信息系统安全检测技术

第七章 信息系统安全检测技术 第七章 信息系统安全检测技术 信息安全信息安全8/29/20231*第七章 信息系统安全检测技术 本章主要内容本章主要内容 7.1 7.1 入侵检测技术入侵检测技术 7.2 7.2 漏洞检测技术漏洞检测技术 7.3 7.3 审计追踪审计追踪 8/29/20232*第七章 信息系统安全检测技术 本章学习目标本章学习目标本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习，使学员：（1）理解入侵检测的概念、分类、基本方法；（2）理解入侵响应、审计追踪技术；（3）理解漏洞扫描技术；（4）掌握Snort入侵检测工具的使用。8/29/20233*第七章 信息系统安全检测技术 入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。7.1 7.1 入侵检测技术入侵检测技术 8/29/20234*第七章 信息系统安全检测技术 7.1.1 7.1.1 入侵检测定义入侵检测定义 q入侵检测（Intrusion Detection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线是检测。qIDS可分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。q利用最新的可适应网络安全技术和P2DR（Policy，Protection，Detection，Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。7.1 7.1 入侵检测技术入侵检测技术 8/29/20235*第七章 信息系统安全检测技术 7.1.2 IDS7.1.2 IDS分类分类 1.1.基于行为的和基于知识的检测基于行为的和基于知识的检测 按具体的检测方法，将检测系统分为基于行为的和基于知识的两类。q基于行为的检测也被称为异常检测异常检测异常检测异常检测。q基于知识的检测也被称为误用检测误用检测误用检测误用检测。7.1 7.1 入侵检测技术入侵检测技术 8/29/20236*第七章 信息系统安全检测技术 7.1.2 7.1.2 IDSIDS分类分类 2.2.根据数据源不同的检测根据数据源不同的检测 根据检测系统所分析的原始数据不同，将入侵检测分为来自系统日志和网络数据包两种。7.1 7.1 入侵检测技术入侵检测技术 系统日志网络数据包异常检测异常检测误用检测误用检测报警报警报警并做出相应措施报警并做出相应措施实时检测实时检测周期性检测周期性检测原始数据检测原理两类检测的关系 8/29/20237*第七章 信息系统安全检测技术 7.1.3 7.1.3 入侵检测系统基本原理入侵检测系统基本原理 1.1.入侵检测框架入侵检测框架 对安全事件的检测包括大量复杂的步骤，涉及到很多系统，任何单一技术很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备检测能力。因此，对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架（CIDF）和入侵检测交换格式（IDEF）。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架：IDEF是由IETF的入侵检测工组（IDWG）开发的安全事件报警的标准格式。7.1 7.1 入侵检测技术入侵检测技术 8/29/20238*第七章 信息系统安全检测技术 7.1.3 7.1.3 入侵检测系统基本原理入侵检测系统基本原理 1.1.入侵检测框架入侵检测框架 7.1 7.1 入侵检测技术入侵检测技术 数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架（CIDF）8/29/20239*第七章 信息系统安全检测技术 7.1.3 7.1.3 入侵检测系统基本原理入侵检测系统基本原理 1.1.入侵检测框架入侵检测框架 7.1 7.1 入侵检测技术入侵检测技术 报警报警攻击模式库攻击模式库配置系统库配置系统库入侵分析引擎入侵分析引擎 响应处理响应处理 数据采集数据采集安全控制安全控制 主机系统主机系统系统操作系统操作审计记录审计记录/协议数据协议数据简单的入侵检测系统 8/29/202310*第七章 信息系统安全检测技术 7.1.3 7.1.3 入侵检测系统基本原理入侵检测系统基本原理2.2.