您的位置:360文档中心› 第6章 入侵检测技术

第6章 入侵检测技术

合集下载

入侵检测ppt课件

入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载

网络安全基础 第六章——网络入侵与攻击技术

网络安全基础 第六章——网络入侵与攻击技术

实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。

课程大纲-入侵检测与防范技术

课程大纲-入侵检测与防范技术

入侵检测技术Intrusion Detection Technology课程编号:学分: 2学时: 30 (其中:讲课学时:30 实验学时:上机学时:0)先修课程:计算机网络,TCP/IP,Internet安全适用专业:信息安全教材:自编讲义开课学院:计算机科学与通信工程学院一、课程的性质与任务课程的性质:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件,其主要功能包括:(1)提供事件记录流的信息源;(2)发现入侵迹象的分析引擎;(3)基于分析引擎结果的响应。

误用检测和异常检测是入侵检测常用的方法,前者使用模式匹配技术,检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件,后者则使用统计技术检测不经常发生的事件。

随着网络应用的不断深入,网络安全问题的日显重要,入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。

课程的基本任务:1.了解入侵检测技术的基本概念、发展现状及最新动态;2.掌握入侵检测的原理及系统构成;3.掌握入侵检测的常用方法与技术;4.了解提高入侵检测率对不同用户的要求。

二、课程的基本内容及要求第一章入侵检测技术概述1.基本内容(1)入侵检测的概念(2)入侵检测技术产生的原因(3)入侵检测技术的功能、发展历史及分类(4)入侵检测技术的基本构成和体系结构2.基本要求(1)掌握入侵检测的基本概念(2)掌握入侵检测系统的基本构成(2)了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1.基本内容(1)计算机网络的主要漏洞(2)缓冲区溢出攻击(3)拒绝服务攻击(4)攻击分类2.基本要求(1)掌握缓冲区溢出攻击和拒绝服务攻击的原理(2)了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1.基本内容(1)信息源在入侵系统中的重要地位(2)基于主机的信息源(3)基于网络的信息源(4)基于网络的信息源的获取2.基本要求(1)掌握入侵检测的信息源获取的基本途径(2)了解信息源的作用第四章入侵检测方法1.基本内容(1)入侵检测的基本原理和主要方法(2)基于数据挖掘技术的入侵检测模型(3)基于数据融合技术的入侵检测模型2.基本要求(1)掌握入侵检测的基本原理(2)掌握异常检测与滥用检测常用的检测技术与相应的模型建立(3)掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1.基本内容(1)入侵检测系统原型产品介绍(2)入侵检测系统商业产品介绍(3)免费入侵检测系统产品介绍(4)入侵检测系统产品的选择2.基本要求(1)了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1.基本内容(1)入侵检测系统的脆弱性分析(2)入侵检测系统体系结构的局限性2.基本要求(1)掌握网络系统脆弱性分析的基本方法(2)了解入侵检测系统的局限性第七章入侵检测系统的评价1.基本内容(1)入侵检测系统的评价标准(2)对入侵检测系统的测试与评估2.基本要求(1)掌握入侵检测系统的评价标准(2)掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1.基本内容(1)未来的信息社会(2)未来的技术趋势(3)未来的安全趋势2.基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学;2、为学生提供丰富的参考资料;五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人:韩牟审定人:批准人:日期:2013年5月10日课程简介课程编码:课程名称:入侵检测技术英文名称:Intrusion Detection Technology学分: 2学时: 3 0(其中:讲课学时2 6 实验学时: 0 上机学时:4 )课程内容:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

网络安全防护技能培训教材

网络安全防护技能培训教材

网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。

06-信息安全与技术(第2版)-朱海波-清华大学出版社

06-信息安全与技术(第2版)-朱海波-清华大学出版社
网络入侵检测是大多数入侵检测厂商采用的产品形式。通过捕获和 分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行 监听,来检测对连接在网段上的多个主机有影响的网络通讯,从而保 护那些主机。
• 网络入侵检测优点表现在以下几个方面: • 网络通信检测能力 • 无需改变主机配置和性能 • 布署风险小,独立性和操作系统无关性 • 定制设备,安装简单
6.1.3 入侵检测系统的性能指标
3.系统指标
• 系统指标主要表征系统本身运行的稳定性和使用的
方便性。系统指标主要包括最大规则数、平均无故 障间隔等。
6.1 入侵检测的概念
• 6.1.1 入侵检测系统功能及工作过程 • 6.1.2 入侵检测技术的分类 • 6.1.3 入侵检测系统的性能指标
6.1.1 入侵检测系统功能及工作过程
• 入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入
侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中得若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和被 攻击的迹象。
网络入侵检测 ( NIDS )。
6.1.2 入侵检测技术的分类
• 特征检测
• 特征检测是收集非正常操作的行为特征,建立相关的特征库,
当监测的用户或系统行为与库中的记录相匹配时,系统就认 为这种行为是入侵。特征检测可以将已有的入侵方法检查出 来,但对新的入侵方法无能为力。
• 特征检测的难点是如何设计模式既能够表达“入侵”现象又
6.1.1 入侵检测系统功能及工作过程
• 入侵检测系统的主要功能有:
• 实时检测:监控和分析用户和系统活动,实时地监视、分析
网络中所有的数据包;发现并实时处理所捕获的数据包,识 别活动模式以反应已知攻击。

