計(jì)算機(jī)信息安全技術(shù) 課件 第7章 入侵檢測(cè)技術(shù)

計(jì)算機(jī)信息安全技術(shù)第七章入侵檢測(cè)技術(shù)目錄7.1入侵檢測(cè)技術(shù)概述7.2入侵檢測(cè)系統(tǒng)的特點(diǎn)和分類7.3入侵檢測(cè)的技術(shù)模型7.4分布式入侵檢測(cè)7.5入侵防護(hù)系統(tǒng)7.6常用入侵檢測(cè)系統(tǒng)介紹7.7入侵檢測(cè)技術(shù)的存在的問題與發(fā)展趨勢(shì)7.1入侵檢測(cè)技術(shù)概述防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但對(duì)內(nèi)部攻擊無能為力；防火墻不能防止通向站點(diǎn)的后門；不提供對(duì)內(nèi)部的保護(hù)；無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊；不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。

入侵檢測(cè)是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。7.1入侵檢測(cè)技術(shù)概述入侵?對(duì)信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測(cè)?通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)進(jìn)行信息收集并對(duì)其進(jìn)行分析，發(fā)現(xiàn)是否存在違反安全策略的行為或遭到攻擊的跡象。入侵檢測(cè)系統(tǒng)（IDS）?用于輔助進(jìn)行入侵檢測(cè)或者獨(dú)立進(jìn)行入侵檢測(cè)的自動(dòng)化工具7.1入侵檢測(cè)技術(shù)概述入侵檢測(cè)系統(tǒng)（IDS）由入侵檢測(cè)的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。

2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。

3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警。

4）異常行為模式的統(tǒng)計(jì)分析。

5）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6）操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶違反安全策略的行為。7.1入侵檢測(cè)技術(shù)概述入侵檢測(cè)系統(tǒng)的作用?監(jiān)控網(wǎng)絡(luò)和系統(tǒng)?發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象?實(shí)時(shí)報(bào)警?主動(dòng)響應(yīng)?審計(jì)跟蹤形象地說，它就是網(wǎng)絡(luò)攝像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像機(jī)，還包括保安員的攝像機(jī).7.1入侵檢測(cè)技術(shù)概述7.1入侵檢測(cè)技術(shù)概述入侵檢測(cè)技術(shù)的發(fā)展JamesP.Anderson在1980年發(fā)表的《ComputerSecurityThreatMonitoringandSurveillance》作為入侵檢測(cè)概念的最早起源。7.1入侵檢測(cè)技術(shù)概述1986年DorothyDenning等人在論文AnIntrusionDetectionModel中給出了一個(gè)入侵檢測(cè)的抽象模型IDES（入侵檢測(cè)專家系統(tǒng)），并在1988年開發(fā)出IDES系統(tǒng)。圖7.1IDES系統(tǒng)模型7.1入侵檢測(cè)技術(shù)概述1990年Herberlein等人開發(fā)出了第一個(gè)真正意義上的入侵檢測(cè)系統(tǒng)NSM（NetworkSecurityMonitor）。上世紀(jì)90年代中期，商業(yè)入侵檢測(cè)產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺(tái)入侵檢測(cè)產(chǎn)品：ASIM。1997年，Cisco將網(wǎng)絡(luò)入侵檢測(cè)集成到其路由器設(shè)備，入侵檢測(cè)系統(tǒng)正式進(jìn)入主流網(wǎng)絡(luò)安全產(chǎn)品階段。2001～2003年之間，蠕蟲病毒廣泛傳播，造就了入侵檢測(cè)的廣泛推廣。7.1入侵檢測(cè)技術(shù)概述入侵檢測(cè)的目的：識(shí)別入侵者；識(shí)別入侵行為；檢測(cè)和監(jiān)視已成功的安全突破；為對(duì)抗措施即時(shí)提供重要信息。7.2入侵檢測(cè)系統(tǒng)的特點(diǎn)與分類入侵檢測(cè)系統(tǒng)的特點(diǎn)入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)分類7.2.1入侵檢測(cè)系統(tǒng)的特點(diǎn)入侵檢測(cè)系統(tǒng)的功能要求:實(shí)時(shí)性要求可擴(kuò)展性要求適應(yīng)性要求安全性與可用性要求有效性要求7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的基本過程入侵檢測(cè)系統(tǒng)還包括界面處理，配置管理等模塊。7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)信息收集模塊信息收集模塊的作用為系統(tǒng)提供檢測(cè)的數(shù)據(jù)。數(shù)據(jù)內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。數(shù)據(jù)來源系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望的改變網(wǎng)絡(luò)流量程序執(zhí)行中的異常行為7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)信息收集模塊入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)數(shù)據(jù)分析模塊對(duì)上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，通過技術(shù)手段進(jìn)行分析。模式匹配優(yōu)點(diǎn)：技術(shù)成熟，減少系統(tǒng)負(fù)擔(dān)缺點(diǎn)：需要不斷升級(jí)，不能檢測(cè)未知統(tǒng)計(jì)分析優(yōu)點(diǎn)：可以檢測(cè)未知的入侵缺點(diǎn)：誤報(bào)和漏報(bào)比較高完整性分析優(yōu)點(diǎn)：能發(fā)現(xiàn)所有的入侵行為缺點(diǎn)：用于批處理方式實(shí)現(xiàn)，不能用于實(shí)時(shí)響應(yīng)7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)事件響應(yīng)模塊事件響應(yīng)模塊的作用在于警告與反應(yīng)，這實(shí)際上與PPDR模型的R有所重疊。7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

