一、实验目的
入侵检测实验与理论教学第七章入侵检测相对应。本实验在学生完成入侵检测系统配置实验的基础上,使学生能够理解三种入侵检测系统的原理和分析方法,并能够建立一个入侵检测系统。具体如下:
1、入侵检测系统配置实验:验证入侵检测系统配置过程、验证入侵检测系统控制信息流传输过程的机制、验证基于特征库的入侵检测机制的工作过程、验证特征定义过程。
二、实验简要原理
1、入侵检测系统配置实验
路由器中的入侵检测系统(IDS)可以采用基于特征的入侵检测机制,首先需要加载特征库,特征库中包含用于标识各种入侵行为的信息流特征。一旦在某个路由器接口的输入或输出方向设置入侵检测机制,需要采集通过该接口输入或输出的信息流,然后与加载的特征库中的特征进行比较,如果该信息流与标识某种入侵行为的信息流特征匹配,对该信息流采取相关的动作。因此,特征库中与每一种人侵行为相关的信息有两部分,一是标识人侵行为的信息流特征,二是对具有人侵行为特征的信息流所采取的动作。
三、实验环境
本实验基于Cisco Packet Tracer 8.1软件完成,通过Packet Tracker可以运用Cisco网络设备设计、配置和调试网络,可以模拟分组端到端传输过程中的每一个步骤;可以直观了解IP分组端到端传输过程中交换机、路由器等网络设备具有的各种安全功能对IP分组的作用过程。
四、实验内容
1、入侵检测系统配置实验
互连的网络结构如图6.1所示,完成路由器R接口和终端的网络信息配置过程后,各终端之间是可以相互ping通的。
在路由器R接口1输出方向设置入侵检测规则,该规则要求,一旦检测到ICMPECHO请求报文,丢弃该ICMPECHO请求报文,并向日志服务器发送警告信息。启动该入侵检测规则后,如果终端C和D发起ping终端A和B的操作,ping操作不仅无法完成,而且在日志服务器中记录警告信息。如果终端A和终端B发起ping终端C和D的操作,ping操作是能够完成的。
图6.1 入侵检测系统的互连网络结构
五、网络拓扑图
1、入侵检测系统配置实验网络拓扑图
六、实验过程说明及截图
1、入侵检测系统配置实验过程
(1)按照实验拓扑图放置和连接设备,配置完成后的拓扑图以及接口选择如下:
(2)对路由器Router进行入侵检测系统配置:
(3)PC2 ping PC0:
PC0的IP为192.1.1.1,无法ping通
PC0 ping PC2:
PC2的IP为192.1.2.1,可以ping通
进行PC2 ping PC0的操作后,日志服务器记录的事件如图所示:
七、实验思考
1、实验内容思考
(1)对入侵检测系统配置实验的实验结果进行分析,说明该入侵检测系统的类别是什么?(基于网络、基于主机、或混合式)
答:结合实验描述与配置命令可判定,该系统属于网络型入侵检测系统(NIDS)。实验过程中,系统通过路由器接口采集网络流量数据并展开深度分析,以此实现对攻击行为的识别与判定;其核心检测机制基于预定义特征库,通过将实时捕获的网络流量与特征库中的攻击特征进行模式匹配,进而精准识别各类恶意攻击行为。
(2)对入侵检测系统配置实验的实验结果进行分析,说明该入侵检测系统的分析器所采用的分析方法是什么?
答:该分析器所采用的入侵检测技术为特征匹配型检测方法。该方法以预设的攻击特征库为核心支撑,特征库中存储了各类已知入侵行为的特征标识信息。入侵检测系统(IDS)在运行过程中,会将实时捕获的网络流量数据与特征库中的攻击特征进行逐一比对,一旦检测到二者存在匹配情况,便会触发预设的响应动作。
2、实验过程思考
要求:对照第七章入侵检测理论课相关知识点,分析本实验阐述的原理。
答:在本实验采用的基于特征的入侵检测机制中,特征库是核心组成部分——路由器通过加载包含各类入侵行为特征的数据库,该库中存储的特征信息精准描述了恶意行为对应的信息流特征。检测流程中,路由器内置的IDS模块会实时采集指定接口的网络信息流,并将其与特征库中的攻击特征进行逐一比对;若二者匹配成功,则表明该信息流大概率包含恶意行为。例如,当系统检测到与特征库中编号2004、子编号0的特征完全匹配的信息流时,IDS模块会立即执行双重响应动作:一是直接丢弃该恶意信息流,二是向日志服务器发送告警信息,确保攻击行为被及时记录与阻断。
从本质来看,实验中使用的特征库专门用于存储已知攻击行为的特征标识,而特征匹配过程实则是一种模式比对操作,核心目标是验证网络信息流的特征与攻击模式库中的预设特征是否一致。整个机制中的响应动作,其核心功能便是针对检测到的攻击行为采取对应的处置措施,实现对恶意流量的有效拦截与攻击事件的追溯。
