小白入门”入侵检测”发展历程入侵检测最早的概念起源于1980 年 由James P.Anderson提出的《计算机安全威胁监控与监视》。入侵检测模型的【原理】是监视网络当中的数据集 按照特定的规则或策略对数据进行分析判定 以此捡测出带有攻击性的行为或者数据从而达到保证网络资源安全的目的。与防火墙的区别与联系【区别】防火墙 → 被动网络安全技术。入侵监测系统 → 主动的网络安全技术。通过对网络传输进行即时监视当发现网络异常时 发出警报或采取主动反应措施。【联系】入侵监测系统被视为是防护墙的合理补充。防火墙限制网络之间的访问和防止入侵 但不关注网络内部的入侵和攻击。入侵监测系统部署在内网的各个系统、设备中 作为第二道闸门对进入内网的流量进行监听和分析。入侵检测原理入侵检测的主要组成有事件产生器、活动记录器以及规则集其中事件产生器是主要是为系统提供检测的数据集 规则集提供异常攻击匹配的一些特征模板活动记录器是负责保存当系统中有数据集通过时的即时状态。入侵检测行为再根据用户的历史活动和当前的一些行为 与规则集中的规则进行匹配发现攻击事件并记录到数据库中。入侵检测框架图入侵检测系统分类按功能分类扫描器网络入侵检测系统系统入侵检测系统按组成结构分类分层式集中式分布式按技术基础分类基于标签的入侵检测系统 signature-based基于异常的入侵检测系统 anomaly-based按数据源分类基于主机的IDS【HIDS】Host-based Intrusion Detection Systems基于主机的入侵检测是入侵检测的最初期形式这种入侵检测系统通常运行在被检测的主机或者服务器上实时检测系统的运行通常从主机的审计记录和日志文件中获得所需的主要数据源并辅之以主机上的其他信息在此基础上完成检测攻击行为的任务。特别的从主机入侵检测技术中还可以单独分离出基于应用的入侵检测模型这是特别针对于某个特定任务的应用程序而设计的入侵检测技术采用的输入数据源是应用程序的日志信息。基于网络的IDS【NIDS】Network-Based Intrusion Detection System原理通过监听网络中的数据包即抓包技术 来获取必要的数据来源并通过协议分析、特征匹配、统计分析等手段当前发生的攻击行为。优点一个安装在网络合适位置NIDS系统可以监视一个很大范围的网络他的运行丝毫不影响主机或者服务器的运行效率因为基于网络的入侵检测系统通常采取独立主机和被动监听的工作模式他对网络的性能影响也很小。NIDS能够实时监控网络中的数据流量并发现潜在的攻击行为和作为迅速的响应而使攻击者难以发现自己已被监视另外他的分析对象是网络协议一般没有移植性的问题。不足基于网络的入侵检测系统的主要问题是监视数据量过于庞大并且他不结合操作系统特征来对网络行为进行准确的判断在网络通讯的高峰时刻难以检查所有数据包如果网络数据被加密NIDS就不能扫描协议或内容NIDS不能判断一个攻击是否已经成功对于渐进式、合作式的攻击难以防范。下面针对攻击目标展开说说[2]。流量层和主机侧 是网络攻击的核心场景和目标。流量层网络交互产生的流量与数据 主机侧硬件、服务器、系统、中间件等常见的网络安全产品| | | | || — | — | — | — || 主机侧 | HIDS || * 准确识别恶意行为并记录。 * 将记录保存后预警由IT管理员进行处置 || EDR || * 相较于HIDS它的终端防护属性较强。 * 发出告警的同时也会自动响应处理掉恶意行为。 || 流量层 | NTA || * 具备检测与预警能力。 * 但是不具备响应能力对IT管理员的专业性和工作量的要求较高。 || NDR || * NDR一般被认为是NTA的升级。 * 在NTA检测范围内增加了响应功能同时也会有比较直白的记录报告。 || 同时覆盖 | XDR || * XDR能够同时检测两端并进行比对准确识别主机侧与流量层的特征确认恶意行为后 查杀并且记录完整的攻击路径。 |流量异常分类网络流量异常是指对网络正常使用造成不良影响的网络 流量模式。 根据所观察的网络流行为使用相似的统计特征将网络流量异常分为4组 每组异常都展示区别于其它组异常的共性特征[1]。异常类型引发异常原因网络行为特征现象异常网络操作1. 网络设备存储及处理能力损耗(outage) 2. 由于网络配置改变(例如 增加新设备或施加费率限制等 。瞬时位速率的急剧改 变之后一定时间间隔内位速率稳定在一定的水平。闪存拥挤由软件发布或受公众关注的某公开网站 所引起 。某特定类型(如 FTP 流或到一已知目的地地址的流)的流量快速增长且随时间逐 渐减小 。 【补充文件传输协议File Transfer ProtocolFTP在应用层】网络滥用DoSDDoS攻击和端口查看 。