1防火墻、入侵檢測蘇京霞信息與電子學(xué)院信息安全與反抗技術(shù)試驗(yàn)室1/932主要內(nèi)容防火墻入侵檢測2/93防火墻33/93一、防火墻概述1.防火墻定義

防火墻是一個(gè)特殊網(wǎng)絡(luò)控制設(shè)施，它處于被保護(hù)網(wǎng)絡(luò)和其它網(wǎng)絡(luò)邊界，接收進(jìn)出被保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流，并依據(jù)防火墻所配置訪問策略進(jìn)行過濾或做出其它操作。4/93Internet基本防火墻示意圖正當(dāng)數(shù)據(jù)包正當(dāng)數(shù)據(jù)包防火墻非正當(dāng)數(shù)據(jù)包外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)5/932.防火墻功效(1)防火墻是網(wǎng)絡(luò)安全屏障一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提升一個(gè)內(nèi)部網(wǎng)絡(luò)安全性，并經(jīng)過過濾不安全服務(wù)而降低風(fēng)險(xiǎn)。因?yàn)橹挥薪?jīng)過精心選擇應(yīng)用協(xié)議才能經(jīng)過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻能夠保護(hù)網(wǎng)絡(luò)免受基于路由攻擊，如IP選項(xiàng)中源路由攻擊和ICMP重定向中重定向路徑。防火墻應(yīng)該能夠拒絕全部以上類型攻擊報(bào)文并通知防火墻管理員。

6/93(2)防火墻能夠強(qiáng)化網(wǎng)絡(luò)安全策略經(jīng)過以防火墻為中心安全方案配置，能將全部安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻集中安全管理更經(jīng)濟(jì)。比如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它身份認(rèn)證系統(tǒng)完全能夠無須分散在各個(gè)主機(jī)上，而集中在防火墻一身上。77/93(3)對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)防火墻能統(tǒng)計(jì)下全部經(jīng)過防火墻訪問，并對這些訪問作出日志統(tǒng)計(jì)，同時(shí)也能提供網(wǎng)絡(luò)使用情況統(tǒng)計(jì)數(shù)據(jù)。

當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊詳細(xì)信息。另外，搜集一個(gè)網(wǎng)絡(luò)使用和誤用情況也是非常主要。理由是能夠清楚防火墻是否能夠抵擋攻擊者探測和攻擊，而且清楚防火墻控制是否充分。88/93(4)預(yù)防內(nèi)部信息外泄經(jīng)過利用防火墻對內(nèi)部網(wǎng)絡(luò)劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成影響99/933.特征（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間全部網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻

這是防火墻所處網(wǎng)絡(luò)位置特征，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信唯一通道時(shí)，才能夠全方面、有效地保護(hù)內(nèi)部網(wǎng)絡(luò)不受侵害1010/93（2）只有符合安全策略數(shù)據(jù)流才能經(jīng)過防火墻

防火墻最基本功效是確保網(wǎng)絡(luò)流量正當(dāng)性，并在以前提下將網(wǎng)絡(luò)流量快速地從更主要鏈路轉(zhuǎn)發(fā)到另外鏈路上去。（3）防火墻本身應(yīng)含有非常強(qiáng)抗攻擊免疫力

防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻要面對黑客入侵，這就要求防火墻本身要含有非常強(qiáng)抗攻擊能力。1111/9312二、防火墻關(guān)鍵技術(shù)1.包過濾技術(shù)

包過濾技術(shù)就是經(jīng)過對各種網(wǎng)絡(luò)應(yīng)用、通信類型和端口使用來要求安全過濾規(guī)則。符合安全過濾規(guī)則數(shù)據(jù)包允許經(jīng)過，不符合安全規(guī)則數(shù)據(jù)包拒絕經(jīng)過。依據(jù)預(yù)先定義執(zhí)行統(tǒng)計(jì)該信息、發(fā)送報(bào)警信息給管理人員。

12/93包過濾技術(shù)主要是對數(shù)據(jù)包包頭各個(gè)字段進(jìn)行操作源IP地址目標(biāo)IP地址協(xié)議類型（TCP、UDP、ICMP）IP選項(xiàng)源、目標(biāo)端口數(shù)據(jù)包傳遞方向13/93靜態(tài)包過濾