第6章 基于主机的入侵检测技术

第6章 基于主机的入侵检测技术
c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠

入侵检测第2版习题答案

入侵检测第2版习题答案

习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。

2、入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。

3、为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看,这根本是不可能的。

因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。

网络安全防护技术要点

网络安全防护技术要点

网络安全防护技术要点第1章网络安全基础 (4)1.1 网络安全概念与重要性 (4)1.2 网络安全威胁与攻击手段 (4)1.3 网络安全防护体系架构 (4)第2章数据加密技术 (5)2.1 对称加密算法 (5)2.1.1 DES算法 (5)2.1.2 AES算法 (5)2.1.3 IDEA算法 (6)2.2 非对称加密算法 (6)2.2.1 RSA算法 (6)2.2.2 ECC算法 (6)2.2.3 DSA算法 (6)2.3 混合加密算法 (6)2.3.1 数字信封技术 (6)2.3.2 SSL/TLS协议 (7)2.3.3 SSH协议 (7)第3章认证与授权技术 (7)3.1 身份认证技术 (7)3.1.1 密码学基础 (7)3.1.2 密码技术在实际应用中的身份认证方法 (7)3.1.3 生物识别技术 (7)3.2 认证协议 (8)3.2.1 常见认证协议 (8)3.2.2 认证协议的安全性分析 (8)3.2.3 认证协议的设计原则与优化方法 (8)3.3 授权机制 (8)3.3.1 访问控制模型 (8)3.3.2 授权策略与表达语言 (8)3.3.3 授权机制在实际应用中的实现与优化 (8)第4章网络边界防护技术 (9)4.1 防火墙技术 (9)4.1.1 防火墙概述 (9)4.1.2 防火墙的分类 (9)4.1.3 防火墙的配置与管理 (9)4.2 入侵检测与防御系统 (9)4.2.1 入侵检测与防御系统概述 (9)4.2.2 入侵检测技术 (9)4.2.3 入侵防御技术 (9)4.3 虚拟私人网络(VPN) (9)4.3.1 VPN概述 (9)4.3.3 VPN的部署与运维 (10)第5章网络入侵检测技术 (10)5.1 网络流量分析 (10)5.1.1 流量捕获与预处理 (10)5.1.2 流量统计与分析 (10)5.1.3 异常检测算法 (10)5.2 入侵检测方法 (10)5.2.1 基于特征的入侵检测 (10)5.2.2 基于行为的入侵检测 (10)5.2.3 基于机器学习的入侵检测 (11)5.3 入侵容忍技术 (11)5.3.1 容错技术 (11)5.3.2 安全协议 (11)5.3.3 安全存储 (11)5.3.4 安全模型与策略 (11)第6章恶意代码防范技术 (11)6.1 计算机病毒防护 (11)6.1.1 病毒定义与特征 (11)6.1.2 病毒防护策略 (11)6.1.3 病毒防护技术 (11)6.2 木马检测与清除 (12)6.2.1 木马概述 (12)6.2.2 木马检测技术 (12)6.2.3 木马清除技术 (12)6.3 勒索软件防护 (12)6.3.1 勒索软件概述 (12)6.3.2 勒索软件防护策略 (12)6.3.3 勒索软件防护技术 (12)第7章应用层安全防护 (13)7.1 Web安全 (13)7.1.1 SQL注入防护 (13)7.1.2 跨站脚本攻击(XSS)防护 (13)7.1.3 跨站请求伪造(CSRF)防护 (13)7.1.4 远程代码执行(RCE)防护 (13)7.2 数据库安全 (13)7.2.1 访问控制 (13)7.2.2 数据加密 (13)7.2.3 备份与恢复 (13)7.2.4 数据库防火墙 (13)7.3 应用程序安全 (14)7.3.1 安全开发 (14)7.3.2 安全测试 (14)7.3.3 安全更新与维护 (14)第8章无线网络安全防护 (14)8.1 无线网络安全概述 (14)8.1.1 无线网络安全基本概念 (14)8.1.2 无线网络安全威胁 (14)8.1.3 无线网络安全防护措施 (14)8.2 无线网络安全协议 (15)8.2.1 WEP协议 (15)8.2.2 WPA协议 (15)8.2.3 WPA2协议 (15)8.2.4 WPA3协议 (15)8.3 无线网络安全技术 (15)8.3.1 加密技术 (15)8.3.2 认证技术 (15)8.3.3 访问控制技术 (15)8.3.4 入侵检测技术 (15)8.3.5 VPN技术 (16)8.3.6 安全配置与管理 (16)第9章网络安全漏洞管理 (16)9.1 漏洞扫描技术 (16)9.1.1 常见漏洞扫描方法 (16)9.1.2 漏洞扫描器的选型与部署 (16)9.1.3 漏洞扫描实施与优化 (16)9.2 漏洞评估与修复 (16)9.2.1 漏洞风险评估 (16)9.2.2 漏洞修复策略 (16)9.2.3 漏洞修复实施与跟踪 (16)9.3 安全配置管理 (17)9.3.1 安全配置检查 (17)9.3.2 安全配置基线制定 (17)9.3.3 安全配置自动化管理 (17)9.3.4 安全配置变更控制 (17)第10章网络安全运维与应急响应 (17)10.1 安全运维管理体系 (17)10.1.1 安全运维管理概述 (17)10.1.2 安全运维组织架构 (17)10.1.3 安全运维管理制度 (17)10.1.4 安全运维技术手段 (17)10.2 安全事件监控与预警 (17)10.2.1 安全事件监控 (17)10.2.2 预警体系构建 (18)10.2.3 安全态势感知 (18)10.2.4 预警信息处理与响应 (18)10.3 应急响应流程与措施 (18)10.3.2 应急响应流程 (18)10.3.3 应急响应措施 (18)10.3.4 应急响应团队建设 (18)10.3.5 应急响应技术支持 (18)10.3.6 应急响应案例解析 (18)第1章网络安全基础1.1 网络安全概念与重要性网络安全是指在网络环境下,采取各种安全措施,保证网络系统正常运行,数据完整、保密和可用性得到保障的状态。