信息收集信息收集信息收集信息收集 在网络系统中的若干不同关键点（网段和主机）。在网络系统中的若干不同关键点（网段和主机）。收集收集系统、网络、数据及用户活动的状态和行为信息。入侵检测系统、网络、数据及用户活动的状态和行为信息。入侵检测可以利用的分析数据信息：可以利用的分析数据信息：（1）网络和系统日志文件 （2）目录和文件中的不期望的改变 （3）程序执行中的不期望行为 （4）物理形式的入侵信息 （5）其他信息 7.1 7.1 入侵检测技术入侵检测技术 8/29/202311*第七章 信息系统安全检测技术 7.1.3 7.1.3 入侵检测系统基本原理入侵检测系统基本原理3.3.信息分析信息分析 通过三种技术手段进行分析：q模式匹配（实时）：将收集到的信息与已知网络入侵和系统误用模式数据库进行比较，而发现违背安全策略的行为。q统计分析（实时）：先给系统对象（用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（访问次数、操作失败次数、延时）。测量属性的平均值将被用来与网络、系统的行为进行比较。q完整性分析(事后)：关注文件和目录的内容及属性，发现被更改的或被特洛伊木马化的应用程序。7.1 7.1 入侵检测技术入侵检测技术 8/29/202312*第七章 信息系统安全检测技术 1.基于主机的入侵检测系统 7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 报警报警攻击模式库攻击模式库配置系统库配置系统库入侵分析引擎入侵分析引擎 响应处理响应处理 数据采集数据采集安全控制安全控制 主机系统主机系统系统操作系统操作审计记录审计记录/协议数据协议数据 检测的目标主要是主机系统和系统本地用户。8/29/202313*第七章 信息系统安全检测技术 1.基于主机的入侵检测系统 7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 审计记录收集方法异常检测误用检测安全管理员接口审计记录数据库审计记录数据归档/查询目标系统审计记录预处理 在需要保护的主机（端系统）上运行代理程序，根据主机的审计数据和系统的日志发现可疑事件，从而实现监控。8/29/202314*第七章 信息系统安全检测技术 2.基于网络的入侵检测系统 7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 分析结果网络接口网络接口分析引擎模块管理/配置模块网络安全数据库采集模块采集模块 利用网络适配器利用网络适配器来实时监视和分析所来实时监视和分析所有通过网络进行传输有通过网络进行传输的通信。一旦检测到的通信。一旦检测到攻击，攻击，IDS相应模块相应模块通过通知、报警以及通过通知、报警以及中断连接等方式来对中断连接等方式来对攻击做出反应。攻击做出反应。8/29/202315*第七章 信息系统安全检测技术 2.基于网络的入侵检测系统 优点：优点：检测的范围是整个网段，而不仅仅是被保护的主机。实时检测和应答。一旦发生恶意访问或攻击，能够更快地做出反应，将入侵活动对系统的破坏减到最低。隐蔽性好。不需要在每个主机上安装，不易被发现。不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 8/29/202316*第七章 信息系统安全检测技术 3.分布式入侵检测系统 分布式入侵检测系统产生的原因情况：q系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。q网络入侵行为不再是单一的行为，而是表现出相互协作入侵的特点，如分布式拒绝服务攻击。q入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。q网络速度传输加快，网络流量大，原始数据的集中处理方式往往造成检测瓶颈，从而导致漏检。7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 8/29/202317*第七章 信息系统安全检测技术 3.