【实验题目】
入侵检测系统
【实验目的与要求】
(1)理解入侵检测系统的工作原理;
(2)掌握开源入侵检测系统(软件类)的发展现状;安装调研一种入侵检测系统如 Snort
进行试用;
(3)调研目前主流厂家的入侵检测系统和入侵防护系统(硬件类)的发展状况(厂商、
产品型号和报价等);
数据收集:收集的数据包括主机日志、防火墙日志、数据库日志、应用程序数据以及网络数
据包等;
数据处理:由于之前收集到的数据过于庞大和繁杂,需要对其进行相应的处理(去除冗余、
噪声,并且进行数据标准化及格式化处理);
数据分析:采用统计、智能算法能方法分析数据是否正常,显示是否存在入侵;行为
响应处理:当发现入侵行为时,采取预案措施进行防护(如切断网络,记录日志)、并保留
入侵证据以作他日调查所用,同时向管理员报警。
(2)开源入侵检测系统的发展现状:从总体上讲,目前除了完善常规的、传统的技术(模式
识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关的研究。许多学者在研究
新的检测方法,如采用自动代理的主动防御方法,将免疫学原理应用到入侵检测的方法等。
其主要发展方向可以概括为:
传统的入侵检测系统一般局限于单一的主机或网络架构,对异构系统及大规模网络的检测明
显不足,同时不同的入侵检测系统之间不能协同工作。为此,需要分布式入侵检测技术与
CIDF。
许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测 Web 之类的通用
协议,不能处理如 Lotus Notes 数据库系统等其他的应用系统。许多基于客户/服务器结构、
中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。