第6章入侵检测技术

第6章入侵检测技术

教学内容第6章 入侵检测技术教材章节5教学周次教学课时9授课对象网络工程专业教学环境多媒体教室教学目标理解入侵检测系统的基本概念;了解检测的基本方法以及入侵检测的步骤;掌握一种入侵检测工具。

教学内容1.入侵检测的基本知识(包括:概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等)。

2.入侵检测技术(包括:基本结构、类型、主要方法)。

3.入侵检测系统解决方案。

4.入侵检测系统主要产品。

教学重点1.入侵检测的基本概念。

2.入侵检测系统的工作原理。

3.入侵检测系统的布署。

教学难点入侵检测方法;入侵检测系统的布署。

教学过程本章分3次讲述,共9学时,讲授思路和过程如下:第1次:1.分析防火墙、扫描器等的应用范围,分析其局限性,引出入侵检测技术。

2.介绍入侵检测的概念、作用,分析与防火墙、扫描器的关系。

3.介绍入侵检测的步骤等。

第2次:1.介绍IDS基本结构,强调其控制台的作用。

2.介绍IDS的类型。

3.介绍IDS基本检测入侵的主要方法,重点介绍误用和异常两种方法。

4.通过实例介绍IDS的布署思路和方法。

5.简单介绍目前常用的比较有效的IDS产品。

6.分析使用状况,提出目前IDS的主要问题,研究发展趋势。

《网络安全技术》教案(第6章)作业与要求作业内容:1.分析入侵检测与防火墙的区别。

2.进行实验。

要求:1.记录实验过程和结果。

2.熟练使用IDS设备。

备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。

第6章入侵检测技术前面介绍了防火墙技术,事实上防火墙只是对网络上某个单一点起作用,而且也只能检查每个进出网络用户的合法性。

一旦攻击者攻破了防火墙,那么他就可以在网络内随意通行。

所以,防火墙技术是静态的安全防御技术,它不能解决动态的安全问题。

入侵检测技术是动态安全技术最核心的技术之一,本章将详细讨论入侵检测技术。

(以防火墙的局限性来说明单一产品的缺陷,引出安全防御措施需要不同产品的配合,最终引出入侵检测技术)6.1 入侵检测的基本知识安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。