分布式入侵检测系统 7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 中央数据处理单元传感器传感器传感器传感器局域网管理器早期的分布式入侵检测系统 分布式IDS系统的目标是既能检测网络入侵行为，又能检测主机的入侵行为。8/29/202318*第七章 信息系统安全检测技术 3.分布式入侵检测系统 7.1 7.1 入侵检测技术入侵检测技术 7.1.47.1.4入侵检测系统的结构入侵检测系统的结构 格式化数据模型格式化数据模型格式化数据数据仓库传感器检测器原始数据自适应模型产生器8/29/202319*第七章 信息系统安全检测技术 1.基于用户行为概率统计模型的入侵检测方法 根据系统内部保存的用户行为概率统计模型进行检测。在用户的历史行为以及早期的证据或模型的基础上生成每个用户的历史行为记录库，系统实时地检测用户对系统的使用情况，当用户改变他们的行为习惯时，当发现有可疑的行为发生时，这种异常就会被检测出来。例如，统计系统会记录CPU的使用时间、I/O的使用通道和频率、常用目录的建立与删除、文件的读些、修改、删除、以及用户习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。7.1 7.1 入侵检测技术入侵检测技术 7.1.5 7.1.5 入侵检测的基本方法入侵检测的基本方法 8/29/202320*第七章 信息系统安全检测技术 2.基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测的，因此，这种方法对于用户行为具有学习和自适应性，能够根据实际检测到的信息有效地加以处理并做出判断。但尚不十分成熟，目前还没有出现较为完善的产品。7.1 7.1 入侵检测技术入侵检测技术 7.1.5 7.1.5 入侵检测的基本方法入侵检测的基本方法 8/29/202321*第七章 信息系统安全检测技术 3.基于专家系统的入侵检测方法 根据安全专家对可疑行为的分析经验形成的一套推理规则，建立相应的专家系统，自动进行对所涉及的入侵行为进行分析。实现基于规则的专家系统是一个知识工程问题，应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。这样的能力需在专家指导和参与才能实现。一方面，推理机制使得系统面对一些新的行为现象时可能具备一定的应对能力(即有可能会发现一些新的安全漏洞)；另一方面，攻击行为不会触发任何一个规则，从而被检测到。7.1 7.1 入侵检测技术入侵检测技术 7.1.5 7.1.5 入侵检测的基本方法入侵检测的基本方法 8/29/202322*第七章 信息系统安全检测技术 3.基于专家系统的入侵检测方法 基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。7.1 7.1 入侵检测技术入侵检测技术 7.1.5 7.1.5 入侵检测的基本方法入侵检测的基本方法 8/29/202323*第七章 信息系统安全检测技术 4.基于模型推理的入侵检测方法 根据入侵者在进行入侵时所执行程序的某些行为特征建立一种入侵行为模型；根据这种行为模型所代表的入侵意图的行为特征来判断用户的操作是否属于入侵行为。当然这种方法也是建立在对已知的入侵行为的基础之上的，对未知的入侵行为模型识别需要进一步的学习和扩展。上述每一种方法都不能保证准确地检测出变化无穷的入侵行为，因此在网络安全防护中要充分衡量各种方法的利弊。综合运用这些方法才能有效地检测出入侵者的非法行为。7.1 7.1 入侵检测技术入侵检测技术 7.1.5 7.1.5 入侵检测的基本方法入侵检测的基本方法 8/29/202324*第七章 信息系统安全检测技术 q1.信息收集分析时间 q2.采用的分析类型q3.检测系统对攻击和误用的反应 q4.检测系统的管理和安装 q5.检测系统的完整性 q6.设置诱骗服务器 7.1 7.1 入侵检测技术入侵检测技术 7.1.6 7.1.6 入侵检测实现时若干问题的考虑入侵检测实现时若干问题的考虑 8/29/202325*第七章 信息系统安全检测技术 入侵者常常是从收集、发现和利用信息系统的漏洞来发起对系统的攻击的系统，不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同。