第八單元

入侵檢測(cè)學(xué)習(xí)目標(biāo)掌握入侵檢測(cè)系統(tǒng)的概念了解入侵檢測(cè)系統(tǒng)的作用及原理區(qū)分入侵檢測(cè)系統(tǒng)和自動(dòng)掃描程序描述網(wǎng)絡(luò)級(jí)入侵檢測(cè)與主機(jī)級(jí)入侵檢測(cè)系統(tǒng)的不同列舉入侵檢測(cè)系統(tǒng)中使用的元素掌握入侵檢測(cè)的規(guī)那么、動(dòng)作與行為掌握入侵檢測(cè)軟件的選購(gòu)與使用入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)----通過(guò)對(duì)網(wǎng)絡(luò)行為、平安日志或?qū)徍藬?shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作和分析，檢測(cè)到對(duì)系統(tǒng)的闖入或闖入的企圖。

入侵檢測(cè)系統(tǒng)的概念入侵檢測(cè)系統(tǒng)IDS與掃描器systemscanne區(qū)別systemscanner〔系統(tǒng)掃描器〕是根據(jù)攻擊特征數(shù)據(jù)庫(kù)來(lái)掃描系統(tǒng)漏洞的。systemscanner更關(guān)注配置上的漏洞而不是當(dāng)前進(jìn)出主機(jī)的流量，有點(diǎn)類似殺毒軟件，需要對(duì)已有漏洞分析后找到檢測(cè)方法并編寫(xiě)檢測(cè)規(guī)那么。入侵檢測(cè)系統(tǒng)IDS掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)定義好的規(guī)那么來(lái)過(guò)濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量，提供實(shí)時(shí)警報(bào)。入侵檢測(cè)系統(tǒng)IDS是對(duì)現(xiàn)有系統(tǒng)進(jìn)行的動(dòng)態(tài)檢測(cè)。入侵檢測(cè)系統(tǒng)的主要功能檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)提供報(bào)警和預(yù)防防范黑客入侵核查系統(tǒng)配置和漏洞評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識(shí)別的攻擊行為統(tǒng)計(jì)分析異常行為記錄各種網(wǎng)絡(luò)活動(dòng)和事件操作系統(tǒng)日志管理，并識(shí)別違反平安策略的用戶活動(dòng)入侵檢測(cè)的分類管理者與代理的通信建立一個(gè)有效的入侵檢測(cè)體系安裝IDS需注意的問(wèn)題使用IDS應(yīng)注意的問(wèn)題充分發(fā)揮和利用IDS定制監(jiān)控反響改正創(chuàng)立和配置IDS規(guī)那么必須為IDS建立規(guī)那么編輯已有的規(guī)那么并增加新的規(guī)那么來(lái)為網(wǎng)絡(luò)提供最正確的保護(hù)。規(guī)那么只有兩大類：網(wǎng)絡(luò)異常網(wǎng)絡(luò)誤用企業(yè)級(jí)的IDS通常可以實(shí)施上百條規(guī)那么IDS的動(dòng)作與行為

定義規(guī)那么的元素需要保護(hù)的主機(jī)需要做日志記錄和禁止的主機(jī)實(shí)施策略的時(shí)間段事件的描述對(duì)發(fā)生的事件如何反響IDS主動(dòng)審核和被動(dòng)審核審核分被動(dòng)型和主動(dòng)型主動(dòng)審核被動(dòng)審核入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法有：特征檢測(cè)統(tǒng)計(jì)檢測(cè)專家系統(tǒng)文件完整性檢查入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法特征檢測(cè)特征檢測(cè)對(duì)的攻擊或入侵的方式做出正確性的描述，形成相應(yīng)的事件模式檢測(cè)方法上與計(jì)算機(jī)病毒的檢測(cè)方式類似應(yīng)用廣泛預(yù)報(bào)檢測(cè)的準(zhǔn)確率較高入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法統(tǒng)計(jì)檢測(cè)統(tǒng)計(jì)模型常為異常檢測(cè)在統(tǒng)計(jì)模型中常用的測(cè)量參數(shù)包括：審核事件的數(shù)量間隔時(shí)間資源消耗情況常用的入侵檢測(cè)5種統(tǒng)計(jì)模型為：

操作模型方差多元模型馬爾柯夫過(guò)程模型時(shí)間序列分析入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法專家系統(tǒng)專家系統(tǒng)是基于一套由專家經(jīng)驗(yàn)事先定義的規(guī)那么的推理系統(tǒng)。專家系統(tǒng)的建立依賴于知識(shí)庫(kù)的完備性，知識(shí)庫(kù)的完備性又取決于審核記錄的完備性和實(shí)時(shí)性。專家系統(tǒng)對(duì)系統(tǒng)的適應(yīng)性比較強(qiáng)，可以較靈活地適應(yīng)廣譜的平安策略和檢測(cè)需求。入侵檢測(cè)系統(tǒng)常用的檢測(cè)方法文件完整性檢查文件完整性檢查是指系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化的情況文件完整性檢查系統(tǒng)的優(yōu)點(diǎn)文件完整性檢查系統(tǒng)的弱點(diǎn)基于內(nèi)核的入侵檢測(cè)系統(tǒng)〔LIDS〕什么是LIDS基于Linux內(nèi)核的入侵檢測(cè)和預(yù)防系統(tǒng)