计算机网络安全选择题

计算机网络安全选择题

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。

2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。

3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。

4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。

5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。

6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。

7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。

8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。

9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。

10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。

C.5D.6标准答案是:A。

3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。

《网络安全技术》习题与答案

《网络安全技术》习题与答案
14. 生日攻击实例中攻击者意图生成何种碰撞?成功概率如何?
答:攻击者意图在两组合同中各选一份使得其杂凑值相同,既非 弱碰撞攻击也非强碰撞攻击,而是介于两者之间的一种形式。为 计算成功概率,先考虑 M 组中的一份合同均不与 M-组中任一份合 同杂凑值相同的概率:ρ1=(1-1/264)^232;其次,当 M 组中的任 一份合同都满足这一条件时,攻击者才会失败,对应概率为:ρ 2=ρ1^232=((1-1/264)^232)^232=(1-1/264)^264;最后,攻击者成功的 概率则为:ρ=1-ρ2=1-(1-1/264)^264。其中^表示乘方运算。
PDRR 模型在 P2DR 模型的基础上把恢复环节提到了和防护、检测、 响应等环节同等的高度,保护、检测、恢复、响应共同构成了完 整的安全体系。PDRR 也是基于时间的动态模型,其中,恢复环节 对于信息系统和业务活动的生存起着至关重要的作用,组织只有 建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难 事件中尽快恢复并延续业务。
WPDRRC 模型全面涵盖了各个安全因素,突出了人、策略、管理的 重要性,反映了各个安全组件之间的内在联系。该模型主要由六 个元素构成:预警、保护、检测、响应、恢复、反击。
6. 试分析古典密码和现代密码的异同?
答:在 1949 年之前,是密码发展的第一阶段—古典密码体制。古 典密码体制是通过某种方式的文字置换和移位进行,这种置换或 移位一般是通过某种手工或机械变换方式进行转换,同时简单地 使用了数学运算。古典密码的安全性主要依赖对算法本身的保密, 密钥的地位和作用并不十分突出。虽然在古代加密方法中已体现 了密码学的若干要素,但它只是一门艺术,而不是一门科学。
4. 何谓业务填充技术?主要用途如何?
答:所谓的业务填充即使在业务闲时发送无用的随机数据,增加 攻击者通过通信流量获得信息的困难,是一种制造假的通信、产

入侵检测技术

入侵检测技术
本书适合作为计算机、信息安全、通信等相关专业的高年级本科生和研究生的数学用书,也可供广大网络安全工程技术人员参考。
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。

入侵检测技术一入侵检测基本知识⑵入侵检测系统的主要功能

入侵检测技术一入侵检测基本知识⑵入侵检测系统的主要功能

(1) 会降低网络速度。
(2) 配置比较复杂。
一、防火墙技术
㈢防火墙体系结构
双重宿主主机结构
1
被屏蔽主机结构 被屏蔽子网结构 2 3
一、防火墙技术
㈢防火墙体系结构
⑴双重宿主主机结构
二块网卡
图6-5
双重宿主主机结构
一、防火墙技术
㈢防火墙体系结构
⑵屏蔽主机结构
图6-6
屏蔽主机结构
一、防火墙技术
㈢防火墙体系结构
缺点
工作效率较低; 对不同的应用层服务都可能需要定制不同的应用代理防火墙软件, 缺乏灵活性,不易扩展。
一、防火墙技术
㈡防火墙技术
⑴包过滤技术
包过滤技术是在网络层对数据包实施有选择的通过。路由 器按照系统内部设置的分组过滤规则(即访问控制表), 检查每个分组的源IP地址、目的IP地址,决定该分组是否 应该转发。
1
进入 阻塞
TESTHOST
*
*
*
*
2
输出 阻塞
*
*
TESTHOST
*
*
3
进入 允许
*
>1023
192.1.6.2
25
TCP
4
输出 允许
192.1.6.2
25
*
>1023
TCP
一、防火墙技术
⑵网络地址转换技术
图6-2
NAT(Network Address Translation) 示意图
一、防火墙技术
代理服务具有以下缺点: 1 2 代理速度比路由器慢。 代理对用户不透明。 对于每项服务,代理可能要求不同的服务器。 代理服务通常要求对客户或过程进行限制。 代理服务受协议弱点的限制。 代理不能改进底层协议的安全性。

计算机网络安全(选择题)

计算机网络安全(选择题)

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2 分)A. 数据窃听B. 数据流分析C. 数据篡改及破坏D. 非法访问标准答案是:C。

2、数据完整性指的是()(分数:2 分)A. 保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B. 防止因数据被截获而造成泄密C. 确保数据是由合法实体发出的D. 防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。

3、以下算法中属于非对称算法的是()(分数:2 分)A. DESB. RSA算法C. IDEAD. 三重DES标准答案是:B。

4、以下不属于代理服务技术优点的是()(分数:2 分)A. 可以实现身份认证B. 内部地址的屏蔽和转换功能C. 可以实现访问控制D. 可以防范数据驱动侵袭标准答案是:D。

