沈鑫剡编著(网络安全)教材配套课件第12章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Internet 网络入侵防御系统
192.1.1.1/24 192.1.1.3/24 Web 服务器 FTP 服务器
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
交换机 终端 C 1 2 探测模式探测器
终端 A
虚拟策略路由
通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数 的IP分组; 为这些IP分组选择特定的传输路径; 虚拟访问控制列表允许这些IP分组既正常转发,又从特定传输路径转发; 通过特定传输路径转发的IP分组到达探测器。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
二、信息捕获机制
终端 B
3 终端 C 1
交换机 1 2 1 2 交换机 2 探测模式探测器
利用跨交换机端口境像捕获信息机制
终端 A
跨交换机端口境像功能是将需要检测的端口和连接探测模式 的探测器端口之间交换路径所经过交换机端口划分为一个特 定的VLAN; 从检测端口进入的信息除了正常转发外,在该特定VLAN内广 播。
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
规则设计 与修改
事件发生器
事件
更新规则 事件分析器 提取规则 更新 处理意见 事件数据库
历史 活动状态
响应单元
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
1.事件发生器 通用框架统一将需要入侵检测系统分析的数据称为事件, 事件发生器的功能是提供事件。 2.事件分析器 事件分析器根据事件数据库中的入侵特征描述、用户历 史行为模型等信息,对事件发生器提供的事件进行分析,得 出事件是否合法的结论。 3.响应单元 响应单元是根据事件分析器的分析结果做出反应的单元。 4.事件数据库 事件数据库中存储用于作为判别事件是否合法的依据的 信息。
计算机网络安全
入侵防御系统
五、IDS分类
路由器 Internet 网络入侵防御系统 管理服务器 主机入侵防御系统 交换机 重要服务器 重要终端
入侵防御系统分为主机入侵防御系统和网络入侵防御系统; 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程, 以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施 反制过程,以此保护重要网络资源; 主机入侵防御系统和网络入侵防御系统相辅相成,构成有机的防御体系。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
主机入侵检测系统工作过程 拦截主机资源访问操作请求和网络信息流; 采集相应数据; 确定操作请求和网络信息流的合法性; 反制动作; 登记和分析。 主机攻击行为的最终目标是非法访问网络资源,或者感 染病毒,这些操作的实施一般都需要调用操作系统提供 的服务,因此,首要任务是对调用操作系统服务的请求 进行检测,根据调用发起进程,调用进程所属用户,需 要访问的主机资源等信息确定调用的合法性。同时,需 要对进出主机的信息进行检测,发现非法代码和敏感信 息。
计算ຫໍສະໝຸດ Baidu网络安全
入侵防御系统
二、信息捕获机制
终端 B
集线器 终端 C 探测模式探测器
终端 A
利用集线器捕获信息机制
利用集线器的广播传输功能,从集线器任何端口 进入的信息流,将广播到所有其他端口。
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
1 终端 C
交换机 2 探测模式探测器
利用端口境像捕获信息机制
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
八、入侵检测系统发展趋势
融合到操作系统中 主机入侵防御系统的主要功能是监测对主机资源 的访问过程,对访问资源的合法性进行判别,这 是操作系统应该集成的功能。 集成到网络转发设备中 所有信息流都需经过转发设备进行转发,因此, 转发设备是检测信息流的合适之处。
计算机网络安全
计算机网络安全
入侵防御系统
三、网络入侵检测机制
发生概率 重叠部分