不同于 网络操作异常和闪存拥挤异常这类异常通过位流量、字节流 量和包流量的测量数据往往不能有效地检测。 但是能够通过 网络流数据中按流计数的异常特征进行检测。例如 某一源 目的地址对的连接数超阈值往往指示端口查看异常 。蠕虫传播此类网络异常往往伴随着流量的蠕虫病毒在网络间复制 和传播。这类异常通过局部链路上的流量测量数据很难检 测 。往往需要采集全网的流量测量数据通过对全网的流特 征进行分析或采用全网的流量统计分析方法检测或确定蠕虫 传播异常 。检测范围按数据源范围划分1链路异常检测基于某一网络链路上 采集的流量数据进行的。大多数异常检测的研究是链路异常 检测。可以使用 不同的检测技术 以在线或离线方式检测不同类型的网络异 常 。2全网异常检测全网异常检测通常基于全网范围的流量数据 (从多个路 由器节点或网络链路上采集的流量数据 )对网络异 常进行分 析和研究 。例如使用子空间统计分 析方法 基于不同的流量类型检测 及分类全网范围的异常。分析深度异常检测* 指检测是否有异常发生以及异常发生的 时间及位置。 * 很多相关研究工作集中于异常检测即侧重研 究在哪条链路上在哪个时间点有异常发生 。此类研究主要 基于SNMP统计数据或网络流测量数据经统计计算各种流 量类型的时间序列使用统计分析技术设计检测算法实现异 常检测功能 。异常确定* 不仅能检测到异常的发生而且还能确定 异常相关的流特征 。 * 异常流特征是指与某一异常相关的网络 流数据中的属性特征 。 * 网络流属性包括源 IP地址、目的IP 地址、源端口、目的端口和协议类型等因此异常流特征可以 是一维属性或多维属性的组合。 * 例如 某一时间段 具有属性 特征 SrcIp12623123121的数据流是一个一维异常 * 具 有属性特征 (SrcIp12623123121DstIp16023478 128DstPort80)的数据流是一个三维异常。 * 由于属性值 可按层次化来组织例如 IP地址可按前缀的长度来划分层 次因此 异常流特征可以被确定为多维层次化异常。例如 (Srclp 12623123024Dstlp1602347812825 DstPort80)的数据流是一个三维层次化异常。异常诊断* 指在异常检测或异常确定的基础上对异常进行分类研究并最终诊断导致异常发生的原因。 * 导致流量异常的原因有多种包括DoS攻击、DDOS攻 击蠕虫病毒、网络误配置、网络设备Flash拥挤异常、某种服 务流量模式引发的网络带宽使用不合理等。 * 主 要有两类研究 1. 在异常检测研究基础上进行异常特征的研 究。例如在异常检测的基础上使用相似的统计特征 将网络流量异常分组每组异常都展示区别于其它组异常的 共性特征。或者在基于网络流的全网异常检测的基础上 进一步分析检测结果的特征将异常分类找出同一类异常的 统计特征。[1] 2. 基于特征行为技术的网络异常确定的研究通 常不仅能确定网络异常流特征 而且能根据不同异常的模式 或行为特征进一步诊断异常类型及产生异常的原因很多研 究工作。采用此研究方法分析流量特征检测并诊 断网络异常行为并将研究成果应用于网络入侵检测工具和 系统中。检测方式在线检测* 指在运行着的网络链路上采集网络流量数据 并进行实时分析处理检测网络异常。 * 在线检测的基础 是实时数据流量的采集通常通过实时采集包追踪数据或IP 数据流实现。 * 在线检测的挑战性在于如何设计在线检测算法 以适应高带宽主干网络链路的检测需求。在线检测算法以较 小空间复杂性和较低的计算复杂性为追求目标很多算法支 持硬件实现。离线检测* 指对网络流量数据进行离线分析检测网络 异常及对网络进行性能分析和预测。 * 离线检测通常基于定时 采集的SNMP统计测量数据或网络流日志。 * 特点离线检测通常 用于网络管理及安全性分析和预测方面对数据分析和处理 的时间周期比较长通常为数小时甚至一周检测算法所追求 的目标不仅是降低空间复杂性和计算复杂性而且还要提高 其检测能力和准确性。离线检测方法通常采用各种统计分析 技术及流挖掘技术实现Snort基本概念基于规则的语言来描述通信将协议、特征和异常行为的检测相结合 即通过将数据包与Snort规则特征库进行模式匹配来检测异常行为 成为了防御技术的标准。Snort 是另一个开源入侵检测系统。它允许您使用一组可自定义的业务规则来监控网络流量、识别入侵和限制流量准入。这种针对 IP 网络的入侵检测和预防解决方案在流量分析和数据包记录方面表现出色。它可以检测各种攻击包括但不限于隐形端口扫描、SMB 探测、缓冲区溢出、CGI 攻击、NetBIOS 搜索、NMAP 和其他端口扫描程序以及 DDoS 客户端等并通知用户。为了检测弱点它创建了一个新的签名。