靜態(tài)包過濾防火墻是依據(jù)流經(jīng)該設(shè)備數(shù)據(jù)包地址信息，來決定是否允許該數(shù)據(jù)包經(jīng)過。這種類型防火墻依據(jù)定義好過濾規(guī)則審查每個(gè)數(shù)據(jù)包，方便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包報(bào)頭信息進(jìn)行制訂。14簡單包過濾防火墻14/93包過濾技術(shù)優(yōu)點(diǎn)：（1）包過濾技術(shù)實(shí)現(xiàn)簡單、快速。經(jīng)典處理方案只需要在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間路由器上安裝過濾模塊即可。（2）包過濾技術(shù)實(shí)現(xiàn)對用戶是透明。用戶不需要改變自己網(wǎng)絡(luò)訪問行為模式，也不需要在主機(jī)上安裝任何客戶端軟件，更不用進(jìn)行任何培訓(xùn)。（3）包過濾技術(shù)檢驗(yàn)規(guī)則相對簡單，所以檢驗(yàn)操作耗時(shí)極短，執(zhí)行效率非常高，不會給用戶網(wǎng)絡(luò)性能帶來不利影響。1515/93包過濾技術(shù)存在問題：（1）包過濾技術(shù)過濾思想簡單，對信息處理能力有限。只能訪問包頭中部分信息，不能了解通信上下文，所以不能提供更安全網(wǎng)絡(luò)防護(hù)能力。（2）當(dāng)過濾規(guī)則增多時(shí)，對于過濾規(guī)則維護(hù)是一個(gè)非常困難問題。（3）包過濾技術(shù)控制層次較低，不能實(shí)現(xiàn)用戶級控制。尤其是不能實(shí)現(xiàn)對用戶正當(dāng)身份認(rèn)證及對冒用IP地址確實(shí)定1616/93動態(tài)包過濾

能夠動態(tài)依據(jù)實(shí)際應(yīng)用請求，自動生成或刪除對應(yīng)包過濾規(guī)則，而無需管理人員干預(yù)。這種類型防火墻采取動態(tài)設(shè)置包過濾規(guī)則方法，防止了靜態(tài)包過濾所含有問題。這種技術(shù)以后發(fā)展成為所謂包狀態(tài)監(jiān)測（StatefulInspection）技術(shù)。采取這種技術(shù)防火墻對經(jīng)過其建立每一個(gè)連接都進(jìn)行跟蹤，而且依據(jù)需要可動態(tài)地在過濾規(guī)則中改進(jìn)和擴(kuò)展1717/932.代理技術(shù)

代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（ApplicationGateway）防火墻。這種防火墻經(jīng)過一個(gè)代理（Proxy）技術(shù)參加到一個(gè)TCP連接全過程。從內(nèi)部發(fā)出數(shù)據(jù)包經(jīng)過這么防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而能夠到達(dá)隱藏內(nèi)部網(wǎng)結(jié)構(gòu)作用。這種類型防火墻被網(wǎng)絡(luò)安全教授和媒體公認(rèn)為是最安全防火墻。它關(guān)鍵技術(shù)就是代理服務(wù)器技術(shù)。1818/93代理服務(wù)器代理服務(wù)器，是指代表客戶處理在服務(wù)器連接請求程序。當(dāng)代理服務(wù)器得到一個(gè)客戶連接意圖時(shí)，它們將核實(shí)客戶請求，并經(jīng)過特定安全化Proxy應(yīng)用程序處理連接請求，將處理后請求傳遞到真實(shí)服務(wù)器上，然后接收服務(wù)器應(yīng)答，并做深入處理后，將回復(fù)交給發(fā)出請求最終客戶。1919/93代理服務(wù)作用