攻击过程
正常访 问过程
A
B
测量值或行为
异常检测的困难之处在于正常信息流和异常信息流的测 量值之间存在重叠部分,必须在误报和漏报之间平衡; 根据被保护资源的重要性确定基准值(靠近A点或B点)。
计算机网络安全
入侵防御系统
四、安全策略配置实例
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
网络入侵检测系统工作过程 得到流经关键网 捕获信息; 段的信息流。 检测异常信息; 异常指包含非法代码,包含非法字段 值,与已知攻击特征匹配等。 反制异常信息; 反制是丢弃与异常信息具有相同源IP地址, 或者相同目的IP地址的IP分组,释放传输 报警; 异常信息的TCP连接等。 登记。 向网络安全管理员报告检测到异常信息流
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征 1 攻击特征 2 阶段 2 攻击特征 3 攻击特征 4 事件轴 阶段 1 阶段 3 阶段 4
有状态攻击特征可以用事件轴的方式给出攻击过程 中每一个阶段的攻击特征。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
协议译码 IP分组的正确性,如首部字段值是否合理,整个 TCP首部是否包含单片数据中,各个分片的长度 之和是否超过64KB等; TCP报文的正确性,如经过TCP连接传输的TCP 报文的序号和确认序号之间是否冲突,连续发送 的TCP报文序号范围和另一方发送的窗口是否冲 突,各段数据的序号范围是否重叠等; 应用层报文的正确性,请求、响应过程是否合乎 协议规范;各个字段值是否合理,端口号是否和 默认应用层协议匹配等。
终端 A
端口境像功能是将交换机某个端口(如图中的端口2)作为另一个端口 (如图中的端口1)的境像,这样,所有从该端口输出的信息流,都被复 制到境像端口,由于境像端口和其他交换机端口之间的境像关系是动态的, 因此,连接在端口2的探测器,可以捕获从交换机任意端口输出的信息流。
计算机网络安全
入侵防御系统
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
服务器 黑客终端 建立 TCP 连接 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 释放 TCP 连接 时间
具有交互特性的TCP连 接的规则如下: 相邻TCP报文的最小 间隔:500ms 相邻TCP报文的最大 间隔:30s 相邻间隔, TCP报文包含的最小 背靠背的情况 字节数:20B TCP报文包含的最大 字节数:100B 背靠背TCP报文的最 小比例:50% TCP小报文的最小比 例:80%
入侵防御系统
九、入侵检测系统的评价指标
1.正确性 正确性要求入侵检测系统减少误报,误报是把正常 的信息交换过程或网络资源访问过程作为攻击过程予以 反制和报警的情况。 2.全面性 全面性要求入侵检测系统减少漏报,漏报与误报相 反,是把攻击过程当作正常的信息交换过程或网络资源 访问过程不予干预,从而使黑客攻击成功的情况。 3.性能 性能是指捕获和检测信息流的能力。
网络安全
第十二章
© 2006工程兵工程学院 计算机教研室
入侵防御系统
第12章 入侵检测系统
本章主要内容 IDS概述; 网络入侵检测系统; 主机入侵检测系统。
计算机网络安全
入侵防御系统
12.1 IDS概述
本讲主要内容 入侵定义和手段; 引出IDS的原因; 入侵检测系统通用框架结构; 入侵检测系统的两种应用方式; IDS分类; 入侵检测系统工作过程; 入侵检测系统不足; 入侵检测系统发展趋势; 入侵检测系统的评价指标。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征检测 从已知的攻击信息流中提取出有别于正常信息流的特征 信息; 特征信息分为元攻击特征和有状态攻击特征; 元攻击特征是单个独立的攻击特征,只要信息流中出现 和元攻击特征相同的位流或字节流模式,即可断定发现 攻击; 有状态攻击特征是将整个会话分成若干阶段,攻击特征 分散出现在多个阶段对应的信息流中,只有按照阶段顺 序,在每一个检测到指定的攻击特征才可断定发现攻击; 攻击特征只能检测出已知攻击,即提取出攻击特征的攻 击行为。
入侵防御系统
三、网络入侵检测机制