5、下列不属于主动攻击的是()(分数:2 分)A. 修改传输中的数据B. 重放C. 会话拦截D. 利用病毒标准答案是:D。

6、下列不属于被动攻击的是()(分数:2 分)A. 监视明文B. 解密通信数据C. 口令嗅探D. 利用恶意代码标准答案是:D。

7、网络安全主要实用技术不包括()(分数:2 分)A. 数字认证B. 身份认证C. 物理隔离D. 逻辑隔离标准答案是:A。

8、网络安全不包括哪些重要组成部分()(分数:2 分)A. 先进的技术B. 严格的管理C. 威严的法律D. 以上都不是标准答案是:D。

9、不是计算机网络安全的目标的是()(分数:2 分)A. 保密性B. 完整性C. 不可用性D. 不可否认性标准答案是:C。

10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术B. 通信技术C. 操作系统D. 信息论标准答案是:C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是()(分数:2 分)A. 安全管理B. 机房环境安全C. 通信线路安全D. 设备安全标准答案是:A。

浙大远程教育信息安全在线作业

浙大远程教育信息安全在线作业

您的本次作业分数为:99分单选题1.【第11、12章】在目前的信息网络中,(____)病毒是最主要的病毒类型。

∙ A 引导型∙ B 文件型∙ C 网络蠕虫∙ D 木马型单选题2.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。

∙ A 网络带宽∙ B 数据包∙ C 防火墙∙ D LINUX单选题3.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同,(____)在内外网络边界处提供更加主动和积极的病毒保护。

∙ A 防火墙∙ B 病毒网关∙ C IPS∙ D IDS单选题4.【第11、12章】不能防止计算机感染病毒的措施是(____)。

∙ A 定时备份重要文件∙ B 经常更新操作系统∙ C 除非确切知道附件内容,否则不要打开电子邮件附件∙ D 重要部门的计算机尽量专机专用,与外界隔绝单选题5.【第11、12章】计算机病毒最重要的特征是(____)。

∙ A 隐蔽性∙ B 传染性∙ C 潜伏性∙ D 表现性单选题6.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。

∙ A 信息加密和解密∙ B 信息隐匿∙ C 数字签名和身份认证技术∙ D 数字水印单选题7.【第11、12章】安全扫描可以(____)。

∙ A 弥补由于认证机制薄弱带来的问题∙ B 弥补由于协议本身而产生的问题∙ C 弥补防火墙对内网安全威胁检测不足的问题∙ D 扫描检测所有的数据包攻击,分析所有的数据流单选题8.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。

∙ A 保护∙ B 检测∙ C 响应∙ D 恢复单选题9.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4、exe,添加注册表项,使得自身能够在系统启动时自动运行。

第6章-入侵检测与入侵防御

第6章-入侵检测与入侵防御
为什么需要IDS
关于防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
预防是理想的,但检测是必须的
1
网络安全工具的特点
防火墙 IDS
优点 可简化网络管理,产品成熟 实时监控网络安全状态
Scanner
VPN 防病毒
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题
因为不需要对每种入侵行为进行定义,因此能有 效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源
16
误用检测模型
17
误用检测
• 前提:所有的入侵行为都有可被检测到的特征 • 攻击特征库: 当监测的用户或系统行为与库中的记录
相匹配时,系统就认为这种行为是入侵 • 过程
6
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
7
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
8
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较,从而发现违背安全策略 的行为
一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示。该过程 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化)
23
入侵检测的分类(3)
按系统各模块的运行方式
集中式:系统的各个模块包括数据的 收集分析集中在一台主机上运行
分布式:系统的各个模块分布在不同 的计算机和设备上
பைடு நூலகம்24

入侵检测技术考点

入侵检测技术考点

⼊侵检测技术考点第⼀章、⼊侵检测概述⼊侵检测定义:⼊侵是指在⾮授权得情况下,试图存取信息、处理信息或破坏以使系统不可靠、不可⽤的故意⾏为。

⼊侵检测的基本原理:主要分为四个阶段:1、数据收集:数据收集是⼊侵检测的基础,采⽤不同的⽅法进⾏分析。

2、数据处理:从原始数据中除去冗余、杂声,并且进⾏格式化以及标准化处理。

3、数据分析:检查数据是否正常,或者显⽰是否存在⼊侵。

4、响应处理:发现⼊侵,采取措施进⾏保护,保留⼊侵证据并且通知管理员。

1.4 ⼊侵检测的分类按照⼊侵检测技术:误⽤⼊侵检测,异常⼊侵检测和协议分析三种按照数据来源分类:基于主机的⼊侵检测系统、基于⽹络的⼊侵检测系统、混合式⼊侵检测系统、⽂件完整性检查式⼊侵检测系统1.5 常⽤的⼊侵检测⽅法: 1、误⽤⼊侵检测 2、异常检测第⼆章、常见的⼊侵⽅法和⼿段2.1 漏洞的⼏个⽅⾯:1、存储介质不安全2、数据的可访问性3、信息的聚⽣性4、保密的困难性5、介质的剩磁效应6、电磁的泄露性7、通信⽹络的脆弱性8、软件的漏洞2.2 信息系统⾯临的威胁:(简答题 6分 8个回答任意6个)1、计算机病毒2、⿊客⼊侵3、信号截取4、介质失密5、系统漏洞6、⾮法访问7、⼈为因素8、遥控设备2.3 攻击概述:攻击主要分为主动攻击和被动攻击(填空攻击类别 2分)攻击的⼀般流程:(填空 4分)1、隐藏⾃⼰2、踩点或与攻击探测3、采取攻击⾏为4、清楚痕迹主动攻击和被动攻击的区别:主动攻击:主动攻击会造成⽹络系统状态和服务的改编。

