网络入侵与入侵检测ppt课件

单击此处添加标题,单击此处添加文本,第二级,第三级,第四级,第五级,*,*,课程内容,单击此处添加章节要点,单击此处添加章节要点,*,*,谢谢！,第9章 网络入侵与入侵检测,第9章 网络入侵与入侵检测,1,课程内容,网络入侵,入侵检测,常用入侵检测系统,入侵检测系统与防火墙联动技术,2,课程内容网络入侵2,2,9.1 网络入侵,9.1.1 入侵目的及行为分类,入侵按目的分类可分为渗透型、破坏型和跳板型。,3,9.1 网络入侵9.1.1 入侵目的及行为分类3,3,9.1 网络入侵,9.1.2 入侵步骤,踩点：进行风险勘查，确定目标,扫描：进行风险发掘，搜集情报,攻击：进行风险映射,隐藏身份、留后门,清除日志：风险拓展,扩大战果,4,9.1 网络入侵9.1.2 入侵步骤踩点：进行风险勘查，确定,4,9.2入侵检测,9.2.1入侵检测系统定义,入侵检测是指对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。而完成入侵检测功能的软件和硬件组合就是入侵检测系统。,5,9.2入侵检测9.2.1入侵检测系统定义5,5,9.2入侵检测,入侵检测原理框图,6,9.2入侵检测入侵检测原理框图 6,6,9.2入侵检测,所谓,入侵检测系统,就是执行入侵检测任务的硬件或软件产品。,入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。一般地，入侵检测系统需要解决两个问题：,如何充分并可靠地提取描述行为特征的数据；,如何根据特征数据，高效并准确地判定行为的性质。,7,9.2入侵检测所谓入侵检测系统就是执行入侵检测任务的硬件或,7,9.2入侵检测,入侵检测系统至少包括数据采集、入侵分析、响应处理三个组成部分,原始数据流,响应处理,安全知识库,入侵分析,数据存储,数据采集,8,9.2入侵检测入侵检测系统至少包括数据采集、入侵分析、响应,8,9.2入侵检测,9.2.2入侵检测的必要性,首先，入侵能力对于攻击者是一个强大的威镊力量，使得攻击者的攻击行为不得不冒着很大的被起诉的风险，从而使其可能望而却步。,第二，入侵检测系统可以防御防火墙不能处理的内部威胁。,第三，入侵检测系统的自动反应能力可以在攻击刚开始时就打断它，从而使后继的攻击难以继续。,第四，检测系统可以使系统安全管理员检查出何时安全保护功能运行不正常，并且在攻击者发现之前弥补这些缺陷。,第五，检测系统得到的信息有时可以使系统管理更加容易，使系统更加可靠。,第六，入侵检测系统的事件监测和攻击识别能力在其它方面也增强了系统的安全性。,9,9.2入侵检测9.2.2入侵检测的必要性9,9,9.2入侵检测,9.2.3入侵检测系统分类,基于网络的入侵检测系统（NIDS）,基于主机的入侵检测系统（HIDS）,基于异常的入侵检测系统,基于应用的入侵检测系统,混和型入侵检测系统,10,9.2入侵检测9.2.3入侵检测系统分类10,10,9.2入侵检测,9.2.4入侵检测系统的发展的一些方向,宽带高速网络的实时入侵检测技术,大规模分布式的检测技术,更先进的检测算法,标准化规范,11,9.2入侵检测9.2.4入侵检测系统的发展的一些方向 1,11,9.3常用入侵检测系统,9.3.1 IDS的硬件主要产品,1绿盟科技“冰之眼”IDS,12,9.3常用入侵检测系统 9.3.1 IDS的硬件主要产品,12,2联想网御IDS,13,2联想网御IDS13,13,3瑞星入侵检测系统RIDS-100,14,3瑞星入侵检测系统RIDS-10014,14,4McAfee IntruShield IDS,15,4McAfee IntruShield IDS 15,15,9.3常用入侵检测系统,9.3.2 IDS的主要软件产品,Snort,OSSEC HIDS,Fragroute/Fragrouter,BASE,Sguil,16,9.3常用入侵检测系统9.3.2 IDS的主要软件产品,16,9.3常用入侵检测系统,9.3.3 Snort应用,一个综合的Snort系统所需软件有 Windows 平台的Snort 、windows版本的抓包驱动WinPcap、windows版本的数据库服务器mysql、基于PHP的入侵检测数据库分析控制台ACID、用于为php服务的活动数据对象数据库 adodb（ Active 2Data Objects Data Base for PHP ）、Windows版 本 的apache WEB 服 务 器apache2、Windows版 本 的PHP脚本环境、支持php的图形库jpgraph等,17,9.3常用入侵检测系统9.3.3 Snort应用 17,17,winpcap,snort,Mysql,Adobe,Apache,PHP,acid,网络,jpgraph,18,winpcapsnortMysqlAdobeApachePH,18,上述软件可根据下列次序依次安装配置,1.