异常检测 基于统计机制,在一段时间内,对流经特定网段的信息 流进行统计,如单位时间特定源和目的终端之间的流量、 不同应用层报文分布等,将这些统计值作为基准统计值。 然后,实时采集流经该网段的信息流,并计算出单位时 间内的统计值,然后和基准统计值比较,如果多个统计 值和基准统计值存在较大偏差,断定流经该网段的信息 流出现异常; 基于规则机制,通过分析大量异常信息流,总结出一些 特定异常信息流的规则,一旦流经该网段的信息流符合 某种异常信息流对应的规则,断定该信息流为异常信息 流。
计算机网络安全
入侵防御系统
12.2 网络入侵检测系统
本讲主要内容 网络入侵检测系统结构; 信息捕获机制; 网络入侵检测机制; 安全策略配置实例。
计算机网络安全
入侵防御系统
一、网络入侵检测系统结构
交换机 探测器 2
集线器 探测器 1
管理端口
服务器
安全管理器
探测器1处于探测模式,需要采用相应捕获机制才能捕获信息流,探测器2 处于转发模式; 探测器1只能使用释放TCP连接的反制动作,探测器2可以使用其他反制动 作; 为了安全起见,探测器和管理服务器用专用网络实现互连。
的情况,异常信息流的特征、源和目的IP 地址,可能实施的攻击等。 记录下有关异常信息流的一切信息,以 便对其进行分析。 计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
路由器 Internet NIDS 交换机 集线器 服务器 NIDS
在线方式下,网络入侵检测系统(NIDS)捕获内网 和外网之间传输的信息的过程; 杂凑方式下,网络入侵检测系统(NIDS)捕获终端 和服务器间传输的信息的过程。
计算机网络安全
入侵防御系统
一、入侵定义和手段
所有破坏网络可用性、保密性和完整性的行 为都是入侵。 目前黑客的入侵手段主要有恶意代码、非法 访问和拒绝服务攻击等。
计算机网络安全
入侵防御系统
二、引出IDS的原因
内部网络 193.1.1.0/24 Web 服务器 1 193.1.1.7 193.1.1.3 非军事区 193.1.2.0/24 电路层代理 193.1.2.7 WAF 邮件服务器 193.1.2.6 Web 服务器 2 193.1.2.5 193.1.1.254 1 防火墙 193.1.3.1 3 2 193.1.2.254 用户权限表 用户名 密码 权限 用户 A PASSA 193.1.1.7 (TCP) 193.1.3.2 R Internet 远程终端
192.1.1.1/24 192.1.1.3/24 Web 服务器 FTP 服务器
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
交换机 终端 C 1 2 探测模式探测器
终端 A
虚拟策略路由
通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数 的IP分组; 为这些IP分组选择特定的传输路径; 虚拟访问控制列表允许这些IP分组既正常转发,又从特定传输路径转发; 通过特定传输路径转发的IP分组到达探测器。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
二、信息捕获机制
终端 B
3 终端 C 1
交换机 1 2 1 2 交换机 2 探测模式探测器
利用跨交换机端口境像捕获信息机制
终端 A
跨交换机端口境像功能是将需要检测的端口和连接探测模式 的探测器端口之间交换路径所经过交换机端口划分为一个特 定的VLAN; 从检测端口进入的信息除了正常转发外,在该特定VLAN内广 播。
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
规则设计 与修改
事件发生器
事件
更新规则 事件分析器 提取规则 更新 处理意见 事件数据库
历史 活动状态
响应单元
计算机网络安全
入侵防御系统
三、入侵检测系统通用框架结构
1.事件发生器 通用框架统一将需要入侵检测系统分析的数据称为事件, 事件发生器的功能是提供事件。 2.事件分析器 事件分析器根据事件数据库中的入侵特征描述、用户历 史行为模型等信息,对事件发生器提供的事件进行分析,得 出事件是否合法的结论。 3.响应单元 响应单元是根据事件分析器的分析结果做出反应的单元。 4.事件数据库 事件数据库中存储用于作为判别事件是否合法的依据的 信息。
计算机网络安全
入侵防御系统
五、IDS分类
路由器 Internet 网络入侵防御系统 管理服务器 主机入侵防御系统 交换机 重要服务器 重要终端