这些大致上可以分为以下几类。1.网络传输和协议的漏洞 2.系统的漏洞 3.管理的漏洞 7.2 7.2 漏洞检测技术漏洞检测技术 7.2.1 7.2.1 入侵攻击可利用的系统漏洞的类型入侵攻击可利用的系统漏洞的类型 8/29/202326*第七章 信息系统安全检测技术 实时实时监控监控非法入侵的安全实验非法入侵的安全实验EMAIL报警日志报警日志攻击检测攻击检测记录记录重配置重配置防火墙防火墙/路由器路由器INTERNAL攻击检测攻击检测记录记录通话终止通话终止8/29/202327*第七章 信息系统安全检测技术 InternetWes ServerWes ServerWes Server7.2 7.2 漏洞检测技术漏洞检测技术 7.2.1 7.2.1 入侵攻击可利用的系统漏洞的类型入侵攻击可利用的系统漏洞的类型 8/29/202328*第七章 信息系统安全检测技术 漏洞检测技术通常采用两种策略，即被动式策略和主动式策略。q被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查；q主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击。并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估，指出了这些攻击是可能的，因此成为安全方案的一个重要组成部分。7.2.2 7.2.2 漏洞检测技术分类漏洞检测技术分类 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202329*第七章 信息系统安全检测技术（1）检测分析的位置（2）报告与安装（3）检测后的解决方案（4）检测系统本身的完整性 7.2.3 7.2.3 漏洞检测的特点漏洞检测的特点 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202330*第七章 信息系统安全检测技术 1.设计目标 该网络漏洞检测系统的设计目标是使得在攻击者入侵之前，能够帮助系统管理员主动对网络上的设备进行安全测试，根据当前Internet上或软件公司公布的系统中的漏洞及时下载安装各种补丁程序，以便提高网络系统抵抗攻击的能力。7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202331*第七章 信息系统安全检测技术 2.系统组成 该系统大体上可分为两大模块：q外部扫描模块 功能和特点是，模拟黑客攻击的部分过程在网络上进行扫描，把扫描得到的信息进行综合分析，再结合不断更新的漏洞数据库来发现网络上存在的隐患；q内部扫描模块 功能和特点是，模拟系统管理员从主机内部进行扫描，检查一切和网络安全有关的配置是否正确，进而从内部清除隐患。通过内外扫描的结合，就可以很全面地检查和防范在网络环境中可能出现的安全隐患，最大可能地使黑客无可乘之机。7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202332*第七章 信息系统安全检测技术 3.外部扫描模块体系结构 （1）网络端口扫描模块 （2）应用服务软件探测模块 （3）反馈信息分析整理模块 （4）信息数据库 （5）匹配漏洞信息模块 （6）应用服务和信息漏洞维护模块 （7）漏洞数据库 7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202333*第七章 信息系统安全检测技术 7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 局域网网络端口扫描模块应用服务软件探测模块反馈信息分析整理模块应用服务和信息漏洞维护模块信息数据库漏洞数据库匹配漏洞信息模块判断处理系统管理员外部扫描模块结构示意 3.外部扫描模块体系结构8/29/202334*第七章 信息系统安全检测技术 4.内部扫描模块体系结构内部扫描模块由五个子模块组成。