安装 apache,指定安装目录 c:idsapache , 下载apache ，下载网址, 19,19,20,20,20,21,21,21,22,22,22,23,23,23,24,24,24,25,25,25,26,26,26,27,27,27,28,28,28,29,29,29,30,30,30,安装完成后，需测试按默认配置运行的网站界面，看Apache是否安装成功。打开IE浏览器，在IE地址栏打,http:/127.0.0.1,确认，如看到图9-21所示页面，表示Apache服务器已安装成功。,31,安装完成后，需测试按默认配置运行的网站界面，看Apache是,31,32,32,32,Apache服务器安装成功后，还需配置Apache服务器，如果不配置，安装目录下的Apache2htdocs文件夹就是网站的默认根目录，在里面放入文件就可以了。这里还是看一下配置过程。如图9-22所示，单击“开始”“所有程序” “Apache HTTP Server 2.0” “Configure Apache Server” “Edit the Apache httpd conf Configuration file”，打开配置文件,33,Apache服务器安装成功后，还需配置Apache服务器，如,33,Apache配置文件网站根目录配置,34,Apache配置文件网站根目录配置 34,34,2、安装 php,下载php，下载网址, php 35,35,查看解压缩后的文件夹C:idsPHP，找到“php.ini-dist”文件，将其重命名为“php.ini”，打开编辑,36,查看解压缩后的文件夹C:idsPHP，找到“php.in,36,37,37,37,需要说明的是，要选择加载的模块，需去掉前面的 “;”，功能就是使php能够直接调用其模块，比如访问mysql，去掉“;extension= php_mysql.dll”前的“;”，就表示要加载此模块，加载的越多，占用的资源也就越多。所有的模块文件都放在php解压缩目录的“ext”之下，前面的“;”没去掉的，是因为“ext”目录下默认没有此模块，加载会提示找不到文件而出错。比如在此还没有安装mysql，所以“;extension= php_mysql.dll” 前的“;”还不能去掉，安装完mysql后再加来重新配置“php.ini”文件,38,需要说明的是，要选择加载的模块，需去掉前面的 “;”，功能就,38,如果前面配置加载了其它模块，要指明模块的位置，否则重启Apache的时候会提示“找不到指定模块”的错误。简单的方法是，直接将php安装路径、以及php安装路径下ext路径指定到windows系统路径中。在“我的电脑”上单击右键，打开对话框“属性”，选择“高级”标签，单击【环境变量】，在“系统变量”下找到“Path”变量，选择，点击“编辑”，打开编辑系统变量对话框，将“c:idsPHP;c:idsPHPext”加到原有值的后面，如图9-29所示，全部确定。系统路径添加好后要重启电脑才能生效，可以现在重启，也可以在所有软件安装或配置好后重启。,39,如果前面配置加载了其它模块，要指明模块的位置，否则重启Apa,39,3将php以module方式与Apache相结合,安装php后，将php以module方式与Apache相结合，使php融入Apache，依前面讲述的方法打开Apache的配置文件，查找“LoadModule”，在找到的“LoadModule”后面添加“LoadModule php5_module c:/ids/PHP/php5apache2.dll”,指以module方式加载php，添加“PHPIniDir c:/ids/PHP”是指明php的配置文件php.ini的位置,40,3将php以module方式与Apache相结合40,40,41,41,41,测试结合是否成功。