LIDS的三點(diǎn)特性入侵防護(hù)入侵監(jiān)測(cè)入侵響應(yīng)基于內(nèi)核的入侵檢測(cè)系統(tǒng)〔LIDS〕LIDS文檔工程安裝LIDS下載、安裝和配置LIDS補(bǔ)丁和相關(guān)正式的Linux內(nèi)核在Linux系統(tǒng)上安裝LIDS和系統(tǒng)管理工具配置LIDS系統(tǒng)知名的入侵檢測(cè)系統(tǒng)軟件金諾網(wǎng)安入侵檢測(cè)系統(tǒng)CiscoSecure入侵檢測(cè)統(tǒng)清華得實(shí)NetDT(r)2000東軟NetEyeIDS

東軟IDS

中科網(wǎng)威“天眼〞入侵偵測(cè)系統(tǒng)

漢邦入侵檢測(cè)系統(tǒng)HBIDS

安氏領(lǐng)信IDS

中聯(lián)綠盟“冰之眼〞瑞星RIDS-100如何選擇入侵檢測(cè)產(chǎn)品可以根據(jù)以下因素選擇入侵檢測(cè)產(chǎn)品：系統(tǒng)的價(jià)格特征庫(kù)升級(jí)與維護(hù)的費(fèi)用對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最大可處理流量〔包/秒PPS〕是多少該產(chǎn)品容易被躲避嗎產(chǎn)品的可伸縮性運(yùn)行與維護(hù)系統(tǒng)的開(kāi)銷(xiāo)產(chǎn)品支持的入侵特征數(shù)產(chǎn)品有哪些響應(yīng)方法是否通過(guò)了國(guó)家授權(quán)的機(jī)構(gòu)的評(píng)測(cè)實(shí)驗(yàn)8-1：了解和認(rèn)識(shí)CASessionWall的功能

在本實(shí)驗(yàn)中，我們將會(huì)學(xué)習(xí)到IDS的原理和功能，以及SessionWall的工作環(huán)境。實(shí)驗(yàn)8-2：了解和掌握SessionWall的環(huán)境在本實(shí)驗(yàn)中我們將了解SessionWall的強(qiáng)大功能以及IDS在網(wǎng)絡(luò)中的地位與作用。實(shí)驗(yàn)8-3：在SessionWall中創(chuàng)立、設(shè)置、編輯審核規(guī)那么本實(shí)驗(yàn)主要要求大家掌握SessionWall中規(guī)那么編輯的方法細(xì)節(jié)。第九單元

早期預(yù)警與事件響應(yīng)學(xué)習(xí)目標(biāo)了解早期預(yù)警的重要性掌握蜜網(wǎng)的概念及應(yīng)用了解TarPit對(duì)于郵件效勞器的功能對(duì)一個(gè)平安破壞事件做出適當(dāng)?shù)姆错懺谙到y(tǒng)遭到攻擊時(shí)確定能提供幫助的組織向一些平安組織訂閱平安方面的信息為不可防止的狀況做準(zhǔn)備網(wǎng)絡(luò)攻擊的危害性黑客盜用帳戶病毒木馬竊取用戶信息補(bǔ)救的措施安裝升級(jí)補(bǔ)丁備份數(shù)據(jù)問(wèn)題的根源蜜網(wǎng)蜜網(wǎng)工程組----是一個(gè)自發(fā)的，非營(yíng)利的研究組織，該組織專注于對(duì)黑客界所使用的各種攻擊工具、策略及動(dòng)機(jī)進(jìn)行研究，并且分享學(xué)到的經(jīng)驗(yàn)收集這些信息的根本工具就是蜜網(wǎng)蜜網(wǎng)工程組的網(wǎng)頁(yè)〔〕蜜網(wǎng)的概述蜜網(wǎng)如何部署蜜網(wǎng)體系結(jié)構(gòu)需求蜜網(wǎng)只是一個(gè)體系結(jié)構(gòu)，為了成功的部署一個(gè)蜜網(wǎng)環(huán)境，你必須正確的部署它的體系結(jié)構(gòu)。所有的蜜網(wǎng)部署方式都要滿足以下兩個(gè)需求：數(shù)據(jù)控制數(shù)據(jù)捕獲數(shù)據(jù)控制定義了怎樣將攻擊者的活動(dòng)限制在蜜網(wǎng)中而同時(shí)不讓攻擊者覺(jué)察。數(shù)據(jù)捕獲那么是在攻擊者不知情的情況下捕獲其所有攻擊活動(dòng)。數(shù)據(jù)控制總是比數(shù)據(jù)捕獲的優(yōu)先級(jí)要高。蜜網(wǎng)成功部署蜜網(wǎng)的要求數(shù)據(jù)控制——限制攻擊者活動(dòng)的機(jī)制，降低平安風(fēng)險(xiǎn)數(shù)據(jù)捕獲——監(jiān)控和記錄所有攻擊者在蜜網(wǎng)內(nèi)部的活動(dòng)數(shù)據(jù)收集——只針對(duì)于擁有分布式蜜網(wǎng)環(huán)境的組織蜜網(wǎng)是一個(gè)強(qiáng)有力的工具。能夠收集到詳細(xì)的有關(guān)各種平安威脅的信息蜜網(wǎng)風(fēng)險(xiǎn)使用蜜網(wǎng)付出的代價(jià)就是風(fēng)險(xiǎn)。風(fēng)險(xiǎn)對(duì)不同的組織來(lái)說(shuō)意義不同我們將涉及以下四種主要的平安風(fēng)險(xiǎn)：危害〔harm〕偵測(cè)〔detection〕失效〔disabling〕濫用〔violation〕減輕風(fēng)險(xiǎn)方法：人工監(jiān)控定制TarPit

