下载文档原格式
实验四:入侵检测系统的构建一、实验目的了解现有入侵检测系统的产品情况;掌握开源入侵检测系统(snort)的安装、配置和使用方法。
二、实验内容1)在 WINDOW平台上安装最新版本的 SNORT;2)熟悉并了解 SNORT 的配置方法;3)熟悉并了解 SNORT 的三种不同工作模式。
4)熟悉并了解 SNORT 的入侵检测用规则的语法及规则编写方法;5)编写检测规则,实现网络入侵行为的检测功能,并对其优缺点进行评估。
三、实验准备1.SNORT 入侵检测系统的特性开源特性:SNORT 是基于GPL 的跨多平台、轻量级、网络入侵检测软件。
功能强大,代码简洁、短小, 并采用C语言实现。
在遵循GPL的条件下,任何人都可以使用该软件或者基于该软件进行二次开发。
该系统是目前最活跃的开源项目之一。
模块化结构:SNORT 的结构分为解码器、检测引擎和报警与日志等三个部分。
各部分均可以采用相应的模块进行扩展。
解码器部分可以支持的模块是各种预处理器模块,以实现对各种协议的网络数据包进行不同层次的解码;规则引擎可以通过规则的扩充与修改实现不同入侵行为的检测;报警与日志部分则支持多种报警与日志输出模式,并可以借助各种输出插件进行功能的扩展或调整。
基于规则的入侵检测技术:SNORT 是一种基于规则匹配的网络入侵检测器。
在检测时,SNORT 会对规则文件中的规则进行解析,并在内存中建立规则树。
检测时,每读入一个数据包,首先对包进行解码处理。
然后,将解码后的数据包与规则树进行匹配工作。
若找到相关的匹配规则,将触发该规则指定的报警或日志动作。
规则描述了入侵行为的特征;因此,SNORT是一种误用入侵检测技术。
但借助相关的插件,例如 SPADE,SNORT 也可实现一定程度的异常入侵检测功能。
2.SNORT 的三种工作模式SNORT 支持三种工作模式,分别为嗅探器工作模式、数据包记录模式和网络入侵检测工作模式:2.1 嗅探器工作模式: snort -vde.该模式下,SNORT 将对网络数据包进行解码工作,并按照命令选项开指定的信息粒度,将数据包信息输出至用户终端供用户查看、分析。
2011-9-8JIANG Jian-Hui Intrusion Detection & Prevention Copyright 2011 TJU P. 1软 件 学 院入侵检测与防御江建慧同济大学同济大学软件学院软件学院jhjiang@同济大学本科同济大学本科卓越卓越卓越课程课程课程((20112011年年~)概述•本课程是信息安全专业的重要专业课,也是计算机科学与技术、软件工程等专业的核心专业选修课,•它研究的是关于信息系统和网络所遭受到的攻击(入侵)、入侵检测、入侵防御等方面的理论和方法。
•通过本课程的教学,将使学生比较全面地掌握入侵检测与防御系统的基本概念、基本原理、基本结构、基本设计与分析方法,了解入侵检测与防御系统方面的相关标准、典型实际工程方案的设计思想、技术的最新进展和发展趋势,为今后从事信息安全系统的研究、开发及应用打下良好的基础。
课程的教学体系课程教学体系•本课程的教学体系由知识体系和实践能力体系两部分组成。
•网络安全是信息安全的重要内容之一,其知识单元包括:–网络安全概念、入侵检测系统、防火墙、网络安全防护、全防护、Web Web Web安全、安全、安全、VPN VPN VPN、无线网络安全等。
、无线网络安全等。
•上述上述知识单元一般可以由若干门课程来覆盖,知识单元一般可以由若干门课程来覆盖,•在同济大学在同济大学201020102010级信息安全本科专业培养方级信息安全本科专业培养方案中,有如下相关课程:–入侵检测与防御、安全协议与标准、安全体系结构、安全互连与接入控制等。
知识单元与知识点•网络安全概念:网络安全威胁、网络安全评估、网络安全模型等。
•网络安全防护:系统缺陷与漏洞、安全扫描、隔离、恶意代码防护、邮件安全防护、安全审计等。
•入侵检测系统:误用检测、异常检测、系统测试与评估、标准化等。
•防火墙:包过滤、应用层代理、包过滤、应用层代理、NAT NAT NAT等。
