.
实验五:入侵检测技术
一、实验目的
通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。
实验具体要求如下:
1.理解入侵检测的作用和原理
2.理解误用检测和异常检测的区别
3.掌握 Snort 的安装、配置和使用等实用技术
二、实验原理
1、入侵检测概念及其功能
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的
若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和
被攻击的迹象。入侵检测系统<intrusion detection system,IDS>是完成入侵检测功能的软件和
硬件的集合。
入侵检测的功能主要体现在以下几个方面:
1. 监视并分析用户和系统的活动。
2. 核查系统配置和漏洞。
3. 识别已知的攻击行为并报警。
4. 统计分析异常行为。
5. 评估系统关键资源和数据文件的完整性。
6. 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。
2、入侵检测的分类
根据 IDS 检测对象和工作方式的不同,可以将 IDS 分为基于网络的 IDS<简称 NIDS>和基
于主机的 IDS<简称 HIDS>。NIDS 和 HIDS 互为补充,两者的结合使用使得 IDS 有了更强的
检测能力。
1. 基于主机的入侵检测系统。
HIDS 历史最久,最早用于审计用户的活动,比如用户登录、命令操作、应用程序使用资
源情况等。HIDS 主要使用主机的审计记录和日志文件作为输入,某些 HIDS 也会主动与主机
系统进行交互以获得不存在于系统日志的信息。 HIDS 所收集的信息集中在系统调用和应
用层审计上,试图从日志寻找滥用和入侵事件的线索。HIDS 用于保护单台主机不受网络攻击
行为的侵害,需要安装在保护的主机上。
2. 基于网络的入侵检测系统。
NIDS 是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、
统计分析等分析手段发现当前发生的攻击行为。NIDS 通过对流量分析提取牲模式,再与已知
攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。
3、入侵检测系统
1. 入侵检测系统的特点:
入侵检测系统<Intrusion Detection System> 是对防火墙有益的补充,它对网络和主机行为
1 / 7