網(wǎng)絡入侵與入侵檢測課件

第9章網(wǎng)絡入侵與入侵檢測第9章網(wǎng)絡入侵與入侵檢測課程內(nèi)容網(wǎng)絡入侵入侵檢測常用入侵檢測系統(tǒng)入侵檢測系統(tǒng)與防火墻聯(lián)動技術(shù)2課程內(nèi)容網(wǎng)絡入侵29.1網(wǎng)絡入侵9.1.1入侵目的及行為分類入侵按目的分類可分為滲透型、破壞型和跳板型。39.1網(wǎng)絡入侵9.1.1入侵目的及行為分類39.1網(wǎng)絡入侵9.1.2入侵步驟踩點：進行風險勘查，確定目標掃描：進行風險發(fā)掘，搜集情報攻擊：進行風險映射隱藏身份、留后門清除日志：風險拓展擴大戰(zhàn)果49.1網(wǎng)絡入侵9.1.2入侵步驟踩點：進行風險勘查，確定9.2入侵檢測9.2.1入侵檢測系統(tǒng)定義入侵檢測是指對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程，它通過在計算機網(wǎng)絡或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對收集到的信息進行分析，從而判斷網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。而完成入侵檢測功能的軟件和硬件組合就是入侵檢測系統(tǒng)。59.2入侵檢測9.2.1入侵檢測系統(tǒng)定義59.2入侵檢測入侵檢測原理框圖

69.2入侵檢測入侵檢測原理框圖69.2入侵檢測所謂入侵檢測系統(tǒng)就是執(zhí)行入侵檢測任務的硬件或軟件產(chǎn)品。入侵檢測提供了用于發(fā)現(xiàn)入侵攻擊與合法用戶濫用特權(quán)的一種方法。其應用前提是入侵行為和合法行為是可區(qū)分的，也即可以通過提取行為的模式特征來判斷該行為的性質(zhì)。一般地，入侵檢測系統(tǒng)需要解決兩個問題：如何充分并可靠地提取描述行為特征的數(shù)據(jù)；如何根據(jù)特征數(shù)據(jù)，高效并準確地判定行為的性質(zhì)。79.2入侵檢測所謂入侵檢測系統(tǒng)就是執(zhí)行入侵檢測任務的硬件或9.2入侵檢測入侵檢測系統(tǒng)至少包括數(shù)據(jù)采集、入侵分析、響應處理三個組成部分

