河南中医药大学：《信息安全网络与网络安全》课程教学资源（实验指导）第六讲 入侵检测实验——基于虚拟蜜网的网络攻防实验

网络安全实验教程

网络安全实验教程

第六讲 入侵检测实验

第六讲 入侵检测实验

目录 61入侵检测原理 62入侵检测实验 63 Snort扩展实验 6.4基于虚拟蜜网的网络攻防实验 6.5工控入侵检测实验

目录 6.1 入侵检测原理 6.2 入侵检测实验 6.3 Snort扩展实验 6.4 基于虚拟蜜网的网络攻防实验 6.5 工控入侵检测实验

目录 61入侵检测原理 62入侵检测实验 63 Snort扩展实验 6.4基于虚拟蜜网的网络攻防实验 6.5工控入侵检测实验

目录 6.1 入侵检测原理 6.2 入侵检测实验 6.3 Snort扩展实验 6.4 基于虚拟蜜网的网络攻防实验 6.5 工控入侵检测实验

6.1.1入侵检测步骤 6.1.2检测技术特点 目录 6.1 6.2 6.1.3 Snort简介 6.3- 6.1.4蜜网简介 ◆6.1.5工业信息安全简介

6.1.1 入侵检测步骤 6.1.2 检测技术特点 目录 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－ 6.1.3 Snort简介 6.1.4 蜜网简介 6.1.5 工业信息安全简介

61.1入侵检测步骤 入侵检测一般分为两个步骤:信息收 集和数据分析。 入侵检测的第一步是信息收集,内容 包括系统、网络、数据及用户活动的 6.1 状态和行为。入侵检测利用的信息 6.2 般来自以下四个方面:系统日志、目 录以及文件中的异常改变、程序执行 6.3- 中的异常行为和物理形式的入侵信息

6.1.1入侵检测步骤 入侵检测一般分为两个步骤：信息收 集和数据分析。 入侵检测的第一步是信息收集，内容 包括系统、网络、数据及用户活动的 状态和行为。入侵检测利用的信息一 般来自以下四个方面：系统日志、目 录以及文件中的异常改变、程序执行 中的异常行为和物理形式的入侵信息。 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－

61.2检测技术特点 在使用入侵检测技术时,应该注意具有以下技术特点的应用要根据具体 情况进行选择 固定时间间隔 1.信息收集分析时间 6.1 实时收集分析 6.2 签名分析 6.3- 2.采用的分析类型 统计分析 完整性分析 3.对攻击和误用的反应 4.管理和安装

6.1.2检测技术特点 在使用入侵检测技术时，应该注意具有以下技术特点的应用要根据具体 情况进行选择： － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－ 1．信息收集分析时间 固定时间间隔 实时收集分析 2．采用的分析类型 签名分析 统计分析 完整性分析 3．对攻击和误用的反应 4．管理和安装

613 Snort简介 snot是 Martin roesch等人开发的一种C语言编写的开放源码的入侵检测系统。 Martin roesch把 snort定位为一个轻量级的、跨平台、支持多操作系统的入 侵检测系统。它具有实时数据流量分析和P数据包日志分析的能力,具有 跨平台特征,能够进行协议分析和对内容的搜索/匹配。它能够检测不同的 6.1 攻击行为,如缓冲区溢出、端口扫描、DoS攻击等,并进行实时报警。 6.2 数据包解码器 6.3 Snort 检测引 日志与报警系统

6.1.3Snort简介 Snort是Martin Roesch等人开发的一种C语言编写的开放源码的入侵检测系统。 Martin Roesch把snort定位为一个轻量级的、跨平台、支持多操作系统的入 侵检测系统。它具有实时数据流量分析和IP数据包日志分析的能力，具有 跨平台特征，能够进行协议分析和对内容的搜索/匹配。它能够检测不同的 攻击行为，如缓冲区溢出、端口扫描、DoS攻击等，并进行实时报警。 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－ Snort 数据包解码器 检测引擎 日志与报警系统

613 Snort简介 snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探 器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数 据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的, 而且是可配置的。可以让 snort分析网络数据流以匹配用户定义的一些规则, 6.1 并根据检测结果采取一定的动作。 数据包捕获器 6.2 Lib/winpcap 数据包解码器 Decoder 6.3- 预处理器 Reprocessor 检测引擎 Detection Engine 维规则链表匹配 输出插件 Snort程序流程图

6.1.3Snort简介 snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探 器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数 据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的， 而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则， 并根据检测结果采取一定的动作。 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－ 数据包捕获器 Lib/Winpcap 数据包解码器 Decoder 预处理器 Oreprocessor 检测引擎 Detection Engine 输出插件 Output plug 二维规则链表匹配 Snort程序流程图

614蜜网简介 蜜罐技术本质上是一种对攻击者进行欺骗 的技术,通过对攻击者行为的诱捕,安全◇ 人员及时了解攻击者的攻击方法及工具,②— 以便能及时预警 一 6.1 蜜网是在蜜罐技术上逐步发展起来的一个 图3原始网络拓扑结构 新概念,又可称为诱捕网络。蜜网技术是 Fig 3 The original network topology 6.2 由蜜网项目组( The honeynet project)提 6.3- 出并倡导的由真实主机、操作系统、网络 服务和应用程序构成的网络体系框架,结 合了一系列数据控制、捕获和分析工具, 图4采用蜜罐技术的网络拓扑结构 使得安全研究人员能够更好地在一个高度 可控的环境中了解 :Internet的安全威胁

6.1.4蜜网简介 蜜罐技术本质上是一种对攻击者进行欺骗 的技术，通过对攻击者行为的诱捕，安全 人员及时了解攻击者的攻击方法及工具， 以便能及时预警。 蜜网是在蜜罐技术上逐步发展起来的一个 新概念，又可称为诱捕网络。蜜网技术是 由蜜网项目组（The Honeynet Project）提 出并倡导的由真实主机、操作系统、网络 服务和应用程序构成的网络体系框架，结 合了一系列数据控制、捕获和分析工具， 使得安全研究人员能够更好地在一个高度 可控的环境中了解Internet的安全威胁。 － 6.1－ － 6.2－ － 6.3－ － 6.4－ － 6.5－