代理類型防火墻最突出優(yōu)點(diǎn)就是安全。因?yàn)槊恳粋€(gè)內(nèi)外網(wǎng)絡(luò)之間連接都要經(jīng)過Proxy介入和轉(zhuǎn)換，經(jīng)過專門為特定服務(wù)如Http編寫安全化應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請求和應(yīng)答，沒有給內(nèi)外網(wǎng)絡(luò)計(jì)算機(jī)以任何直接會話機(jī)會，從而防止了入侵者使用數(shù)據(jù)驅(qū)動類型攻擊方式入侵內(nèi)部網(wǎng)。2020/93傳統(tǒng)代理型防火墻21傳統(tǒng)代理型防火墻21/931.當(dāng)外部網(wǎng)用戶訪問內(nèi)部網(wǎng)某個(gè)應(yīng)用服務(wù)器時(shí)，實(shí)際上是向運(yùn)行在防火墻上代理服務(wù)軟件提出請求，建立連接2.由代理服務(wù)器代表其向要訪問應(yīng)用系統(tǒng)提出請求，建立連接。3.應(yīng)用系統(tǒng)給予外部網(wǎng)用戶以響應(yīng)。4.代理服務(wù)器給予外部網(wǎng)用戶響應(yīng)。22代理服務(wù)工作過程22/93代理服務(wù)器工作過程23Internet內(nèi)部網(wǎng)路由器1.請求代理服務(wù)器2.請求4.回應(yīng)3.回應(yīng)23/93代理服務(wù)器功效:1.連接Internet與Internet充當(dāng)防火墻。

因?yàn)槿績?nèi)部網(wǎng)用戶經(jīng)過代理服務(wù)器訪問外界時(shí)，映射為一個(gè)IP地址，所以外界不能直接訪問到內(nèi)部，但能夠設(shè)置IP地址過濾，限制內(nèi)部網(wǎng)對外部訪問權(quán)限。另外，兩個(gè)沒有互聯(lián)內(nèi)部網(wǎng)，也能夠經(jīng)過第三方代理服務(wù)器進(jìn)行互聯(lián)來實(shí)現(xiàn)信息交換。2424/932.實(shí)現(xiàn)本身IP訪問限制

因?yàn)槿坑脩魧ν庵徽加靡粋€(gè)IP，所以無須租用過多IP地址，降低網(wǎng)絡(luò)維護(hù)成本。這么局域網(wǎng)內(nèi)許多機(jī)器，能夠經(jīng)過內(nèi)網(wǎng)一臺代理服務(wù)器連接到外網(wǎng)。不利一面，如許多網(wǎng)絡(luò)黑客經(jīng)過這種隱藏自己真實(shí)IP地址等信息。3.提升訪問速度

本身帶寬較小，經(jīng)過帶寬較大代理與目標(biāo)主連接。2525/934.訪問一些不能直接訪問網(wǎng)站

互聯(lián)網(wǎng)上有許多開放代理服務(wù)器，客戶在訪問權(quán)限受到限制時(shí)，剛好客戶訪問范圍之內(nèi)，而這些代理服務(wù)器訪問權(quán)限是不受限制，則客戶經(jīng)過代理服務(wù)器訪問目標(biāo)網(wǎng)站就成為可能。5.安全性得到提升2626/93布署防火墻

1.屏蔽路由器internet策略來決定轉(zhuǎn)發(fā)或阻止數(shù)據(jù)包屏蔽路由器內(nèi)部網(wǎng)絡(luò)屏蔽路由器作為內(nèi)外連接唯一通道，要求全部報(bào)文都必須在此經(jīng)過檢驗(yàn)。路由器上安裝基于IP層報(bào)文過濾軟件，實(shí)現(xiàn)報(bào)文過濾功效。27/93282.雙宿主/多宿主堡壘主機(jī)多端口主機(jī)內(nèi)部網(wǎng)絡(luò)internet它是一個(gè)非常簡單防火墻模式，經(jīng)過在堡壘主機(jī)上安裝有配置網(wǎng)絡(luò)控制軟件來實(shí)現(xiàn)。堡壘主機(jī)同時(shí)連接著內(nèi)、外部網(wǎng)絡(luò)，擔(dān)當(dāng)起全部網(wǎng)絡(luò)安全維護(hù)責(zé)任。28/93293.屏蔽主機(jī)

在路由器后面增加一個(gè)用于安全控制計(jì)算機(jī)，充當(dāng)堡壘主機(jī)，這就是“屏蔽主機(jī)防火墻”。

這種設(shè)計(jì)采取屏蔽路由器和堡壘主機(jī)雙重安全設(shè)施，全部進(jìn)出數(shù)據(jù)都要經(jīng)過屏蔽路由器幫堡壘主機(jī)，確保了網(wǎng)絡(luò)級和應(yīng)用級安全。