原始數(shù)據(jù)流響應處理安全知識庫入侵分析數(shù)據(jù)存儲數(shù)據(jù)采集89.2入侵檢測入侵檢測系統(tǒng)至少包括數(shù)據(jù)采集、入侵分析、響應9.2入侵檢測9.2.2入侵檢測的必要性首先，入侵能力對于攻擊者是一個強大的威鑷力量，使得攻擊者的攻擊行為不得不冒著很大的被起訴的風險，從而使其可能望而卻步。第二，入侵檢測系統(tǒng)可以防御防火墻不能處理的內(nèi)部威脅。第三，入侵檢測系統(tǒng)的自動反應能力可以在攻擊剛開始時就打斷它，從而使后繼的攻擊難以繼續(xù)。第四，檢測系統(tǒng)可以使系統(tǒng)安全管理員檢查出何時安全保護功能運行不正常，并且在攻擊者發(fā)現(xiàn)之前彌補這些缺陷。第五，檢測系統(tǒng)得到的信息有時可以使系統(tǒng)管理更加容易，使系統(tǒng)更加可靠。第六，入侵檢測系統(tǒng)的事件監(jiān)測和攻擊識別能力在其它方面也增強了系統(tǒng)的安全性。99.2入侵檢測9.2.2入侵檢測的必要性99.2入侵檢測9.2.3入侵檢測系統(tǒng)分類基于網(wǎng)絡的入侵檢測系統(tǒng)（NIDS）基于主機的入侵檢測系統(tǒng)（HIDS）基于異常的入侵檢測系統(tǒng)基于應用的入侵檢測系統(tǒng)混和型入侵檢測系統(tǒng)109.2入侵檢測9.2.3入侵檢測系統(tǒng)分類109.2入侵檢測9.2.4入侵檢測系統(tǒng)的發(fā)展的一些方向?qū)拵Ц咚倬W(wǎng)絡的實時入侵檢測技術(shù)大規(guī)模分布式的檢測技術(shù)更先進的檢測算法標準化規(guī)范119.2入侵檢測9.2.4入侵檢測系統(tǒng)的發(fā)展的一些方向19.3常用入侵檢測系統(tǒng)9.3.1IDS的硬件主要產(chǎn)品1．綠盟科技“冰之眼”IDS129.3常用入侵檢測系統(tǒng)9.3.1IDS的硬件主要產(chǎn)品2．聯(lián)想網(wǎng)御IDS132．聯(lián)想網(wǎng)御IDS133．瑞星入侵檢測系統(tǒng)RIDS-100143．瑞星入侵檢測系統(tǒng)RIDS-100144．McAfeeIntruShieldIDS154．McAfeeIntruShieldIDS159.3常用入侵檢測系統(tǒng)9.3.2IDS的主要軟件產(chǎn)品SnortOSSECHIDSFragroute/FragrouterBASESguil169.3常用入侵檢測系統(tǒng)9.3.2IDS的主要軟件產(chǎn)品9.3常用入侵檢測系統(tǒng)9.3.3Snort應用一個綜合的Snort系統(tǒng)所需軟件有Windows平臺的Snort、windows版本的抓包驅(qū)動WinPcap、windows版本的數(shù)據(jù)庫服務器mysql、基于PHP的入侵檢測數(shù)據(jù)庫分析控制臺ACID、用于為php服務的活動數(shù)據(jù)對象數(shù)據(jù)庫adodb（Active2DataObjectsDataBaseforPHP）、Windows版本的apacheWEB服務器apache2、Windows版本的PHP腳本環(huán)境、支持php的圖形庫jpgraph等179.3常用入侵檢測系統(tǒng)9.3.3Snort應用17winpcapsnortMysqlAdobeApachePHPacid網(wǎng)絡jpgraph18winpcapsnortMysqlAdobeApachePH上述軟件可根據(jù)下列次序依次安裝配置1.