它以各种⽅式有选择的破坏信息的有效性和完整性,是纯粹的破坏⾏为。

这样的⽹络侵犯者被称为积极侵犯着。

积极侵犯着截取⽹上的信息包,并对其进⾏更改使他失效,或者股已添加⼀些有利于⾃⼰的信息,起到信息误导的作⽤,或者登陆进⼊系统使⽤并占⽤⼤量⽹络资源,造成资源的消耗,损害合法⽤户的利益。

积极侵犯者的破坏作⽤最⼤。

被动攻击:被动攻击不直接改编⽹络的状态和服务。

计算机网络安全管理第1章 (5)

计算机网络安全管理第1章 (5)

4

1. 2. 3.
入侵者(或攻击者)的攻击手段
冒充。 重放。 篡改。
4.
5.
服务拒绝。中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。
内部攻击。利用其所拥有的权限对系统进行破坏活动。这是最危险的类型,据有关资料统 计,80%以上的网络攻击及破坏与内部攻击有关。
6.
外部攻击。通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户、设置旁路躲避
6
黑客的攻击手段的特点。
(1)利用0Day漏洞攻击。 (2)攻击工具平台化。目前大量的攻击工具已经平台化
(如Metasploit),这些工具会自动扫描,自动找到漏洞,
自动进行攻击,甚至会自动进行对单位内部网络的渗透。 (3)隐蔽性强。各种硬件条件下的后门已经可以做到即使 重新安装操作系统也无法清除干净。如今计算机中的显卡、 DVD光驱等组件一般都有运行固件的内存空间,黑客可以利 用这部分内存空间隐蔽恶意代码,在下次启动计算机时这些 代码将随之被加载。
第6章 入侵检测与防黑客攻击技术
6.1
入侵检测概述
计算机病毒针对的对象主要分为单机和网络两
类,而入侵针对的对象主要是指网络,即入侵行为 的发生环境是计算机网络,所以将入侵也称为网络 入侵。
2
6.1.1 网络入侵与攻击的概念

网络入侵是一个广义上的概念,它是指任何威
胁和破坏计算机或网络系统资源的行为,例如非
23
2. 误用检测模型
误用检测(Misuse Detection)模型主要检测与已知的
不可接受行为之间的匹配程度。如果可以定义所有的不可
接受行为,那么每种能够与之匹配的行为都会引起报警。
收集非正常操作的行为特征,建立相关的特征库,当监测
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