路由器進(jìn)行包過濾，堡壘主要進(jìn)行應(yīng)用安全控制。內(nèi)部網(wǎng)Internet包過濾路由器堡壘主機(jī)29/93試驗(yàn)一Windows自帶防火墻

在WindowsXP系統(tǒng)中，防火墻建立在用戶計(jì)算機(jī)與因特網(wǎng)之間，它能夠讓用戶請求數(shù)據(jù)經(jīng)過，而妨礙沒有請求數(shù)據(jù)包，是一個(gè)基于包防火墻。

對WindowsXP系統(tǒng)自帶防火墻進(jìn)行設(shè)置詳細(xì)操作步驟以下：3030/93Step1：在“控制面板”窗口中雙擊“Windows防火墻”圖標(biāo)，即可開啟Windows防火墻主程序。3131/93Step2:在“Windows防火墻”對話框中，選擇“常規(guī)”選項(xiàng)卡，勾選“不允許例外”復(fù)選框，Windows系統(tǒng)防火墻將阻止全部連接到當(dāng)?shù)赜?jì)算機(jī)請求，甚至包含請求來自“例外”選項(xiàng)卡上列出程序或服務(wù)。3232/93Step3：在“Windows防火墻”對話框中切換到“例外”選項(xiàng)卡，在這可以添加程序和端口例外，以允許特定傳入通信，并可認(rèn)為每個(gè)例外設(shè)置范圍。如果開放某個(gè)端口，則對這個(gè)端口訪問將被允許。端口或服務(wù)可以在例外選項(xiàng)中設(shè)置或經(jīng)過指定指定應(yīng)用程序方法設(shè)置，如果開放端口服務(wù)不是一個(gè)應(yīng)用，則可以設(shè)置開放協(xié)議和端口號。3333/9334“例外設(shè)置”選項(xiàng)卡34/93Step4：在“Windows防火墻”對話框中，選擇“高級”選項(xiàng)卡，在“安全日志統(tǒng)計(jì)選項(xiàng)組”中單擊設(shè)置按鈕，即打開“日志設(shè)置”對話框，在其中能夠創(chuàng)建用于觀察計(jì)算機(jī)成功數(shù)據(jù)連接和丟棄數(shù)據(jù)包，從而分析計(jì)算機(jī)安全情況，還能夠單擊“另存為”按鈕，瀏覽選擇日志文件保留路徑。3535/9336“高級”選項(xiàng)卡“日志設(shè)置”對話框36/93Step5：在ICMP選項(xiàng)組中單擊“設(shè)置”按鈕，在打開“ICMP設(shè)置”對話框中選擇是否勾選各個(gè)選項(xiàng)，能夠確保計(jì)算機(jī)一些信息不會對外泄露，若取消勾選“允許傳入回顯請求”復(fù)選框，則需要先在“描述”選項(xiàng)組中能夠看到這個(gè)選項(xiàng)介紹，此時(shí)把445端口關(guān)掉之后，即可取消勾選此復(fù)選框。3737/9338“ICMP設(shè)置”對話框38/93試驗(yàn)二瑞星防火墻

3939/9340瑞星防火墻----工作狀態(tài)40/9341瑞星防火墻----系統(tǒng)信息—進(jìn)程信息41/9342瑞星防火墻----系統(tǒng)信息—網(wǎng)絡(luò)連接42/9343瑞星防火墻--訪問控制—程序規(guī)則43/9344瑞星防火墻--訪問控制—模塊規(guī)則44/9345瑞星防火墻--訪問控制—選項(xiàng)45/9346瑞星防火墻—查看日志46/9347試驗(yàn)三代理服務(wù)器Windows代理服務(wù)器設(shè)置“代理獵手”使用實(shí)踐47/93481.代理服務(wù)器設(shè)置Step1：在IE瀏覽器中選擇“工具”→“Internet選項(xiàng)”命令，打開“Internet選項(xiàng)”對話框。48/93Step2：在“連接”選項(xiàng)卡中，單擊“局域網(wǎng)設(shè)置”按鈕，打開“局域網(wǎng)設(shè)置”對話框。49/93

Step3:勾選“為LAN使用代理服務(wù)器”復(fù)選框，并填入代理服務(wù)器地址和端口。5050/932.