7.2.2入侵檢測(cè)系統(tǒng)的基本結(jié)構(gòu)引擎的工作流程

引擎的主要功能：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能7.2.3入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)的分類基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）分布式入侵檢測(cè)系統(tǒng)（DIDS）7.2.3入侵檢測(cè)系統(tǒng)的分類1.基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）基于主機(jī)的IDS安裝在被保護(hù)的主機(jī)上，保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測(cè)入侵行為。InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHost-based入侵檢測(cè)HackerHost-basedIDSHost-basedIDSInternet基于主機(jī)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS7.2.3入侵檢測(cè)系統(tǒng)的分類1.基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）優(yōu)點(diǎn)：能夠校驗(yàn)出攻擊是成功還是失?。豢墒固囟ǖ南到y(tǒng)行為受到嚴(yán)密監(jiān)控等。缺點(diǎn)：它會(huì)占用主機(jī)的資源HIDS的安全性受到宿主操作系統(tǒng)的限制。HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。維護(hù)/升級(jí)不方便。7.2.3入侵檢測(cè)系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）基于網(wǎng)絡(luò)的IDS一般安裝在需要保護(hù)的網(wǎng)段中，利用網(wǎng)絡(luò)偵聽技術(shù)實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，對(duì)這些數(shù)據(jù)包的內(nèi)容、源地址、目的地址等進(jìn)行分析和檢測(cè)。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)甚至切斷網(wǎng)絡(luò)連接。

InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDS7.2.3入侵檢測(cè)系統(tǒng)的分類NIDS工作模型7.2.3入侵檢測(cè)系統(tǒng)的分類InternetNIDS基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測(cè)內(nèi)容：

包頭信息+有效數(shù)據(jù)部分7.2.3入侵檢測(cè)系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）優(yōu)點(diǎn)：

(1)網(wǎng)絡(luò)IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；(2)網(wǎng)絡(luò)IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對(duì)黑客透明，因此其本身的安全性高；(3)它既可以用于實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證；(4)可與防火墻的聯(lián)動(dòng)，對(duì)攻擊預(yù)警，有效地阻止非法入侵和破壞。缺點(diǎn)：