异 常 入 侵 检 测
误 用 的 入 侵 检 测
基 于 主 机 的 IDS
基 于 网 络 的 IDS
集 中 式
分 布 式
离 线 检IDS)
• 通常是安装在被重点检测的主机之上,所 通常是安装在被重点检测的主机之上, 以也称软件检测系统。 以也称软件检测系统。 • 主要是对该主机的网络实时连接以及系统 审计日志进行智能分析和判断。 审计日志进行智能分析和判断。 • 如果其中主体活动十分可疑 特征或违反统 如果其中主体活动十分可疑(特征或违反统 计规律),入侵检测系统就会采取相应措施。 计规律 ,入侵检测系统就会采取相应措施。
IDS的基本结构 的基本结构
• 美国国防高级研究计划署(DARPA)提出 美国国防高级研究计划署( ) 的建议是公共入侵检测框架( 的建议是公共入侵检测框架(CIDF) ) •
CIDF的通用模型 的通用模型
IDS基本术语 基本术语
误报 漏报 警报 特征 混杂模式
入侵检测系统的分类
分析方法和检测原 理 数据来源 体系结构 工作方式
基于网络的入侵检测系统(NIDS) • 基于网络的入侵检测系统使用原始网络包 基于网络的入侵检测系统使用原始网络包 作为数据源。 作为数据源。 • 基于网络的 基于网络的IDS通常利用一个运行在混杂模 通常利用一个运行在混杂模 通常利用一个运行在 式下的网络适配器来实时监视并分析通过 网络的所有通信业务。 网络的所有通信业务。 • 系统获取的数据是网络传输的数据包,保 系统获取的数据是网络传输的数据包 网络传输的数据包, 护的是网络的运行。 护的是网络的运行。
入侵诱骗技术
• 蜜罐技术(Honeypot) 蜜罐技术( ) • 蜜罐技术采取主动的方式 ,用特有的特征吸引攻 击者,同时对攻击者的各种攻击行为进行分析并 击者, 找到有效的对付办法。 找到有效的对付办法。 • 蜜罐是一种资源 • 蜜罐系统最为重要的功能是对系统中所有操作和 行为进行监视和记录, 行为进行监视和记录,可以网络安全专家通过精 心的伪装, 心的伪装,使得攻击者在进入到目标系统后仍不 知道自己所有的行为已经处于系统的监视下。 知道自己所有的行为已经处于系统的监视下。
– 误报率低 – 漏报率高
误用检测模型
• ⑴ 专家系统 • ⑵ 模式匹配
⒊ 入侵诱骗技术
• 定义:用特有的特征吸引攻击者,同时对 定义:用特有的特征吸引攻击者, 攻击者的各种攻击行为进行分析, 攻击者的各种攻击行为进行分析,并进而 找到有效的对付方法。 找到有效的对付方法。 • 特点:试图将攻击者从关键系统引诱开。 特点:试图将攻击者从关键系统引诱开。 是一种主动防御技术。 是一种主动防御技术。 • 目的:从现存的各种威胁中提取有用的信 目的: 息,以发现新型的攻击工具、确定攻击的 以发现新型的攻击工具、 模式并研究攻击者的攻击动机。 模式并研究攻击者的攻击动机。
6.2.4 入侵检测系统实例
⒈ Snort简介 简介 ⒉ Snort的安装与运行 的安装与运行 ⒊ Snort的规则 的规则
Snort的体系结构 的体系结构
规则表的结构组成
6.3入侵检测相关的实验 入侵检测相关的实验
1. Windows下使用 下使用SessionWall进行实时 下使用 进行实时 入侵检测 2. Linux下Snort的安装和使用 下 的安装和使用
NIDS和HIDS比较 和 比较
6.2.3 入侵检测技术
⒈ 异常检测技术 ⒉ 误用检测技术 ⒊ 入侵诱骗技术 4. 入侵响应技术
⒈ 异常检测技术
• 异常检测技术就是首先总结正常操作应该 具有的特征(用户轮廓), ),当用户活动与 具有的特征(用户轮廓),当用户活动与 正常行为有重大偏离时即被认为是入侵。 正常行为有重大偏离时即被认为是入侵。 • 特点: 特点:
基于主机入侵检测系统
基于主机的入侵检测系统有如下优点 • ⑴ 确定攻击是否成功 • ⑵ 监视特定的系统活动 • ⑶ 能够检查到基于网络的系统检查不出的 攻击 • ⑷ 适用被加密的和交换的环境 • ⑸ 近于实时的检测和响应 • ⑹ 不要求额外的硬件设备 • ⑺ 记录花费更加低廉
HIDS弱点和局限性 弱点和局限性
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
6.2 技术视角
入侵检测技术概述 基于网络IDS和基于主机的 和基于主机的IDS比较 基于网络 和基于主机的 比较 入侵检测技术 入侵检测系统实例
入侵检测技术概述
入侵检测系统及起源 IDS的基本结构 的基本结构 基本术语 入侵检测系统的分类
入侵防护系统IPS 入侵防护系统
• IPS概述 概述 • IPS的分类 的分类 • 目前IDS和IPS关系 和 关系 目前
IPS概述 概述
• 入侵防护系统 (IPS) 则倾向于提供主动防护,其 则倾向于提供主动防护, 设计宗旨是预先对入侵活动和攻击性网络流量进 行拦截,避免其造成损失, 行拦截,避免其造成损失,而不是简单地在恶意 流量传送时或传送后才发出警报。 流量传送时或传送后才发出警报。 • IPS 是通过直接嵌入到网络流量中实现这一功能 的,即通过一个网络端口接收来自外部系统的流 量,经过检查确认其中不包含异常活动或可疑内 容后,再通过另外一个端口将它传送到内部系统 容后, 中。