“代理獵手”使用實(shí)踐

無償代理服務(wù)器地址普通不公開，需要用戶在網(wǎng)絡(luò)上進(jìn)行搜索得到，現(xiàn)在也有不少搜索無償代理服務(wù)器軟件，其中以國產(chǎn)無償代理服務(wù)器搜索軟件—代理獵手最為優(yōu)異。

它將代理搜索和驗(yàn)證功效集合于一體，并提供有如管理、調(diào)度代理等新功效。最大特點(diǎn)是搜索速度快，最快能夠在十幾分鐘內(nèi)搜索完整個(gè)B類地址65536個(gè)地址。

5151/93Step1：設(shè)置參數(shù)

選擇“系統(tǒng)”→“參數(shù)設(shè)置”命令，即可打開“運(yùn)行參數(shù)設(shè)置”對話框。5252/93Step2：搜索驗(yàn)證設(shè)置在“搜索驗(yàn)證設(shè)置”選項(xiàng)卡中，勾選“啟用先ping后連機(jī)制”復(fù)選框，其它選取默認(rèn)值。假如網(wǎng)絡(luò)帶寬無法承受那么多數(shù)量并發(fā)連接，請對應(yīng)把并發(fā)參數(shù)設(shè)置小一點(diǎn)比如能夠設(shè)置到50之類。5353/9354設(shè)置搜索參數(shù)54/93Step3：設(shè)置“驗(yàn)證數(shù)據(jù)設(shè)置”選項(xiàng)卡，能夠添加、修改和刪除“驗(yàn)證資源地址”及其參數(shù)。55添加驗(yàn)證參數(shù)55/93添加驗(yàn)證參數(shù)我們普通選取谷歌，sina等作為驗(yàn)證數(shù)據(jù)這里我們使用新浪。（1）選“添加”按鈕，在對話框中填入對應(yīng)信息后，選“獲取”，進(jìn)入“獲取網(wǎng)絡(luò)資源”對話框驗(yàn)證名：新浪驗(yàn)證類型：特征字符驗(yàn)證地址：

（2）在“獲取網(wǎng)絡(luò)資源”對話框，選“獲取”，結(jié)果就是正在接收新浪數(shù)據(jù)了5656/935757/93（3）選特征碼

在上下兩個(gè)框中下面那框找到字符“新浪首頁”,這里我們把新浪首頁四個(gè)字復(fù)制，然后按下確定581.選特征碼2.確定58/93添加上驗(yàn)證參數(shù)5959/93Step4：“代理高度設(shè)置”選項(xiàng)卡，或以設(shè)置代理高度參數(shù)，以及代理高度范圍等選項(xiàng)。Step5：“其它設(shè)置”選項(xiàng)卡，能夠設(shè)置撥號、搜索驗(yàn)證歷史、運(yùn)行參數(shù)等選項(xiàng)。6060/93Step6：添加搜索任務(wù)。在“搜索任務(wù)”選項(xiàng)卡中按“添加任務(wù)”按鈕。61搜索任務(wù)選項(xiàng)添加任務(wù)61/93Step7：選服務(wù)類型：搜索網(wǎng)絡(luò)范圍Step8：設(shè)置地址范圍：選“添加”按鈕，打開“添加搜索IP范圍”對話框，填入要搜索起始地址6262/93Step9：添加端口和協(xié)議6363/93Step10：設(shè)置完成后，按“開始”按鍵，開始進(jìn)行代理服務(wù)器地址。64形如搜索64/93搜索結(jié)果：56565/93入侵檢測6666/9367一.入侵檢測概述1.入侵檢測概念

入侵檢測是對計(jì)算機(jī)和網(wǎng)絡(luò)資源上惡意使用行為進(jìn)行識別和響應(yīng)。它經(jīng)過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)搜集信息，并對其進(jìn)行分析，從中發(fā)覺網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略行為和被攻擊跡象。