(1)不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)(3)系統(tǒng)相關(guān)的脆弱性7.2.3入侵檢測(cè)系統(tǒng)的分類3.分布式入侵檢測(cè)系統(tǒng)（DIDS）典型的DIDS是管理端/傳感器結(jié)構(gòu)。NIDS作為傳感器放置在網(wǎng)絡(luò)的各個(gè)地方，并向中央管理平臺(tái)匯報(bào)情況。對(duì)DIDS來說，傳感器可以使用NIDS、HIDS，或者同時(shí)使用，而且傳感器有的工作在混雜模式，有的工作在非混雜模式。7.3入侵檢測(cè)的技術(shù)模型入侵檢測(cè)的技術(shù)模型最早的入侵檢測(cè)模型由DorothyDenning在1986年提出。這個(gè)模型與具體系統(tǒng)和具體輸入無關(guān)，對(duì)此后的實(shí)用系統(tǒng)都很有借鑒價(jià)值。

事件產(chǎn)生器行為特征模塊規(guī)則模塊審計(jì)記錄/網(wǎng)絡(luò)數(shù)據(jù)包等特征表更新規(guī)則更新7.3入侵檢測(cè)的技術(shù)模型基于異常檢測(cè)的入侵檢測(cè)入侵和濫用行為與正常的行為存在嚴(yán)重的差異，通過檢查差異就可以檢測(cè)入侵。優(yōu)點(diǎn):不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計(jì)數(shù)據(jù)的增加，檢測(cè)的準(zhǔn)確性會(huì)越來越高，可能還會(huì)檢測(cè)到一些未知的攻擊。缺點(diǎn)：由于用戶的行為有很大的不確定性，很難對(duì)其行為確定正常范圍，因此門限值的確定也比較困難，出錯(cuò)的概率比較大。只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應(yīng)對(duì)措施帶來了一定困難。異常檢測(cè)中常用的方法有：量化分析、統(tǒng)計(jì)分析和神經(jīng)網(wǎng)絡(luò)等。用于異常入侵檢測(cè)的技術(shù)1．量化分析檢測(cè)門限檢測(cè)啟發(fā)式門限檢測(cè)目標(biāo)完整性檢查2.統(tǒng)計(jì)分析方法基于行為模式組成的統(tǒng)計(jì)知識(shí)庫--偏離

其正常的行為認(rèn)為是入侵7.3入侵檢測(cè)的技術(shù)模型用于異常入侵檢測(cè)的技術(shù)3．神經(jīng)網(wǎng)絡(luò)參考?xì)v史數(shù)據(jù)進(jìn)行訓(xùn)練收集數(shù)據(jù)進(jìn)行預(yù)測(cè)7.3入侵檢測(cè)的技術(shù)模型7.3入侵檢測(cè)的技術(shù)模型基于誤用的入侵檢測(cè)

收集非正常操作的行為特征，通過監(jiān)測(cè)用戶的或系統(tǒng)行為，將收集到的數(shù)據(jù)與預(yù)先確定的特征知識(shí)庫模式比較。優(yōu)點(diǎn)：能迅速發(fā)現(xiàn)已知的攻擊，并指出攻擊的類型，便于采取應(yīng)對(duì)措施；可以根據(jù)自身情況選擇所要監(jiān)控的事件類型和數(shù)量；誤用檢測(cè)沒有浮點(diǎn)運(yùn)算，效率較高。缺點(diǎn)：它只能檢測(cè)數(shù)據(jù)庫中己有的攻擊，對(duì)未知的攻擊無能為力。誤用檢測(cè)中常用的方法有:簡(jiǎn)單的模式匹配、專家系統(tǒng)和狀態(tài)轉(zhuǎn)移法。7.3入侵檢測(cè)的技術(shù)模型基于誤用的入侵檢測(cè)

1．模式匹配方法最為通用的一種檢測(cè)方式。優(yōu)點(diǎn)：原理簡(jiǎn)單，擴(kuò)展性好，檢測(cè)效率高，配置和維護(hù)方便缺點(diǎn)：只適用于簡(jiǎn)單的攻擊，誤報(bào)率高基于誤用的入侵檢測(cè)