入侵检测系统
• 入侵检测就是察觉入侵的行为。 入侵检测就是察觉入侵的行为。 • 入侵检测的软件与硬件的结合便是入侵检 测系统。 测系统。
入侵检测系统起源
• 入侵检测的研究可以追溯到 入侵检测的研究可以追溯到1980年 年 • 1987年乔治敦大学首次给出一个入侵检测 年乔治敦大学首次给出一个入侵检测 的抽象模型 • 1990年是入侵检测系统发展史上的一个分 年是入侵检测系统发展史上的一个分 水岭 • 从20世纪 年代到现在,入侵检测系统的 世纪90年代到现在 世纪 年代到现在, 研发呈现出百家争鸣的繁荣局面, 研发呈现出百家争鸣的繁荣局面,并在智 能化和分布式两个方向取得了长足的进展
蜜罐
4. 入侵响应技术
• ⑴ 主动响应 • ⑵ 被动响应
第6章 入侵检测系统 章
• ⑴主动响应 • 入侵检测系统在检测到入侵后能够阻断攻 影响进而改变攻击的进程。 击、影响进而改变攻击的进程。 • 主动响应可以采取较严厉的方式,如入侵 主动响应可以采取较严厉的方式, 跟踪技术;也可以采取温和的方式, 跟踪技术;也可以采取温和的方式,如: 报警和修正系统环境等。 报警和修正系统环境等。
– 漏报率低 – 误报率高
异常检测的方法
• ① 概率统计异常检测 • ② 神经网络异常检测
⒉ 误用检测技术
• 误用检测技术要收集非正常操作的行为特 建立相关的特征库,也叫攻击特征库。 征,建立相关的特征库,也叫攻击特征库。 当监测的用户或系统行为与库中的记录相 匹配时,系统就认为这种行为是入侵。 匹配时,系统就认为这种行为是入侵。 • 特点: 特点:
基于移动代理的分布式入侵检测系统 • 分布式入侵检测系统系统架构 • 移动代理(Mobile Agent)技术 ) 移动代理(
分布式入侵检测系统的拓扑图
移动代理技术
• 在入侵检测系统中使用代理可以完成数据 采集、数据预处理、数据分析等功能, 采集、数据预处理、数据分析等功能,用 移动代理可以实时就地处理数据和突发事 减少系统内部通信量, 件,减少系统内部通信量,对入侵进行响 应和追踪等。 应和追踪等。
第6章 入侵检测系统 章
• ⑵ 被动响应 • 入侵检测系统仅仅简单地报告和记录所检 测出的问题。 测出的问题。 • 包括记录安全事件,产生报警信息,记录 包括记录安全事件,产生报警信息, 附加日志,激活附加入侵检测工作等。 附加日志,激活附加入侵检测工作等。是 发现入侵时最常见的行动类型。 发现入侵时最常见的行动类型。
全国高等职业教育计算机类规划教材 实例与实训教程系列
网络安全应用技术
第6章 入侵检测系统 章
在这一章中
你将学习 入侵检测系统的概念、 ◇ 入侵检测系统的概念、分类 ◇ 入侵检测技术 ◇ 蜜罐技术 你将获取 系统下安装轻量级的入侵检测系统Snort △ 在Linux系统下安装轻量级的入侵检测系统 系统下安装轻量级的入侵检测系统 的技能 使用Snort在网络中进行入侵检测与嗅探 △ 使用 在网络中进行入侵检测与嗅探 使用Snort在网络中进行数据记录 △ 使用 在网络中进行数据记录
Windows下使用 下使用SessionWall进行 下使用 进行 实时入侵检测
实验目的: 实验目的: 了解IDS的原理,并掌握 的原理, 了解 的原理 并掌握windows平台下 平台下 CASessionWall产品的配置和使用。 产品的配置和使用。 产品的配置和使用 实验内容和步骤参看教材P165 实验内容和步骤参看教材
它依赖于主机固有的日志与监视能力, ⑴ 它依赖于主机固有的日志与监视能力, 易受攻击,入侵者可设法逃避审计; 易受攻击,入侵者可设法逃避审计; 影响主机的性能; ⑵ 影响主机的性能; 只能对主机的特定用户、 ⑶ 只能对主机的特定用户、应用程序执行动 作和日志进行检测, 作和日志进行检测,所能检测到的攻击类 型受到限制; 型受到限制; 全面部署HIDS代价较大。 代价较大。 ⑷ 全面部署 代价较大
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
案例问题
• 案例说明 • 思考与讨论
案例说明
• 校园网中各种 校园网中各种P2P的应用在校园网内部广泛的应 的应用在校园网内部广泛的应 作为一种时下流行的下载手段,但是, 用,作为一种时下流行的下载手段,但是,大量 无限制的P2P连接将极大的消耗网络带宽资源, 连接将极大的消耗网络带宽资源, 无限制的 连接将极大的消耗网络带宽资源 给西工大正常的网络业务带来极大的困扰, 给西工大正常的网络业务带来极大的困扰,同时 也带来了一些安全隐患。 也带来了一些安全隐患。 • 此外,由于校园网内部的学生机器较多,且没有 此外,由于校园网内部的学生机器较多, 统一安装防病毒软件, 统一安装防病毒软件,如何预防内部网络的病毒 传播,也是摆在校网络中心负责人面前的一个重 传播, 要问题。 要问题。
相关文档
最新文档