進(jìn)行入侵檢測軟件與硬件組合稱為入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）。入侵檢測系統(tǒng)需要更多智能，它必須能將得到數(shù)據(jù)進(jìn)行分析，并得出有用結(jié)果。67/93682.入侵檢測系統(tǒng)作用（1）經(jīng)過檢測和統(tǒng)計(jì)網(wǎng)絡(luò)中安全違規(guī)行為，處罰網(wǎng)絡(luò)犯罪，預(yù)防網(wǎng)絡(luò)入侵事件發(fā)生。（2）檢測其它安全辦法未能阻止攻擊或安全違規(guī)行為。（3）檢測黑客在攻擊前探測行為，預(yù)先給管理員發(fā)出警報(bào)。（4）匯報(bào)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)中存在安全威脅。（5）提供相關(guān)攻擊信息，幫助管理員診療網(wǎng)絡(luò)中存在安全弱點(diǎn)，利于其進(jìn)行修補(bǔ)。（6）在大型、復(fù)雜計(jì)算機(jī)網(wǎng)絡(luò)中布置入侵檢測系統(tǒng)，能夠顯著提升網(wǎng)絡(luò)安全管理質(zhì)量。68/93693.入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）主工分為4個(gè)階段：（1）數(shù)據(jù)搜集：數(shù)據(jù)搜集是入侵檢測基礎(chǔ)，經(jīng)過不一樣路徑搜集數(shù)據(jù)，需要采取不一樣方法進(jìn)行分析。當(dāng)前數(shù)據(jù)主要有主機(jī)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序數(shù)據(jù)、防火墻日志等。（2）數(shù)據(jù)處理：數(shù)據(jù)搜集過程中得到原始數(shù)據(jù)量普通非常大，而且還存在噪聲。為了進(jìn)行全方面、深入分析，需要從去除冗余、噪聲，而且進(jìn)行格式化及標(biāo)準(zhǔn)化處理。69/93（3）數(shù)據(jù)分析：

采取統(tǒng)計(jì)、智能算法等方法分析以過初步處理數(shù)據(jù)，檢驗(yàn)數(shù)據(jù)是否正常，或顯示存在入侵。（4）響應(yīng)處理：

當(dāng)發(fā)覺入侵時(shí)，采取辦法進(jìn)行防護(hù)、保留入侵證據(jù)并通知管理員。慣用辦法包含切斷網(wǎng)絡(luò)連接、統(tǒng)計(jì)日志、經(jīng)過電子郵件或電話通知管理員等。7070/93714.入侵檢測系統(tǒng)基本工作模式（1）從系統(tǒng)不一樣步驟搜集信息。（2）分析該信息，試圖尋找入侵活動特征（3）自動對檢測到行為做出響應(yīng)（4）統(tǒng)計(jì)并匯報(bào)檢測過程結(jié)果。包系統(tǒng)日志系頂替異常入侵檢測誤用入侵檢測原始數(shù)據(jù)檢測原理報(bào)警報(bào)警并采取對應(yīng)辦法實(shí)時(shí)檢測周期性檢測入侵檢測系統(tǒng)基本工作模式71/93725.入侵檢測系統(tǒng)分類

入侵檢測系統(tǒng)能夠按不一樣方法進(jìn)行分類，它們包含體系結(jié)構(gòu)、同時(shí)性、數(shù)據(jù)起源、檢測技術(shù)、響應(yīng)方式、時(shí)效性等分類方法其中，按檢測技術(shù)、數(shù)據(jù)起源、體系結(jié)構(gòu)及時(shí)效性進(jìn)行分類是應(yīng)用最多分類方法

72/9373入侵檢測系統(tǒng)分類集中式IDS等級式IDS分布式IDS實(shí)時(shí)連續(xù)式IDS間隔批處理IDS基于主機(jī)IDS基于網(wǎng)絡(luò)IDS混合式IDS文件完整性檢驗(yàn)式IDS異常檢測式IDS協(xié)議分析式IDS聯(lián)機(jī)分析式IDS脫機(jī)分析式IDS誤用檢測式IDS體系結(jié)構(gòu)同時(shí)性數(shù)據(jù)起源檢測技術(shù)時(shí)效性入侵檢測系統(tǒng)（IDS）73/93二、Snort入侵檢測系統(tǒng)Snort是一個(gè)輕量級網(wǎng)絡(luò)入侵檢測系統(tǒng)。它含有實(shí)時(shí)數(shù)據(jù)流量分析和統(tǒng)計(jì)IP網(wǎng)絡(luò)數(shù)據(jù)包能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索/匹配。7474/931.Snort入侵檢測特點(diǎn)（1）Snort代碼簡練，功效強(qiáng)大，可移植性好，跨平臺性能極佳。（2）Snort含有實(shí)時(shí)流量分析和統(tǒng)計(jì)IP網(wǎng)絡(luò)數(shù)據(jù)包能力。能夠快速地檢測網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出警報(bào)。（3）Snort能夠進(jìn)行協(xié)議分析、內(nèi)容搜索與匹配。能夠分析協(xié)議有TCP、UDP和ICMP，能夠檢測各種方式攻擊和探測。（4）Snort日志格式既能夠是二進(jìn)制，也能夠ASCII碼形式，更便于用戶查看。7575/93762.Snor工作模式