（1）主机登录用户扫描模块（2）主机登录密码文件扫描模块（3）基于信任机制的漏洞扫描模块（4）网络服务的内部扫描模块（5）网络应用软件扫描模块7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202335*第七章 信息系统安全检测技术 5.系统工作过程 q系统启动。q启动外部扫描模块。扫描整个网段，获取本网段内的主机信息（包括使用的操作系统、IP地址、打开的端口号及各个端口所提供的服务）。q获取详细信息，将信息传递给反馈信息分析整理模块；q信息进行分析，过滤掉无用信息，并将有效信息规则化，然后存入信息数据库；q漏洞数据库中的相应漏洞信息进行匹配；如果匹配成功，则产生报警信号，同时给出其他相关信息。7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202336*第七章 信息系统安全检测技术 5.系统工作过程 q系统启动。q当内部扫描被选择以后，内部扫描模块启动主机登录用户扫描模块、主机登录密码文件扫描模块、基于信任机制的隐患扫描模块、网络服务的内部扫描模块和网络应用软件扫描模块并发执行。发现漏洞，则以分级的形式给出告警，相关的漏洞信息以及配置建议，由系统管理员进一步决定。而网络应用软件扫描模块则进一步给出漏洞的补丁程序的标号、位置等，这一点与外部扫描模块相似。7.2.3 7.2.3 漏洞检测系统的设计实例漏洞检测系统的设计实例 7.2 7.2 漏洞检测技术漏洞检测技术 8/29/202337*第七章 信息系统安全检测技术 审计追踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计追踪记录系统活动(操作系统和应用程序进程)和用户活动(用户在操作系统中和应用程序中的活动)。借助适当的工具和规程，审计追踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计追踪即是正常系统操作的一种支持(例如系统中断)，也是一种安全策略，用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。7.3.1 7.3.1 审计追踪概述审计追踪概述 7.3 7.3 审计追踪审计追踪 8/29/202338*第七章 信息系统安全检测技术 审计追踪提供了实现多种安全相关目标的一种方法，这些目标包括：q个人职能q事件重建q入侵探测q故障分析 7.3.27.3.2审计追踪的目的审计追踪的目的 7.3 7.3 审计追踪审计追踪 8/29/202339*第七章 信息系统安全检测技术 系统可以同时维护多个审计追踪。有两种典型的审计记录：其一，所有键盘敲击的记录，通常称为击键监控；其二，面向事件的审计日志。这些日志通常包括描述系统事件、应用事件或用户事件的记录。审计追踪应该包括足够的信息，以确定事件的内容和引起事件的因素。通常，事件记录应该列有事件发生的时间、和事件有关的用户识别码、启动事件的程序或命令以及事件的结果。日期和时间戳可以帮助确定用户到底是假冒的还是真实的，采用标准格式记录信息。7.3.3 7.3.3 审计追踪和日志的类型审计追踪和日志的类型 7.3 7.3 审计追踪审计追踪 8/29/202340*第七章 信息系统安全检测技术 7.3.3 7.3.3 审计追踪和日志的类型审计追踪和日志的类型 7.3 7.3 审计追踪审计追踪 格 式 例 主体 某人 动作 写入文件 目标 雇员记录文件 例外条件 无 资源利用次数 10 时戳 0900080199如记录信息格式8/29/202341*第七章 信息系统安全检测技术 1.1.击键监控（击键监控（keystroke monitoringkeystroke monitoring）用于对计算机交互过程中的用户键盘输入和计算机的反应数据进行检查或记录。击键监控通常被认为是审计追踪的一种特殊应用。击键监控的例子包括检查用户敲入的字符，阅读用户的电子邮件以及检查用户敲入的信息。有些系统维护功能会记录用户的击键。如果这些记录保存与之相关的用户鉴别码就可以协助管理员确定击键人从而达到击键监控的目的。击键监控致力于保护系统和数据免遭非法入侵和合法用户的滥用。入侵者的击键记录可以协助管理员评估和修复入侵造成的损失。7.3.3 7.3.3 审计追踪和日志的类型审计追踪和日志的类型7.3 7.3 审计追踪审计追踪 8/29/202342*第七章 信息系统安全检测技术 2.