入侵防御系统分为主机入侵防御系统和网络入侵防御系统; 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程, 以此发现攻击行为、管制流出主机的信息流,保护主机资源; 网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施 反制过程,以此保护重要网络资源; 主机入侵防御系统和网络入侵防御系统相辅相成,构成有机的防御体系。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
主机入侵检测系统工作过程 拦截主机资源访问操作请求和网络信息流; 采集相应数据; 确定操作请求和网络信息流的合法性; 反制动作; 登记和分析。 主机攻击行为的最终目标是非法访问网络资源,或者感 染病毒,这些操作的实施一般都需要调用操作系统提供 的服务,因此,首要任务是对调用操作系统服务的请求 进行检测,根据调用发起进程,调用进程所属用户,需 要访问的主机资源等信息确定调用的合法性。同时,需 要对进出主机的信息进行检测,发现非法代码和敏感信 息。
计算ຫໍສະໝຸດ Baidu网络安全
入侵防御系统
二、信息捕获机制
终端 B
集线器 终端 C 探测模式探测器
终端 A
利用集线器捕获信息机制
利用集线器的广播传输功能,从集线器任何端口 进入的信息流,将广播到所有其他端口。
计算机网络安全
入侵防御系统
二、信息捕获机制
终端 B
1 终端 C
交换机 2 探测模式探测器
利用端口境像捕获信息机制
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
八、入侵检测系统发展趋势
融合到操作系统中 主机入侵防御系统的主要功能是监测对主机资源 的访问过程,对访问资源的合法性进行判别,这 是操作系统应该集成的功能。 集成到网络转发设备中 所有信息流都需经过转发设备进行转发,因此, 转发设备是检测信息流的合适之处。
计算机网络安全
计算机网络安全
入侵防御系统
三、网络入侵检测机制
发生概率 重叠部分
攻击过程
正常访 问过程
A
B
测量值或行为
异常检测的困难之处在于正常信息流和异常信息流的测 量值之间存在重叠部分,必须在误报和漏报之间平衡; 根据被保护资源的重要性确定基准值(靠近A点或B点)。
计算机网络安全
入侵防御系统
四、安全策略配置实例
计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
网络入侵检测系统工作过程 得到流经关键网 捕获信息; 段的信息流。 检测异常信息; 异常指包含非法代码,包含非法字段 值,与已知攻击特征匹配等。 反制异常信息; 反制是丢弃与异常信息具有相同源IP地址, 或者相同目的IP地址的IP分组,释放传输 报警; 异常信息的TCP连接等。 登记。 向网络安全管理员报告检测到异常信息流
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征 1 攻击特征 2 阶段 2 攻击特征 3 攻击特征 4 事件轴 阶段 1 阶段 3 阶段 4
有状态攻击特征可以用事件轴的方式给出攻击过程 中每一个阶段的攻击特征。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
协议译码 IP分组的正确性,如首部字段值是否合理,整个 TCP首部是否包含单片数据中,各个分片的长度 之和是否超过64KB等; TCP报文的正确性,如经过TCP连接传输的TCP 报文的序号和确认序号之间是否冲突,连续发送 的TCP报文序号范围和另一方发送的窗口是否冲 突,各段数据的序号范围是否重叠等; 应用层报文的正确性,请求、响应过程是否合乎 协议规范;各个字段值是否合理,端口号是否和 默认应用层协议匹配等。
终端 A
端口境像功能是将交换机某个端口(如图中的端口2)作为另一个端口 (如图中的端口1)的境像,这样,所有从该端口输出的信息流,都被复 制到境像端口,由于境像端口和其他交换机端口之间的境像关系是动态的, 因此,连接在端口2的探测器,可以捕获从交换机任意端口输出的信息流。
计算机网络安全
入侵防御系统
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
