(xiàng)，以選擇正確的網(wǎng)卡。使用 -1選項(xiàng)，選擇正確的日志記錄目錄。B.嗅探模式：snort

9、-vC.記錄模式 mkdir log snort -dev -l ./log D.網(wǎng)絡(luò)入侵檢測模式 mkdir logsnort -dev -l ./log -h /24 -c /etc/snort/snort.conf5.修改并使用 Snort的默認(rèn)配置文件(snort.conf)運(yùn)行Snort, snort.conf是規(guī)則集文件。snort 會對每個包和規(guī)則集進(jìn)行匹配， 發(fā)現(xiàn)這樣的包就采取相應(yīng)的行動。 如果不指定輸出目錄，snort 就輸出到/var/log/snort目錄。注意Snort的語法。使用時，將其復(fù)制到 Snort的/etc/目錄，使 用命令：C:snortbinsnort -

10、i 2 -c ./etc/snort.conf -l ./log/注：-i 2表示系統(tǒng)里面的第2塊網(wǎng)卡，根據(jù)自己的電腦網(wǎng)卡情況決定，需要使用snort - W顯示網(wǎng)卡接口。不要復(fù)制上面命令，手動輸入，字符存在差異。如需停止snort,使用“ctrl+c”(3)思科入侵檢測系統(tǒng)。Cisco IDS 4200系列設(shè)備檢測器包括三型產(chǎn)品：Cisco IDS 4210、32019學(xué)年 第1學(xué)期 網(wǎng)絡(luò)安全Cisco IDS 4235和Cisco IDS 4250。整個Cisco IDS設(shè)備系列提供多種解決方案，這些解決方案可以集成到多種不同的環(huán)境中， 包括企業(yè)和電信運(yùn)營商環(huán)境。 每個設(shè)備檢測器都能提供多

11、 檔性能，滿足從 45Mbps到千兆位的帶寬要求。 Cisco IDS 4210可以監(jiān)控45Mbps的流量，適用于T1/E1和T3環(huán)境。在200Mbps速度下，Cisco IDS 4235可以在交換環(huán)境中、多個 T3子網(wǎng)上以及在10/100/1000接口的支持下提供保護(hù)。另外，它還可以部署在部分使用的千兆位鏈路上。Cisco IDS 4250不但能以500Mbps的速度支持無與倫比的性能，還能保護(hù)千兆位子網(wǎng)以及正在穿越交換機(jī)（從多個子網(wǎng)匯集流量）的流量。檢測器幾乎可以放置在需要安全可視性的企業(yè)網(wǎng)的任何網(wǎng)段上。網(wǎng)反點(diǎn)評：二參考報價;289500啟明星.捌飛桁榜：第2名 參考報價:85000 網(wǎng)友點(diǎn)評：會番CQA熱門由桁榜:第3名參考報松: 140000網(wǎng)友點(diǎn)評:（ 0 i熱門引布榜，第話參考報伊:118600網(wǎng)友點(diǎn)評：/J2019學(xué)年 第1學(xué)期 網(wǎng)絡(luò)安全【實(shí)驗(yàn)心得】通過本次實(shí)驗(yàn)，我掌握了開源入侵檢測系統(tǒng)的發(fā)展現(xiàn)狀。還掌握了如何安裝及使用