在C:idsApacheApache2htdocs 文件夹下编写 test.php 文件，内容为 。 打开浏览器输入,http:/lcoalhsot/test.php,，如果浏览到了 php 的信息则说明一切正常,42,测试结合是否成功。在C:idsApacheApach,42,43,43,43,4 安装 winpcap,在浏览器中输入,http:/www.winpcap.org/install/bin/WinPcap_4_0_2.exe，下载WinPcap_4_0_2.exe,文件。双击开始安装界面,安装完后，采取默认值即可。,44,4 安装 winpcap 44,44,5 安装 snort,下载“Snort_2_8_3_1_Installer.exe”文件，下载网址为,http:/www.snort.org/dl/binaries/win32。,双击“Snort_2_8_3_1_Installer.exe”，打开snort认证许可界面，指定安装路径为 c:idssnort 文件夹,45,5 安装 snort45,45,46,46,46,图9-42 snort安装成功界面,测试 snort 安装是否正确。运行“cmd“命令，打开cmd窗口 ，进入C:idssnortsnortbin路径，执行“snort.exeW”命令，如果安装 snort成功会出现一个可爱的小猪,47,图9-42 snort安装成功界面47,47,48,48,48,6安装 mysql,在网站, 打开下载的mysql安装文件“mysql-5.0.22-win32.zip”，双击解压缩，运行“setup.exe”,49,6安装 mysql 49,49,50,50,50,51,51,51,52,52,52,53,53,53,54,54,54,55,55,55,56,56,56,软件安装完成后，出现上界面，它提供了一个很好的功能，mysql配置向导，不用自己手动配置my.ini，这为很多非专业人士提供了方便。将 “Configure the Mysql Server now”勾选，点【Finish】结束软件的安装同时启动mysql配置向导,57,软件安装完成后，出现上界面，它提供了一个很好的功能，mysq,57,58,58,58,59,59,59,60,60,60,61,61,61,62,62,62,63,63,63,64,64,64,65,65,65,66,66,66,67,67,67,68,68,68,69,69,69,设置完毕后，会有图9-62界面出现，按【Finish】结束mysql的安装与配置。,如果不能“Start service”，先检查以前安装的mysql服务器是否彻底卸掉；如果确信在本次数据库安装前，上一次安装的数据库已卸载，再检查之前的密码是否有修改，如果依然有问题，将mysql安装目录下的data文件夹备份，然后彻底删除数据库，重新安装，重新安装后将安装生成的 data文件夹删除，备份的data文件夹移回来，再重启mysql服务。,70,设置完毕后，会有图9-62界面出现，按【Finish】结束m,70,7与Apache及php相结合,前面已讲过，Apache与php的结合，mysql与Apache及php相结合，基本是相似的。在php安装目录下，找到先前重命名并编辑过的 php.ini，把“;extension=php_mysql.dll”前的“;”去掉，加载mysql模块。保存，关闭。,71,7与Apache及php相结合71,71,8创建 snort 数据库的表,复制 c:idssnortschames 文件夹下的 create_mysql 文件到 c:idsmysqlbin 文件夹下 。执行“开始”“程序”“MySQL”“MySQL Server 5.0” “MySQL Commmand Line Client”，打开 mysql 的客户端,图9-63 打开mysql 的客户端,执行如下命令：,Createdatabasesnort;,Createdatabasesnort_archive;,Usesnort;,Sourcecreate_mysql;,Usesnort_archive;,Sourcecreate_mysql;,Grantallon*.*to“root”localhost”,72,8创建 snort 数据库的表 72,72,9.