服务器 黑客终端 建立 TCP 连接 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 TCP 报文 释放 TCP 连接 时间
具有交互特性的TCP连 接的规则如下: 相邻TCP报文的最小 间隔:500ms 相邻TCP报文的最大 间隔:30s 相邻间隔, TCP报文包含的最小 背靠背的情况 字节数:20B TCP报文包含的最大 字节数:100B 背靠背TCP报文的最 小比例:50% TCP小报文的最小比 例:80%
入侵防御系统
九、入侵检测系统的评价指标
1.正确性 正确性要求入侵检测系统减少误报,误报是把正常 的信息交换过程或网络资源访问过程作为攻击过程予以 反制和报警的情况。 2.全面性 全面性要求入侵检测系统减少漏报,漏报与误报相 反,是把攻击过程当作正常的信息交换过程或网络资源 访问过程不予干预,从而使黑客攻击成功的情况。 3.性能 性能是指捕获和检测信息流的能力。
网络安全
第十二章
© 2006工程兵工程学院 计算机教研室
入侵防御系统
第12章 入侵检测系统
本章主要内容 IDS概述; 网络入侵检测系统; 主机入侵检测系统。
计算机网络安全
入侵防御系统
12.1 IDS概述
本讲主要内容 入侵定义和手段; 引出IDS的原因; 入侵检测系统通用框架结构; 入侵检测系统的两种应用方式; IDS分类; 入侵检测系统工作过程; 入侵检测系统不足; 入侵检测系统发展趋势; 入侵检测系统的评价指标。
计算机网络安全
入侵防御系统
三、网络入侵检测机制
攻击特征检测 从已知的攻击信息流中提取出有别于正常信息流的特征 信息; 特征信息分为元攻击特征和有状态攻击特征; 元攻击特征是单个独立的攻击特征,只要信息流中出现 和元攻击特征相同的位流或字节流模式,即可断定发现 攻击; 有状态攻击特征是将整个会话分成若干阶段,攻击特征 分散出现在多个阶段对应的信息流中,只有按照阶段顺 序,在每一个检测到指定的攻击特征才可断定发现攻击; 攻击特征只能检测出已知攻击,即提取出攻击特征的攻 击行为。
入侵防御系统
三、网络入侵检测机制
异常检测 基于统计机制,在一段时间内,对流经特定网段的信息 流进行统计,如单位时间特定源和目的终端之间的流量、 不同应用层报文分布等,将这些统计值作为基准统计值。 然后,实时采集流经该网段的信息流,并计算出单位时 间内的统计值,然后和基准统计值比较,如果多个统计 值和基准统计值存在较大偏差,断定流经该网段的信息 流出现异常; 基于规则机制,通过分析大量异常信息流,总结出一些 特定异常信息流的规则,一旦流经该网段的信息流符合 某种异常信息流对应的规则,断定该信息流为异常信息 流。
计算机网络安全
入侵防御系统
12.2 网络入侵检测系统
本讲主要内容 网络入侵检测系统结构; 信息捕获机制; 网络入侵检测机制; 安全策略配置实例。
计算机网络安全
入侵防御系统
一、网络入侵检测系统结构
交换机 探测器 2
集线器 探测器 1
管理端口
服务器
安全管理器
探测器1处于探测模式,需要采用相应捕获机制才能捕获信息流,探测器2 处于转发模式; 探测器1只能使用释放TCP连接的反制动作,探测器2可以使用其他反制动 作; 为了安全起见,探测器和管理服务器用专用网络实现互连。
的情况,异常信息流的特征、源和目的IP 地址,可能实施的攻击等。 记录下有关异常信息流的一切信息,以 便对其进行分析。 计算机网络安全
入侵防御系统
六、入侵检测系统工作过程
路由器 Internet NIDS 交换机 集线器 服务器 NIDS
在线方式下,网络入侵检测系统(NIDS)捕获内网 和外网之间传输的信息的过程; 杂凑方式下,网络入侵检测系统(NIDS)捕获终端 和服务器间传输的信息的过程。
计算机网络安全
入侵防御系统
一、入侵定义和手段
所有破坏网络可用性、保密性和完整性的行 为都是入侵。 目前黑客的入侵手段主要有恶意代码、非法 访问和拒绝服务攻击等。
计算机网络安全
入侵防御系统
二、引出IDS的原因
内部网络 193.1.1.0/24 Web 服务器 1 193.1.1.7 193.1.1.3 非军事区 193.1.2.0/24 电路层代理 193.1.2.7 WAF 邮件服务器 193.1.2.6 Web 服务器 2 193.1.2.5 193.1.1.254 1 防火墙 193.1.3.1 3 2 193.1.2.254 用户权限表 用户名 密码 权限 用户 A PASSA 193.1.1.7 (TCP) 193.1.3.2 R Internet 远程终端