面向事件的审计日志（event-oriented audit logs）（1）系统级审计追踪（2）应用级审计追踪（3）用户审计追踪 7.3.3 7.3.3 审计追踪和日志的类型审计追踪和日志的类型7.3 7.3 审计追踪审计追踪 8/29/202343*第七章 信息系统安全检测技术 为了确保审计追踪数据的可用性和正确性，审计追踪数据需要受到保护，如果不对日志数据进行及时审查，规划和实施，再好的审计追踪也会失去价值。审计追踪应该根据需要（如经常由安全事件触发）定期审查、自动实时审查、或两者兼而有之。系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计追踪数据，其中包括系统内保存和归档保存的数据。与审计追踪实施有关的问题包括三方面：其一，保护审计追踪数据；其二，审查审计追踪数据；其三，用于审计追踪分析的工具。7.3.4 7.3.4 审计追踪的实施审计追踪的实施 7.3 7.3 审计追踪审计追踪 8/29/202344*第七章 信息系统安全检测技术 1.保护审计追踪数据q限制访问在线审计日志。计算机安全管理员和系统管理员或职能部门经理出于检查的目的可以访问，而维护逻辑访问功能的安全和管理人员没有必要访问审计日志。q防止非法修改以确保审计追踪数据。使用数字签名是实现这一目标的一种途径。另一类方法是使用只读设备。入侵者会试图修改审计追踪记录以掩盖自己的踪迹是审计追踪文件需要保护的原因之一。使用强访问控制是保护审计追踪记录免受非法访问的有效措施。当牵涉到法律问题时，审计追踪信息的完整性尤为重要（这可能需要每天打印和签署日志）。7.3.4 7.3.4 审计追踪的实施审计追踪的实施 7.3 7.3 审计追踪审计追踪 8/29/202345*第七章 信息系统安全检测技术 2.审查审计追踪数据 审计追踪的审查和分析可以分为在事后检查、定期检查或实时检查。审查人员应该知道如何发现异常活动。他们应该知道怎么算是正常活动。如果可以通过用户识别码、终端识别码、应用程序名、日期时间或其它参数组来检索审计追踪记录并生成所需的报告，那么审计追踪检查就会比较容易。q事后检查q定期检查q实时检查7.3.4 7.3.4 审计追踪的实施审计追踪的实施 7.3 7.3 审计追踪审计追踪 8/29/202346*第七章 信息系统安全检测技术 3.3.审计追踪工具审计追踪工具 许多工具是用于从大量粗糙原始的审计数据中精选出有用信息。尤其是在大系统中，审计追踪软件产生的数据文件非常庞大，用人工方式分析非常困难。使用自动化工具就是从审计信息中将无用的信息剔除。其它工具还有差异探测工具和攻击特征探测工具。q审计精选工具q趋势差别探测工具q攻击特征探测工具7.3.4 7.3.4 审计追踪的实施审计追踪的实施 7.3 7.3 审计追踪审计追踪 8/29/202347*第七章 信息系统安全检测技术 1.自动工具 2.内部控制审计 3.安全检查表 4.入侵测试 7.3.6 7.3.6 审计的方法和工具审计的方法和工具 7.3 7.3 审计追踪审计追踪 8/29/202348*第七章 信息系统安全检测技术 1.系统日志的检查 2.自动工具 3.配置管理 4.电子新闻 7.3.7 7.3.7 监控的方法和工具监控的方法和工具 7.3 7.3 审计追踪审计追踪 8/29/202349*第七章 信息系统安全检测技术 入侵检测系统是网络信息系统安全的第二道防线，是安全基础设施的补充。本章在介绍了入侵检测系统的基本功能及使用范围等基本概念的基础上，给出了入侵检测系统的基本原理，对入侵检测系统的框架、信息来源、信息分析方法及基本技术进行了介绍。按检测的监控位置划分，将入侵检测系统分为三大类别，即基于主机的检测系统、基于网络的检测系统和分布式检测系统，并对各类别的结构及其特点进行了概括。最后介绍在Windows2000上配置snort入侵检测系统的方法。7.4 7.4 小结小结 8/29/202350*第七章 信息系统安全检测技术 一一填空填空1.是检测和识别系统中未授权或异常现象。2.P2DR是什么含义：、。3.入侵检测的第一步是 ，内容包括系统、网络、数据及用户活动的状态和行为。4.入侵检测系统通过 、和 三种技术手段，对收集到的有关网络、系统、数据及用户活动的状态和行为等信息进行分析。