TarPitting----成心向與垃圾郵件或其他不需要的通信相關(guān)的某些SMTP通信中插入一定的延遲收件人篩選使用收件人篩選，發(fā)件人將無(wú)法向您發(fā)送發(fā)往無(wú)效收件人或已篩選收件人的郵件不使用收件人篩選，發(fā)送到Exchange組織中無(wú)效電子郵件地址的郵件將被接受并由Exchange效勞器處理。實(shí)驗(yàn)9-1：在WindowsServer2003啟用TarPit功能

在本實(shí)驗(yàn)中，我們將學(xué)習(xí)怎樣開(kāi)啟WindowsServer2003的TarPit功能。配置問(wèn)題一些無(wú)意的行為喪失口令非法操作資源訪問(wèn)控制不合理管理員平安配置不當(dāng)以及疏忽大意允許不應(yīng)進(jìn)入網(wǎng)絡(luò)的人上網(wǎng)做好響應(yīng)方案制定一個(gè)特定的響應(yīng)策略當(dāng)發(fā)生了平安破壞活動(dòng)時(shí)，需要有一個(gè)事先的方案來(lái)與黑客進(jìn)行周旋，同時(shí)還要有一個(gè)良好的策略來(lái)說(shuō)明怎樣、何時(shí)報(bào)告平安事件，以及怎樣通知相關(guān)組織和個(gè)人。建立響應(yīng)策略制訂符合你所在組織情況的響應(yīng)策略將所制訂的響應(yīng)策略寫(xiě)入文檔，文檔將用于說(shuō)明怎樣執(zhí)行步驟。指導(dǎo)員工在遇到攻擊時(shí)按文檔中所述步驟來(lái)執(zhí)行，除非有特殊合理的理由，否那么必須嚴(yán)格執(zhí)行響應(yīng)策略。提前做決定預(yù)先制訂良好的平安策略，別在出現(xiàn)緊急情況后才來(lái)決定要制訂響應(yīng)策略在緊急情況下作出的決定往往不能很好的應(yīng)對(duì)威脅做出正確的反響在面對(duì)黑客攻擊時(shí)，需要做出正確的反響。保持鎮(zhèn)定依照平安響應(yīng)策略制訂的步驟實(shí)施記錄下所有的事件系統(tǒng)日志和效勞日志----審核日志往往能記錄下黑客入侵到系統(tǒng)的活動(dòng)一份記錄報(bào)告必須包含以下信息發(fā)生攻擊的日期和時(shí)間攻擊的類型，受影響的系統(tǒng)，使用的通信方式〔TCP,UDP,ICMP〕相關(guān)的效勞器和效勞在響應(yīng)攻擊過(guò)程中聯(lián)系過(guò)的公司員工的名字〔主管，IT人員等〕響應(yīng)過(guò)程中所用到的應(yīng)用程序分析攻擊的形式分析攻擊需要確定是否真正發(fā)生了平安攻擊常常是有一些用戶的不恰當(dāng)?shù)男袨楸灰尚某珊诳托袨榧词褂杏脩暨M(jìn)行了攻擊，也不能就認(rèn)定該用戶是黑客，這個(gè)用戶可能已經(jīng)被侵入而成為另一個(gè)真正意上的攻擊的一局部提高警覺(jué)確定攻擊的范圍確定黑客的攻擊后采取的步驟確定哪些帳號(hào)受到影響鑒別哪些文檔被讀取、修改或替代在系統(tǒng)中跟蹤黑客的活動(dòng)情況查詢審核日志確定是否有權(quán)限被修改制止和牽制黑客活動(dòng)根據(jù)平安策略的方案以及當(dāng)前的具體情況，找出所有發(fā)生攻擊的連接并牽制黑客活動(dòng)實(shí)施響應(yīng)方案分析和學(xué)習(xí)建立