从IP 地址它以人类可读的形式收集数据包。平台 Unix、Linux、WindowsIDS 类型NIDS相关工具安装教程分区【初衷】为了方便管理我开辟了一个新的磁盘分区专门来放虚拟机和安装在虚拟机上的系统。比如我电脑中VMware的安装位置就是F:/VMware/ 。注虚拟机最好安装在固态硬盘上。因此可能涉及到分区【步骤】打开“此电脑”–“管理”–“存储”–“磁盘管理”选中要被分的分区–右键–点击“压缩卷”系统会自动查询压缩空间这个时间要看电脑的配置。选择要压缩的空间大小然后单击压缩。等一下空间就压缩了。将出现如图所示的可用空间。这是我们刚刚压缩的空间。选择空白分区右键单击并选择新建简单卷。进入新建简单卷向导直接点击这里的“下一步”如图。指定卷的大小您可以输入想要的大小。然后点击“下一步”。9.对于新创建的简单卷请选择驱动器号。10.然后为新创建的简单卷选择磁盘格式这里一般选择“NTFS”。11.最后单击完成。稍等一会儿。安装 虚拟机VMware下载过程官网地址https://www.vmware.com/cn.html选择“产品”—点击“查看所有产品”搜索“Workstation”—选择“Workstation Pro”点击“下载适用版”选择“现在下载”安装过程点击下载好的.exe文件开始安装。[3]为方便管理可以开辟一个新的磁盘分区专门来放虚拟机和安装在虚拟机上的系统。比如我电脑中VMware的安装位置就是F:/VMware/ 。注虚拟机最好安装在固态硬盘上。安装完成后的第一次启动会需要许可证密钥。百度-公众号-密钥安装麒麟V10系统(在虚拟机里)准备麒麟V10镜像方法一个人推荐方法二喔访问麒麟官网https://www.kylinos.cn/scheme/desktop/2.html方法二感谢CSDN的博主 你的晚安 的阿里云资源[4]资源下载地址https://www.aliyundrive.com/s/kGDEEYX9dXy下载了之后把文件后缀改为iso补充下载后它是一个文件扩展名为txt的文本文件如果通过改文件名试图添加后缀例如改为“Kylin-Desktop.iso”可能看到该文件依然是文本文件这是因为你只是改了文件名并没有改属性解决方式打开“查看”–勾选上“文件扩展名”–看到“Kylin-Desktop.iso.txt”这时改文件名里的后缀才有效。安装系统创建虚拟机这里若选“安装程序光盘映像文件iso”就用刚刚下好改过后缀名的镜像文件若选“稍后安装操作系统”也ok之后就在“设置”–“硬件”–“CD/DVD”–“使用ISO映像文件”里加载系统的映像文件接上上上图这个虚拟机的系统我安在F盘下我选了80GB安装桌面版迁移 虚拟机VMware今天在单位的电脑上安装了Windows 8.1好吧当然不是主用电脑而是VMware虚拟机。安装的目的主要是用来学习和测试想想自己笔记本电脑上也应该安装一个难道晚上拷个Win 8.1的ISO镜像回去重新再安装一遍没有必要VMware虚拟机系统文件是可以转移复制的把.vmx文件和所有的.vmdk文件全部拷贝到U盘里带回家。我特意看了一下我的是6.25个G。这里简单解释下这个文件vmx是虚拟系统配置文件而vmdk则是虚拟磁盘文件它们都是VMware所支持的文件格式。回到家后在自己笔记本上打开同版本的VMware Workstation 10如下图选择“打开虚拟机”此时会提示选择.vmx文件找到我们复制回来的Windows 8.1.vmx打开即可之后还会提示你选择.vmdk文件照做就是。搞定之后我们点击“开启虚拟机”之后会弹出提示说此虚拟机可能已被移动或复制。为了配置特定的管理和网络功能。VMware Workstation需要知道是否已移动或复制了此虚拟机。如果您不知道请回答“我已经复制该虚拟机”。很明显我们是复制了所以选择“我已复制该虚拟机”就OK了。接下来VMware会自动处理速度相当快。之后我就开启了和单位里一模一样Windows 8.1。没错就这么简单。Snort安装参考文献[1] 杨雅辉.网络流量异常检测及分析的研究[J].计算机科学,2008(05):108-112.[2] 墨痕诉清风的漫画安全HIDS、EDR、NDR、XDR[3] -借我杀死庸碌的情怀-的虚拟机VMware下载与安装教程详细[4] 你的晚安的麒麟V10系统安装教程[5] VMware虚拟机从一台电脑转移复制到另一台电脑的方法《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取f21c6efa4e739621ffb5d4309b20.jpeg#pic_center)面试真题/经验以上资料如何领取文章来自网上侵权请联系博主