信息安全综合实验
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第十一页,共12页。
入侵(rùqīn)检测系统分类
主机模式 通过对主机系统(xìtǒng)的信息进行分析
来检测 分析的数据源可以是各种日志 网络模式 通过对网络上的信息进行分析来检测 抓包
第十二页,共12页。
信息安全综合(zōnghé) 实验
2021/11/5
第一页,共12页。
第五章 入侵(rùqīn)检测原理与 Snort的使用
课程目的 学习(xuéxí)入侵检测基本原理 通过snort系统的使用加深理解
第二页,共12页。
入侵(rùqīn)检测原理
PDR 安全(ānquán)模型 策略(Policy)、防护(Protection)、检
出已知的攻击,对未知的攻击手段无能为 力 常用的是模式匹配系统
第八页,共12页。
模式匹配检测(jiǎn cè)
入侵信号层次 存在 只要存在某个(mǒu ɡè)审计事件就说明发
生了入侵行为或企图,对应存在模式 如:HTTP 访问 ../cmd.exe… 序列 一组事件的序列,对应序列模式 如:icmp数据包连续5秒钟超过100pkt/s
测(Detection)、响应(Response)
第三页,共12页。
PDR 安全(ānquán)模型
策略 是模型的核心,意味着网络安全要达到的目标 防护 是安全的第一步,它的基础是检测和响应的结果 检测 防护对于(duìyú)攻击往往是滞后的,漏洞的发现
或攻击手段的发明与响应的防护手段之间有个时 间差,检测用来弥补时间差 响应 发现了攻击后,需要对系统及时反应 反复的循环过程,每次循环带来防护水平的提高
第四页,共12页。
入侵(rùqīn)检测
IDS Intrusion Detection System 入侵检测属于PDR模型的检测过程,承接
防护和相应的过程 是PDR模型的关键部分 仅有防护的不足: 防护只能考虑已知的威胁和有限的威胁 防护只能尽量(jǐnliàng)阻止攻击企图的得
逞或延缓该过程,不能阻止各种攻击事件 的发生
第九页,共12页。
模式匹配检测(jiǎn cè)
入侵信号层次 规则表示 一组事件的逻辑表示,事件没有顺序关系 如:icmp数据包连续5秒钟超过(chāoguò)100pkt/s 其他 更加复杂的表示 存在模式∈ 序列模式∈ 规则表示模式∈ 其他模
式
第十页,共12页。
模式(móshì)的关系
第五页,共12页。
入侵(rùqīn)检测
特性要求: 经济性、时效性、安全性和可扩展性 模块划分 数据(shùjù)提取、数据(shùjù)分析、处理
结果第六页,共12页。 Nhomakorabea入侵检测(jiǎn cè)分类
基于异常的入侵检测 正常行为(xíngwéi)往往有一定的规律,通
过分析相关数据可以总结出该规律 入侵和滥用行为(xíngwéi)通常与正常的行
为(xíngwéi)有严重差异 通过检测这些差异来检测入侵 如:平时icmp的数据包数量、类型是一种
表现,系统感染了冲击波病毒时的icmp数 据包的数量和类型是另一种表现 商用不多,研究为主
第七页,共12页。
入侵(rùqīn)检测分类
基于(jīyú)误用的入侵检测 通过某种模式或信号标示攻击,可以检测
入侵(rùqīn)检测系统分类
主机模式 通过对主机系统(xìtǒng)的信息进行分析
来检测 分析的数据源可以是各种日志 网络模式 通过对网络上的信息进行分析来检测 抓包
第十二页,共12页。
信息安全综合(zōnghé) 实验
2021/11/5
第一页,共12页。
第五章 入侵(rùqīn)检测原理与 Snort的使用
课程目的 学习(xuéxí)入侵检测基本原理 通过snort系统的使用加深理解
第二页,共12页。
入侵(rùqīn)检测原理
PDR 安全(ānquán)模型 策略(Policy)、防护(Protection)、检
出已知的攻击,对未知的攻击手段无能为 力 常用的是模式匹配系统
第八页,共12页。
模式匹配检测(jiǎn cè)
入侵信号层次 存在 只要存在某个(mǒu ɡè)审计事件就说明发
生了入侵行为或企图,对应存在模式 如:HTTP 访问 ../cmd.exe… 序列 一组事件的序列,对应序列模式 如:icmp数据包连续5秒钟超过100pkt/s
测(Detection)、响应(Response)
第三页,共12页。
PDR 安全(ānquán)模型
策略 是模型的核心,意味着网络安全要达到的目标 防护 是安全的第一步,它的基础是检测和响应的结果 检测 防护对于(duìyú)攻击往往是滞后的,漏洞的发现
或攻击手段的发明与响应的防护手段之间有个时 间差,检测用来弥补时间差 响应 发现了攻击后,需要对系统及时反应 反复的循环过程,每次循环带来防护水平的提高
第四页,共12页。
入侵(rùqīn)检测
IDS Intrusion Detection System 入侵检测属于PDR模型的检测过程,承接
防护和相应的过程 是PDR模型的关键部分 仅有防护的不足: 防护只能考虑已知的威胁和有限的威胁 防护只能尽量(jǐnliàng)阻止攻击企图的得
逞或延缓该过程,不能阻止各种攻击事件 的发生
第九页,共12页。
模式匹配检测(jiǎn cè)
入侵信号层次 规则表示 一组事件的逻辑表示,事件没有顺序关系 如:icmp数据包连续5秒钟超过(chāoguò)100pkt/s 其他 更加复杂的表示 存在模式∈ 序列模式∈ 规则表示模式∈ 其他模
式
第十页,共12页。
模式(móshì)的关系
第五页,共12页。
入侵(rùqīn)检测
特性要求: 经济性、时效性、安全性和可扩展性 模块划分 数据(shùjù)提取、数据(shùjù)分析、处理
结果第六页,共12页。 Nhomakorabea入侵检测(jiǎn cè)分类
基于异常的入侵检测 正常行为(xíngwéi)往往有一定的规律,通
过分析相关数据可以总结出该规律 入侵和滥用行为(xíngwéi)通常与正常的行
为(xíngwéi)有严重差异 通过检测这些差异来检测入侵 如:平时icmp的数据包数量、类型是一种
表现,系统感染了冲击波病毒时的icmp数 据包的数量和类型是另一种表现 商用不多,研究为主
第七页,共12页。
入侵(rùqīn)检测分类
基于(jīyú)误用的入侵检测 通过某种模式或信号标示攻击,可以检测