安装 adodb,下载adodb504.gz，在浏览器地址中输入, 文件夹下。,73,9.安装 adodb73,73,10安装 jgraph,下载jpgraph，下载地址,http:/www.aditus.nu/jpgraph/jpdownload.php,，解压缩 jpgraph 到 c:idsPHPjpgraph 文件夹下。,74,10安装 jgraph 74,74,11安装 acid,下载acid，下载地址, acid 到C:idsPHPjpgraph-1.26 文件夹下。在C:idsApacheApache2htdocsacid目录下，打开acid_conf.php 文件，修改 acid_conf.php 文件为以下内容，如图9-65所示：,$DBlib_path=c:idsPHPadodb5;,$DBtype=mysql;,$alert_dbname=snort;,$alert_host=localhost;,$alert_port=3306;,$alert_user=root;,$alert_password=66666666;,$archive_dbname=snort_archive;,$archive_host=localhost;,$archive_port=3306;,$archive_user=root;,$archive_password=66666666;,$ChartLib_path=c:idsPHP jpgraph-1.26src;,75,11安装 acid75,75,重启apache、mysql服务。 在浏览器中输入,http:/localhost/acid/acid_db_setup.php,，如果配置正确，会出现图,76,重启apache、mysql服务。 在浏览器中输入http,76,77,77,77,12解压缩 snort 规则包,登录网站,http:/www.snort.org,，注册，下载snort 规则压缩包，把压缩包内的所有文件解压缩到 c:idssnort 下。,至此，一个综合的Snort系统才算安装配置完成。但在安装过程中，是否还存在其它问题，还需对snort进行应用测试。,78,12解压缩 snort 规则包 78,78,13对snort测试检错,打开cmd窗口，输入命令C:idssnortbinsnort.execc:idssnortetcsnort.conf l c:idssnortlog d-eX -v,79,13对snort测试检错79,79,14查看统计数据,打开浏览器，输入, 80,80,81,81,81,15Snort的启动，停止和重启,启动 snort 入侵检测 ，用命令snort.execc:idssnortetcsnort.conf l c:idssnortlog d-eX -v手工启动Snort,82,15Snort的启动，停止和重启82,82,16Snort命令行选项,Snort有很多命令行选项，可以在启动Snort的时候根据情况选择,83,16Snort命令行选项83,83,9.4 入侵检测系统与防火墙联动技术,联动是指通过一种组合方式 ,将不同的安全技术进行整合 ,由其他安全技术弥补某一安全技术自身功能和性能的缺陷 ,以适应网络安全整体化、立体化的要求 。,84,9.4 入侵检测系统与防火墙联动技术联动是指通过一种组合方,84,9.5 实训,熟悉snort软件的安装配置及应用,实训目的,学会snort软件的安装配置，能够灵活运用snort软件的功能，进一步对snort软件检测到的各类数据能够分析。,实训环境,要求每人一台windows xp操作系统的计算机。,实训步骤,下载所需各软件。,按教材所给过程进行安装。,调试可能出现的各类问题。,测试检测网络，得到检测数据。,分析检测到的数据。,写出试验报告。,85,9.5 实训熟悉snort软件的安装配置及应用85,85,9.6 习题,入侵从目的上可分为哪几类？简述每类的特点。,入侵一般分为几步，所用工具有哪些？,什么是入侵检测，入侵检测的作用是什么？,说出至少三种入侵检测系统，并对其技术特点进行说明。,在windows系统下，一个综合的Snort系统所需软件有哪些？说明各软件的作用。,什么是联动？联动的基本原理是什么？,86,9.6 习题入侵从目的上可分为哪几类？简述每类的特点。86,86,