【文档说明】信息安全综合实验.pptx，共(13)页，83.116 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-288586.html

以下为本文档部分文字说明：

信息安全综合实验张焕杰中国科学技术大学网络信息中心james@ustc.edu.cnhttp://202.38.64.40/~james/nmsTel:3601897(O)1第五章入侵检测原理与Snort的使用⚫课程目的–学习入侵检测基

本原理–通过snort系统的使用加深理解2入侵检测原理⚫PDR安全模型–策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）3PDR安全模型⚫策略–是模型的核心，意味着网络安全要

达到的目标⚫防护–是安全的第一步，它的基础是检测和响应的结果⚫检测–防护对于攻击往往是滞后的，漏洞的发现或攻击手段的发明与响应的防护手段之间有个时间差，检测用来弥补时间差⚫响应–发现了攻击后，需要对系统及时反应⚫反复的循环过程

，每次循环带来防护水平的提高4入侵检测⚫IDSIntrusionDetectionSystem⚫入侵检测属于PDR模型的检测过程，承接防护和相应的过程⚫是PDR模型的关键部分⚫仅有防护的不足：–防护只能考虑已知的威胁和有限的威胁–防护只能

尽量阻止攻击企图的得逞或延缓该过程，不能阻止各种攻击事件的发生5入侵检测⚫特性要求：–经济性、时效性、安全性和可扩展性⚫模块划分–数据提取、数据分析、处理结果6入侵检测分类⚫基于异常的入侵检测–正常行为往往有一定的规律，通过分析相关

数据可以总结出该规律–入侵和滥用行为通常与正常的行为有严重差异–通过检测这些差异来检测入侵–如：平时icmp的数据包数量、类型是一种表现，系统感染了冲击波病毒时的icmp数据包的数量和类型是另一种表现–商用不多，研究为主7入侵检测分类⚫基于误用的入侵检测–通过某种

模式或信号标示攻击，可以检测出已知的攻击，对未知的攻击手段无能为力–常用的是模式匹配系统8模式匹配检测⚫入侵信号层次–存在⚫只要存在某个审计事件就说明发生了入侵行为或企图，对应存在模式⚫如：HTTP访问../cmd.exe…–序列⚫一组事件的序列，对应序列

模式⚫如：icmp数据包连续5秒钟超过100pkt/s9模式匹配检测⚫入侵信号层次–规则表示⚫一组事件的逻辑表示，事件没有顺序关系⚫如：icmp数据包连续5秒钟超过100pkt/s–其他⚫更加复杂的表示存在模式∈序列模式∈规则表示模式∈其他模式10模式的关

系11入侵检测系统分类⚫主机模式–通过对主机系统的信息进行分析来检测–分析的数据源可以是各种日志⚫网络模式–通过对网络上的信息进行分析来检测–抓包12Snort入侵检测系统13