5.IDS的物理实现方式不同，按检测的监控位置划分，入侵检测系统可分为基于 、基于 和基于 。7.3 7.3 审计追踪审计追踪 8/29/202351*第七章 信息系统安全检测技术 二简答题二简答题1.入侵检测所采用的主要技术？2.试述入侵检测方法的分类。3.IDS主要功能是什么？4.简述基于代理的网络入侵检测系统的实现原理。5.IDS在网络中部署的正确位置。6.什么是漏洞？简述漏洞的危害。7.什么是漏洞扫描？8.审计追踪的目的是什么？7.3 7.3 审计追踪审计追踪 8/29/202352*第七章 信息系统安全检测技术 引引语语：在在这这一一实实验验中中，将将在在WindowsWindows平平台台上上建建立立入入侵侵检检测测系系统统（snortsnort）。SnortSnort是是一一个个轻轻便便的的网网络络入入侵侵检检测测系系统统，在在运运行行的的时时只只占占用用极极少少的的网网络络资资源源，对对原原有有网网络络性性能能影影响响很很小小。它它可可以以完完成成实实时时流流量量分分析析和和对对网网络络上上的的IPIP包包登登录录进进行行测测试试等等功功能能，能能完完成成协协议议分分析析，内内容容查查找找匹匹配配，是是用用来来探探测测多多种种攻攻击击的的侵侵入入探探测测器器（如如缓缓冲冲区区溢溢出出、秘秘密密端端口口扫扫描描、CGICGI攻攻击击、SMBSMB嗅嗅探探、拇拇纹纹采采集集尝尝试试等等）。Snort Snort 可以运行在可以运行在*nix/Win32*nix/Win32 平台上。平台上。目目的的：本本实实验验在在Win2000 Server环环境境安安装装与与配配置置入入侵侵检检测测系系统统（snort）。完完成成这这一一实实验验之之后后，将将能能够够：安安装装“snort”服务。使用服务。使用“snort”服务。服务。实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202353*第七章 信息系统安全检测技术 实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202354*第七章 信息系统安全检测技术 任务任务1.安装安装Snort Version 1.9.1 任务任务2.安装安装MySQL Database 任务任务3.生成生成Win32 MySQL database 任务任务4.在在MySQL中生成中生成Acid的库表的库表 任务任务5.测试测试Snort 任任务务6.将将Snort设设置置成成为为windows NT4 Server/2000/XP的的一项服务一项服务 任务任务7.安装安装PHP 任任务务8.配配置置PHP运运行行在在NT Server/2000/XP的的IIS 4/5环环境境下下 任务任务9.安装安装ADODB 一个高性能的数据库一个高性能的数据库 实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202355*第七章 信息系统安全检测技术 引引语语：在在这这一一实实验验中中，将将在在WindowsWindows平平台台上上建建立立入入侵侵检检测测系系统统（snortsnort）。SnortSnort是是一一个个轻轻便便的的网网络络入入侵侵检检测测系系统统，在在运运行行的的时时只只占占用用极极少少的的网网络络资资源源，对对原原有有网网络络性性能能影影响响很很小小。它它可可以以完完成成实实时时流流量量分分析析和和对对网网络络上上的的IPIP包包登登录录进进行行测测试试等等功功能能，能能完完成成协协议议分分析析，内内容容查查找找匹匹配配，是是用用来来探探测测多多种种攻攻击击的的侵侵入入探探测测器器（如如缓缓冲冲区区溢溢出出、秘秘密密端端口口扫扫描描、CGICGI攻攻击击、SMBSMB嗅嗅探探、拇拇纹纹采采集集尝尝试试等等）。Snort Snort 可以运行在可以运行在*nix/Win32*nix/Win32 平台上。平台上。目目的的：本本实实验验在在Win2000 Server环环境境安安装装与与配配置置入入侵侵检检测测系系统统（snort）。完完成成这这一一实实验验之之后后，将将能能够够：安安装装“snort”服务。使用服务。使用“snort”服务。