信息安全综合实验课件.pptx

《信息安全综合实验课件.pptx》由会员分享，可在线阅读，更多相关《信息安全综合实验课件.pptx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全综合实验信息安全综合实验Tel:3601897(O)1第五章第五章 入侵检测原理与入侵检测原理与Snort的使用的使用l课程目的学习入侵检测基本原理通过snort系统的使用加深理解2入侵检测原理入侵检测原理lPDR 安全模型策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）3PDR 安全模型安全模型l策略是模型的核心，意味着网络安全要达到的目标l防护是安全的第一步，它的基础是检测和响应的结果l检测防护对于攻击往往是滞后的，漏洞的发现或攻击手段的发明与响应的防护手段之间有个时间差，检测用来弥补时间差l响应发现了攻击后，需要对系统及时反

2、应l反复的循环过程，每次循环带来防护水平的提高4入侵检测入侵检测lIDS Intrusion Detection Systeml入侵检测属于PDR模型的检测过程，承接防护和相应的过程l是PDR模型的关键部分l仅有防护的不足：防护只能考虑已知的威胁和有限的威胁防护只能尽量阻止攻击企图的得逞或延缓该过程，不能阻止各种攻击事件的发生5入侵检测入侵检测l特性要求：经济性、时效性、安全性和可扩展性l模块划分数据提取、数据分析、处理结果6入侵检测分类入侵检测分类l基于异常的入侵检测正常行为往往有一定的规律，通过分析相关数据可以总结出该规律入侵和滥用行为通常与正常的行为有严重差异通过检测这些差异来检测入侵如

3、：平时icmp的数据包数量、类型是一种表现，系统感染了冲击波病毒时的icmp数据包的数量和类型是另一种表现商用不多，研究为主7入侵检测分类入侵检测分类l基于误用的入侵检测通过某种模式或信号标示攻击，可以检测出已知的攻击，对未知的攻击手段无能为力常用的是模式匹配系统8模式匹配检测模式匹配检测l入侵信号层次存在l只要存在某个审计事件就说明发生了入侵行为或企图，对应存在模式l如：HTTP 访问./cmd.exe序列l一组事件的序列，对应序列模式l如：icmp数据包连续5秒钟超过100pkt/s9模式匹配检测模式匹配检测l入侵信号层次规则表示l一组事件的逻辑表示，事件没有顺序关系l如：icmp数据包连

4、续5秒钟超过100pkt/s其他l更加复杂的表示存在模式 序列模式 规则表示模式 其他模式10模式的关系模式的关系11入侵检测系统分类入侵检测系统分类l主机模式通过对主机系统的信息进行分析来检测分析的数据源可以是各种日志l网络模式通过对网络上的信息进行分析来检测抓包12Snort入侵检测系统入侵检测系统l处理模式抓包处理结果处理依据规则131、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Tuesday,April 25,20232、阅读一切好书如同和过去最杰出的人谈话。17:54:3917:54:3917:544/25/2023 5:54:39 PM3、越是没有本领的就越加自命不

5、凡。4月-2317:54:3917:54Apr-2325-Apr-234、越是无能的人，越喜欢挑剔别人的错儿。17:54:3917:54:3917:54Tuesday,April 25,20235、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2317:54:3917:54:39April 25,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。25四月20235:54:39下午17:54:394月-237、最具挑战性的挑战莫过于提升自我。四月235:54下午4月-2317:54April 25,20238、业余生活要有意义，不要越轨。2023/4/2517:54:391

6、7:54:3925 April 20239、一个人即使已登上顶峰，也仍要自强不息。5:54:39下午5:54下午17:54:394月-2310、你要做多大的事情，就该承受多大的压力。4/25/2023 5:54:39 PM17:54:3925-4月-2311、自己要先看得起自己，别人才会看得起你。4/25/2023 5:54 PM4/25/2023 5:54 PM4月-234月-2312、这一秒不放弃，下一秒就会有希望。25-Apr-2325 April 20234月-2313、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。Tuesday,April 25,202325-Apr-234月-2314、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。4月-2317:54:3925 April 202317:54谢谢大家谢谢大家