Snort有3種工作模式：嗅探器、包統(tǒng)計(jì)器和網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式：Snort僅能從網(wǎng)絡(luò)上讀取包，作為連續(xù)不停流顯示在終端上。包統(tǒng)計(jì)器模式：Snort把包統(tǒng)計(jì)到硬盤上。網(wǎng)絡(luò)入侵檢測系統(tǒng)模式：是可配置；能夠讓Snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義一些規(guī)則，并依據(jù)檢測結(jié)果采取一定動作。76/933.系統(tǒng)組成（1）數(shù)據(jù)包捕捉和解析子系統(tǒng)數(shù)據(jù)包捕捉和解析子系統(tǒng)功效是：捕捉網(wǎng)絡(luò)傳輸數(shù)據(jù)，并按照TCP/IP協(xié)議不一樣層次將數(shù)據(jù)包進(jìn)行解析。網(wǎng)絡(luò)數(shù)據(jù)采集與解析關(guān)鍵問題是要確保較高速度和較低丟包率。

當(dāng)前，Snort能夠處理以太網(wǎng)、令牌環(huán)等各種鏈路類型包。7777/93（2）檢測引擎

檢測引擎是入侵檢測實(shí)現(xiàn)關(guān)鍵，基本要求是準(zhǔn)確和快速。

準(zhǔn)確：主要取決于對入侵行為特征碼提煉是否準(zhǔn)確以及規(guī)則撰寫是否簡練實(shí)用。

快速：主要取決于引擎組織結(jié)構(gòu)，如是否能夠快速地進(jìn)行規(guī)則匹配。7878/93（3）日志及報(bào)警子系統(tǒng)

日志及報(bào)警子系統(tǒng)能夠在檢測到入侵行為同時(shí)及時(shí)統(tǒng)計(jì)和報(bào)警。Snort有一個(gè)數(shù)據(jù)包統(tǒng)計(jì)器，它提供了將數(shù)據(jù)包信息進(jìn)行壓縮從而實(shí)現(xiàn)快速報(bào)警功效。它報(bào)警信息發(fā)往系統(tǒng)日志，也能夠用兩種格式統(tǒng)計(jì)到報(bào)警文件中去。7979/93（4）規(guī)則

Snort入侵檢測規(guī)則是完全開放，能夠經(jīng)過研究Snort規(guī)則，針對自己網(wǎng)絡(luò)系統(tǒng)，設(shè)計(jì)更適合自己入侵檢測規(guī)則。 Snort把規(guī)則分為兩個(gè)邏輯部分規(guī)則頭：包含規(guī)則操作、協(xié)議、源和目標(biāo)IP地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息。規(guī)則選項(xiàng)：包含報(bào)警消息內(nèi)容和檢驗(yàn)包詳細(xì)部分。8080/93規(guī)則頭

包含規(guī)則操作、協(xié)議、源和目標(biāo)IP地址與網(wǎng)絡(luò)掩碼，以及源和目標(biāo)端口信息規(guī)則操作：（五種）alert：使用選擇報(bào)警方法生成一個(gè)警報(bào)，然后統(tǒng)計(jì)（log）這個(gè)包。log：統(tǒng)計(jì)這個(gè)包pass：丟棄（忽略）這個(gè)包activate:報(bào)警而且激活另一條dynamic規(guī)則dynamic：保持空閑直到被一條Activatef規(guī)則規(guī)則協(xié)議：TCP、UDP、IP、ICMP

8181/93規(guī)則選項(xiàng)：

規(guī)則選項(xiàng)組成了Snort入侵檢測引擎關(guān)鍵，特點(diǎn)是易用、強(qiáng)大、靈活。Snort規(guī)則選項(xiàng)