2024年3月31日发(作者:)

入侵检测系统实验

学习Windows系统下配置和使用入侵检测系统软件Snort

一、实验目的

.1、.通过实验深入理解入侵检测系统的原理和工作方式。

.2、.熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。

二、实验环境

..实验室所有机器安装了Windows 2000操作系统,并并附带Apache、php、mysql、

snort、adodb、acid、窘迫grapg、winpcap等软件的安装包。

三、实验原理

1、..入侵检测系统简介

..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行

分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认

为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而

提供对内部攻击、外部攻击和误操作的实时保护。

2、..入侵检测系统的分类

..入侵检测系统可分为主机型和网络型

..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过

其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护

的一般是所在的系统。

..网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂

模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系

统担负着保护整个网段的任务。

3、..入侵检测的实现技术

..可分为两类:一种基于标志(signature-based),另一种基于异常情况

(anomaly-based)。

..对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据

包的某些头信息。检测主要判别这类特征是

否在所收集到的数据中出现。此方法非常类似杀毒软件。

..而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、

内存利用率、文件校验和等,然后将系统运行时的

数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心

在于如何定义所谓的“正常”情况。