服务。实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202356*第七章 信息系统安全检测技术 引引语语：在在这这一一实实验验中中，将将在在WindowsWindows平平台台上上建建立立入入侵侵检检测测系系统统（snortsnort）。SnortSnort是是一一个个轻轻便便的的网网络络入入侵侵检检测测系系统统，在在运运行行的的时时只只占占用用极极少少的的网网络络资资源源，对对原原有有网网络络性性能能影影响响很很小小。它它可可以以完完成成实实时时流流量量分分析析和和对对网网络络上上的的IPIP包包登登录录进进行行测测试试等等功功能能，能能完完成成协协议议分分析析，内内容容查查找找匹匹配配，是是用用来来探探测测多多种种攻攻击击的的侵侵入入探探测测器器（如如缓缓冲冲区区溢溢出出、秘秘密密端端口口扫扫描描、CGICGI攻攻击击、SMBSMB嗅嗅探探、拇拇纹纹采采集集尝尝试试等等）。Snort Snort 可以运行在可以运行在*nix/Win32*nix/Win32 平台上。平台上。目目的的：本本实实验验在在Win2000 Server环环境境安安装装与与配配置置入入侵侵检检测测系系统统（snort）。完完成成这这一一实实验验之之后后，将将能能够够：安安装装“snort”服务。使用服务。使用“snort”服务。服务。实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202357*第七章 信息系统安全检测技术 引引语语：在在这这一一实实验验中中，将将在在WindowsWindows平平台台上上建建立立入入侵侵检检测测系系统统（snortsnort）。SnortSnort是是一一个个轻轻便便的的网网络络入入侵侵检检测测系系统统，在在运运行行的的时时只只占占用用极极少少的的网网络络资资源源，对对原原有有网网络络性性能能影影响响很很小小。它它可可以以完完成成实实时时流流量量分分析析和和对对网网络络上上的的IPIP包包登登录录进进行行测测试试等等功功能能，能能完完成成协协议议分分析析，内内容容查查找找匹匹配配，是是用用来来探探测测多多种种攻攻击击的的侵侵入入探探测测器器（如如缓缓冲冲区区溢溢出出、秘秘密密端端口口扫扫描描、CGICGI攻攻击击、SMBSMB嗅嗅探探、拇拇纹纹采采集集尝尝试试等等）。Snort Snort 可以运行在可以运行在*nix/Win32*nix/Win32 平台上。平台上。目目的的：本本实实验验在在Win2000 Server环环境境安安装装与与配配置置入入侵侵检检测测系系统统（snort）。完完成成这这一一实实验验之之后后，将将能能够够：安安装装“snort”服务。使用服务。使用“snort”服务。服务。实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202358*第七章 信息系统安全检测技术 引引语语：在在这这一一实实验验中中，将将在在WindowsWindows平平台台上上建建立立入入侵侵检检测测系系统统（snortsnort）。SnortSnort是是一一个个轻轻便便的的网网络络入入侵侵检检测测系系统统，在在运运行行的的时时只只占占用用极极少少的的网网络络资资源源，对对原原有有网网络络性性能能影影响响很很小小。它它可可以以完完成成实实时时流流量量分分析析和和对对网网络络上上的的IPIP包包登登录录进进行行测测试试等等功功能能，能能完完成成协协议议分分析析，内内容容查查找找匹匹配配，是是用用来来探探测测多多种种攻攻击击的的侵侵入入探探测测器器（如如缓缓冲冲区区溢溢出出、秘秘密密端端口口扫扫描描、CGICGI攻攻击击、SMBSMB嗅嗅探探、拇拇纹纹采采集集尝尝试试等等）。Snort Snort 可以运行在可以运行在*nix/Win32*nix/Win32 平台上。平台上。目目的的：本本实实验验在在Win2000 Server环环境境安安装装与与配配置置入入侵侵检检测测系系统统（snort）。完完成成这这一一实实验验之之后后，将将能能够够：安安装装“snort”服务。使用服务。使用“snort”服务。服务。实验五：入侵检测系统实验五：入侵检测系统snortsnort配置配置 8/29/202359*