2.專家系統(tǒng)根據(jù)知識(shí)庫的內(nèi)容對(duì)監(jiān)測(cè)數(shù)據(jù)進(jìn)行評(píng)估，判斷是否存在入侵優(yōu)點(diǎn)：簡(jiǎn)單，易用缺點(diǎn)：效率低，只能檢測(cè)已知攻擊，規(guī)則庫維護(hù)麻煩7.3入侵檢測(cè)的技術(shù)模型基于誤用的入侵檢測(cè)

3．狀態(tài)轉(zhuǎn)移法優(yōu)化的模式匹配技術(shù)來進(jìn)行判斷，主要方法有狀態(tài)轉(zhuǎn)移分析和著色Petri網(wǎng)。狀態(tài)轉(zhuǎn)移分析用狀態(tài)轉(zhuǎn)移圖表示和檢測(cè)已知攻擊模式的無用檢測(cè)技術(shù)；著色Petri網(wǎng)將入侵表示成一個(gè)著色的Petri網(wǎng)，特征匹配過程由標(biāo)記的動(dòng)作構(gòu)成，標(biāo)記在審計(jì)記錄的驅(qū)動(dòng)下，從初始狀態(tài)向最終狀態(tài)逐步前進(jìn)。7.3入侵檢測(cè)的技術(shù)模型分布式入侵檢測(cè)優(yōu)勢(shì)檢測(cè)大范圍的攻擊行為提高檢測(cè)的準(zhǔn)確度提高檢測(cè)效率協(xié)調(diào)響應(yīng)措施7.4分布式入侵檢測(cè)分布式入侵檢測(cè)的實(shí)現(xiàn)Snortnet（KyrgyzRussianSlavic大學(xué)）Agent-Based分布式入侵檢測(cè)（Purdue大學(xué)）DIDS（加州大學(xué)戴維斯分校NSM）GrIDS（UCDavis）數(shù)據(jù)融合（TimmBass提出）7.4分布式入侵檢測(cè)防火墻：拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍允許某些流量通過，因此它對(duì)很多入侵攻擊無計(jì)可施。IDS：通過監(jiān)視網(wǎng)絡(luò)和系統(tǒng)資源，尋找違反安全策略的行為，并發(fā)出警報(bào)，因此IDS只能被動(dòng)地檢測(cè)攻擊，而不能主動(dòng)地把威脅阻止在網(wǎng)絡(luò)之外。7.5入侵防護(hù)系統(tǒng)防火墻不能滿足要求IDS不能滿足新網(wǎng)絡(luò)環(huán)境下對(duì)安全的需求。人們迫切需要找到一種主動(dòng)入侵防護(hù)解決方案。7.5入侵防護(hù)系統(tǒng)入侵防防護(hù)系統(tǒng)(IPS:IntrusionPreventionSystem)則能提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其直接進(jìn)入內(nèi)部網(wǎng)絡(luò)，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。7.4入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)原理7.5入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)關(guān)鍵技術(shù)主動(dòng)防御技術(shù)防火墻與IPS聯(lián)動(dòng)技術(shù)集成多種檢測(cè)技術(shù)硬件加速系統(tǒng)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)7.5入侵防護(hù)系統(tǒng)入侵檢測(cè)系統(tǒng)IDS的核心價(jià)值在于通過對(duì)全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵防御系統(tǒng)IPS的核心價(jià)值在于對(duì)數(shù)據(jù)的深度分析及安全策略的實(shí)施——對(duì)黑客行為的阻擊。入侵檢測(cè)系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對(duì)內(nèi)部攻擊行為無能為力。IPS可以理解為深度Firewall。7.6常用入侵檢測(cè)系統(tǒng)介紹SnortSnort系統(tǒng)是一個(gè)以開放源代碼（OpenSource）形式發(fā)行的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，由MartinRoesch編寫，并由遍布世界各地的眾多程序員共同維護(hù)和升級(jí)。Snort最初是設(shè)計(jì)給小網(wǎng)絡(luò)段使用的，常被稱為輕量級(jí)的入侵檢測(cè)系統(tǒng)?，F(xiàn)在Snort既可用于Unix/Linux平臺(tái)，也有適用于Windows操作系統(tǒng)的版本。