安裝apache指定安裝目錄c:\ids\apache,下載apache，下載網(wǎng)址/httpd/binaries/win32/，運行下載好的“apache_2.0.63-win32-x86-no_ssl.msi”19上述軟件可根據(jù)下列次序依次安裝配置1920202121222223232424252526262727282829293030安裝完成后，需測試按默認配置運行的網(wǎng)站界面，看Apache是否安裝成功。打開IE瀏覽器，在IE地址欄打確認，如看到圖9-21所示頁面，表示Apache服務器已安裝成功。31安裝完成后，需測試按默認配置運行的網(wǎng)站界面，看Apache是3232Apache服務器安裝成功后，還需配置Apache服務器，如果不配置，安裝目錄下的Apache2\htdocs文件夾就是網(wǎng)站的默認根目錄，在里面放入文件就可以了。這里還是看一下配置過程。如圖9-22所示，單擊“開始”→“所有程序”→“ApacheHTTPServer2.0”→“ConfigureApacheServer”→“EdittheApachehttpdconfConfigurationfile”，打開配置文件33Apache服務器安裝成功后，還需配置Apache服務器，如Apache配置文件網(wǎng)站根目錄配置34Apache配置文件網(wǎng)站根目錄配置342、安裝php下載php，下載網(wǎng)址/downloads.php，將下載的php安裝文件php-5.2.8-Win32.zip右鍵解壓縮352、安裝php35查看解壓縮后的文件夾C:\ids\PHP，找到“php.ini-dist”文件，將其重命名為“php.ini”，打開編輯36查看解壓縮后的文件夾C:\ids\PHP，找到“php.in3737需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就是使php能夠直接調(diào)用其模塊，比如訪問mysql，去掉“;extension=php_mysql.dll”前的“;”，就表示要加載此模塊，加載的越多，占用的資源也就越多。所有的模塊文件都放在php解壓縮目錄的“ext”之下，前面的“;”沒去掉的，是因為“ext”目錄下默認沒有此模塊，加載會提示找不到文件而出錯。比如在此還沒有安裝mysql，所以“;extension=php_mysql.dll”前的“;”還不能去掉，安裝完mysql后再加來重新配置“php.ini”文件38需要說明的是，要選擇加載的模塊，需去掉前面的“;”，功能就如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apache的時候會提示“找不到指定模塊”的錯誤。簡單的方法是，直接將php安裝路徑、以及php安裝路徑下ext路徑指定到windows系統(tǒng)路徑中。在“我的電腦”上單擊右鍵，打開對話框“屬性”，選擇“高級”標簽，單擊【環(huán)境變量】，在“系統(tǒng)變量”下找到“Path”變量，選擇，點擊“編輯”，打開編輯系統(tǒng)變量對話框，將“c:\ids\PHP;c:\ids\PHP\ext”加到原有值的后面，如圖9-29所示，全部確定。系統(tǒng)路徑添加好后要重啟電腦才能生效，可以現(xiàn)在重啟，也可以在所有軟件安裝或配置好后重啟。39如果前面配置加載了其它模塊，要指明模塊的位置，否則重啟Apa3．將php以module方式與Apache相結(jié)合安裝php后，將php以module方式與Apache相結(jié)合，使php融入Apache，依前面講述的方法打開Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModulephp5_modulec:/ids/PHP/php5apache2.dll”,指以module方式加載php，添加“PHPIniDir"c:/ids/PHP"”是指明php的配置文件php.ini的位置403．將php以module方式與Apache相結(jié)合404141

測試結(jié)合是否成功。在C:\ids\Apache\Apache2\htdocs文件夾下編寫test.php文件，內(nèi)容為<?php

phpinfo();

?>。打開瀏覽器輸入http://lcoalhsot/test.php，如果瀏覽到了php的信息則說明一切正常42

測試結(jié)合是否成功。在C:\ids\Apache\Apach43434．安裝winpcap在瀏覽器中輸入/install/bin/WinPcap_4_0_2.exe，下載WinPcap_4_0_2.exe文件。雙擊開始安裝界面安裝完后，采取默認值即可。444．安裝winpcap445．安裝snort下載“Snort_2_8_3_1_Installer.exe”文件，下載網(wǎng)址為/dl/binaries/win32。雙擊“Snort_2_8_3_1_Installer.exe”，打開snort認證許可界面，指定安裝路徑為c:\ids\snort文件夾455．安裝snort454646圖9-42snort安裝成功界面測試snort安裝是否正確。運行“cmd“命令，打開cmd窗口，進入C:\ids\snort\snort\bin路徑，執(zhí)行“snort.exe

–W”命令，如果安裝snort成功會出現(xiàn)一個可愛的小豬47圖9-42snort安裝成功界面4748486．安裝mysql在網(wǎng)站/Downloads可下載mysql，在此下載的mysql指定路徑為“mysql-5.0.22-win32.zip”，打開下載的mysql安裝文件“mysql-5.0.22-win32.zip”，雙擊解壓縮，運行“setup.exe”496．安裝mysql495050515152525353545455555656軟件安裝完成后，出現(xiàn)上界面，它提供了一個很好的功能，mysql配置向?qū)?，不用自己手動配置my.ini，這為很多非專業(yè)人士提供了方便。將“ConfiguretheMysqlServernow”勾選，點【Finish】結(jié)束軟件的安裝同時啟動mysql配置向?qū)?7軟件安裝完成后，出現(xiàn)上界面，它提供了一個很好的功能，mysq585859596060616162626363646465656666676768686969設(shè)置完畢后，會有圖9-62界面出現(xiàn)，按【Finish】結(jié)束mysql的安裝與配置。如果不能“Startservice”，先檢查以前安裝的mysql服務器是否徹底卸掉；如果確信在本次數(shù)據(jù)庫安裝前，上一次安裝的數(shù)據(jù)庫已卸載，再檢查之前的密碼是否有修改，如果依然有問題，將mysql安裝目錄下的data文件夾備份，然后徹底刪除數(shù)據(jù)庫，重新安裝，重新安裝后將安裝生成的data文件夾刪除，備份的data文件夾移回來，再重啟mysql服務。70設(shè)置完畢后，會有圖9-62界面出現(xiàn)，按【Finish】結(jié)束m7．與Apache及php相結(jié)合前面已講過，Apache與php的結(jié)合，mysql與Apache及php相結(jié)合，基本是相似的。在php安裝目錄下，找到先前重命名并編輯過的php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加載mysql模塊。保存，關(guān)閉。717．與Apache及php相結(jié)合718．創(chuàng)建snort數(shù)據(jù)庫的表復制c:\ids\snort\schames文件夾下的create_mysql文件到c:\ids\mysql\bin文件夾下。執(zhí)行“開始”→“程序”→“MySQL”→“MySQLServer5.0”→“MySQLCommmandLineClient”，打開mysql的客戶端圖9-63打開mysql的客戶端執(zhí)行如下命令：Create

database

snort;Create

database

snort_archive;Use

snort;Source

create_mysql;Use

snort_archive;Source

create_mysql;Grant

all

on

*.*

to

“root”@”localhost”728．創(chuàng)建snort數(shù)據(jù)庫的表729.安裝adodb下載

adodb504.gz，在瀏覽器地址中輸入/sourceforge/adodb/adodb504.tgz即可提示下載，把下載的adodb504.gz解壓縮到C:\ids\PHP\adodb5文件夾下。739.安裝adodb73

10．安裝jgraph下載jpgraph，下載地址http://www.aditus.nu/jpgraph/jpdownload.php，解壓縮jpgraph到c:\ids\PHP\jpgraph文件夾下。74

10．安裝jgraph7411．安裝acid下載acid，下載地址/，解壓縮acid到C:\ids\PHP\jpgraph-1.26文件夾下。在C:\ids\Apache\Apache2\htdocs\acid目錄下，打開acid_conf.php文件，修改acid_conf.php文件為以下內(nèi)容，如圖9-65所示：$DBlib_path

=

"c:\ids\PHP\adodb5";$DBtype

=

"mysql";$alert_dbname

=

"snort";$alert_host

=

"localhost";$alert_port

=

"3306";$alert_user

=

"root";$alert_password

=

"66666666";$archive_dbname

=

"snort_archive";$archive_host

=

"localhost";$archive_port

=

"3306";$archive_user

=

"root";$archive_password

=

"66666666";$ChartLib_path

=

"c:\ids\PHP\jpgraph-1.26\src";7511．安裝acid75重啟apache、mysql服務。在瀏覽器中輸入http://localhost/acid/acid_db_setup.php，如果配置正確，會出現(xiàn)圖76重啟apache、mysql服務。在瀏覽器中輸入http777712．解壓縮snort規(guī)則包登錄網(wǎng)站，注冊，下載snort規(guī)則壓縮包，把壓縮包內(nèi)的所有文件解壓縮到c:\ids\snort\下。至此，一個綜合的Snort系統(tǒng)才算安裝配置完成。但在安裝過程中，是否還存在其它問題，還需對snort進行應用測試。7812．解壓縮snort規(guī)則包7813．對snort測試檢錯打開cmd窗口，輸入命令C:\ids\snort\bin\snort.exe

–c

c:\ids\snort\etc\snort.conf

–l

c:\ids\snort\log–d

-e

–X-v7913．對snort測試檢錯7914．查看統(tǒng)計數(shù)據(jù)打開瀏覽器，輸入/acid/acid_main.php，上述安裝配置完全正確，則應有圖9-7