它具有很好的配置性和可移植性。擴(kuò)展性很好：基于規(guī)則的體系結(jié)構(gòu)使Snort非常靈活，設(shè)計(jì)者使其很容易插入和擴(kuò)充新的規(guī)則——就能對(duì)抗那些新出現(xiàn)的威脅。7.6常用入侵檢測(cè)系統(tǒng)介紹Snort的工作模式網(wǎng)絡(luò)嗅探分析儀（Sniffer）IP包日志記錄器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)7.6常用入侵檢測(cè)系統(tǒng)介紹Snort的模塊結(jié)構(gòu)Snort在邏輯上可以分成多個(gè)模塊，這些模塊共同工作，來檢測(cè)特定的攻擊，并產(chǎn)生符合特定要求的輸出格式。圖7.6Snort模塊的組成及其相互關(guān)系7.6常用入侵檢測(cè)系統(tǒng)介紹Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。Snort能夠?qū)Χ喾N協(xié)議進(jìn)行協(xié)議解析，對(duì)內(nèi)容進(jìn)行搜索和匹配。它能夠檢測(cè)多種方式的攻擊和探測(cè)。Snort的報(bào)警機(jī)制很豐富，有多種方式。利用XML插件，Snort可以使用SNML（SimpleNetworkMarkupLanguage，簡(jiǎn)單網(wǎng)絡(luò)標(biāo)記語言），把日志存放到一個(gè)文件或者適時(shí)報(bào)警。7.6常用入侵檢測(cè)系統(tǒng)介紹構(gòu)建完整的Snort系統(tǒng)需要以下軟件，詳細(xì)安裝方法請(qǐng)參照網(wǎng)上相關(guān)資料。acid-0.9.6b23.tar.gz

基于php的入侵檢測(cè)數(shù)據(jù)庫分析控制臺(tái)adodb360.zipADOdb（ActiveDataObjectsDataBase）庫forPHPapache_2.0.46-win32-x86-no_src.msiWindows版本的ApacheWeb服務(wù)器jpgraph-1.12.2.tar.gzOO圖形庫forPHPmysql-4.0.13-win.zipWindows版本的Mysql數(shù)據(jù)庫服務(wù)器php-4.3.2-Win32.zipWindows版本的php腳本環(huán)境支持snort-2_0_0.exeWindows版本的Snort安裝包WinPcap_3_0.exe

網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動(dòng)程序phpmyadmin-2.5.1-php.zip

基于php的Mysql數(shù)據(jù)庫管理程序7.6常用入侵檢測(cè)系統(tǒng)介紹ISSRealSecureInternetSecuritySystem公司的RealSecure是一種實(shí)時(shí)監(jiān)控的軟件，它包含控制臺(tái)、網(wǎng)絡(luò)引擎和系統(tǒng)代理三部分組成。網(wǎng)絡(luò)引擎基于C類網(wǎng)段，安裝在一臺(tái)單獨(dú)使用的計(jì)算機(jī)上，通過捕捉網(wǎng)段上的數(shù)據(jù)包，分析包頭和數(shù)據(jù)段內(nèi)容，與模板中定義的事件手法進(jìn)行匹配，發(fā)現(xiàn)攻擊后采取相應(yīng)的安全動(dòng)作；系統(tǒng)代理基于主機(jī)，安裝在受保護(hù)的主機(jī)上，通過捕捉訪問主機(jī)的數(shù)據(jù)包，分析包頭和數(shù)據(jù)段內(nèi)容，與模板中定義的事件手法進(jìn)行匹配，發(fā)現(xiàn)攻擊后采取