第6章 入侵检测技术
入侵检测ppt课件
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
网络安全基础 第六章——网络入侵与攻击技术
实例
主要内容:
1. 网络入侵与攻击概述
2.网络攻击的基本步骤
3.典型的网络攻击技术
4. 操作系统中常用的网络工具
6.3.1 服务拒绝技术
一种通过耗尽CPU、内存、带宽以及磁盘空间等 系统资源,来阻止或削弱对网络、系统或应用程序的授 权使用的行为。 攻击原理是:利用各种手段不断向目标主机发送虚 假请求或垃圾信息等,使目标主机一直处于忙于应付或 一直处于等待回应的状态而无法为其他主机提供服务。
正常的三段握手图例
SYN FLOOD 攻击的三段握手攻击图例
链接
3.入侵者的攻击手段
陷阱门(Trapdoor)陷阱门 (6)外部攻击; 通常是指编程员在设计系统 时有意建立的进入手段。当 (7)内部攻击; 程序运行时,在正确的时间 (8)特洛伊木马。 按下正确的键,或提供正确 的参数,你就能绕过程序提 特洛伊木马程序是指任何提供了隐藏的与用户不希望 供的正常安全检查和错误跟 踪检查 的功能的程序。
是手段,在整个入侵过程中都存在攻击。入侵的目 的就是抢占资源,但它不一定有攻击能力,可能雇 佣攻击者来达到入侵目的。因此,攻击是由入侵者 发起并由攻击者实现的一种‚非法‛行为。
入侵:成功的攻击。 提示:在某种程度上,攻击和入侵很难区别。
3.入侵者的攻击手段
在网上用户能利用IE等浏览器进 (1)冒充 行各种各样的WEB站点的访问,如 阅读新闻组、咨询产品价格、订阅 (2)篡改 报纸、电子商务等。然而一般的用 (3)重放 户恐怕不会想到有这些问题存在: 正在访问的网页已被黑客篡改过, (4)服务拒绝 网页上的信息是虚假的!例如黑客 重放攻击与cookie 将用户要浏览的网页的URL改写为 指向黑客自己的服务器,当用户浏 我们监听http数据传输的截获的敏感数据 览目标网页的时候,实际上是向黑 大多数就是存放在cookie中的数据。其实在 客服务器发出请求,那么黑客就能 web安全中的通过其他方式(非网络监听)盗 达到欺骗的目的了。 取cookie与提交cookie也是一种重放攻击。我 们有时候可以轻松的复制别人的cookie直接获 得相应的权限。
课程大纲-入侵检测与防范技术
入侵检测技术Intrusion Detection Technology课程编号:学分: 2学时: 30 (其中:讲课学时:30 实验学时:上机学时:0)先修课程:计算机网络,TCP/IP,Internet安全适用专业:信息安全教材:自编讲义开课学院:计算机科学与通信工程学院一、课程的性质与任务课程的性质:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件,其主要功能包括:(1)提供事件记录流的信息源;(2)发现入侵迹象的分析引擎;(3)基于分析引擎结果的响应。
误用检测和异常检测是入侵检测常用的方法,前者使用模式匹配技术,检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件,后者则使用统计技术检测不经常发生的事件。
随着网络应用的不断深入,网络安全问题的日显重要,入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。
课程的基本任务:1.了解入侵检测技术的基本概念、发展现状及最新动态;2.掌握入侵检测的原理及系统构成;3.掌握入侵检测的常用方法与技术;4.了解提高入侵检测率对不同用户的要求。
二、课程的基本内容及要求第一章入侵检测技术概述1.基本内容(1)入侵检测的概念(2)入侵检测技术产生的原因(3)入侵检测技术的功能、发展历史及分类(4)入侵检测技术的基本构成和体系结构2.基本要求(1)掌握入侵检测的基本概念(2)掌握入侵检测系统的基本构成(2)了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1.基本内容(1)计算机网络的主要漏洞(2)缓冲区溢出攻击(3)拒绝服务攻击(4)攻击分类2.基本要求(1)掌握缓冲区溢出攻击和拒绝服务攻击的原理(2)了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1.基本内容(1)信息源在入侵系统中的重要地位(2)基于主机的信息源(3)基于网络的信息源(4)基于网络的信息源的获取2.基本要求(1)掌握入侵检测的信息源获取的基本途径(2)了解信息源的作用第四章入侵检测方法1.基本内容(1)入侵检测的基本原理和主要方法(2)基于数据挖掘技术的入侵检测模型(3)基于数据融合技术的入侵检测模型2.基本要求(1)掌握入侵检测的基本原理(2)掌握异常检测与滥用检测常用的检测技术与相应的模型建立(3)掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1.基本内容(1)入侵检测系统原型产品介绍(2)入侵检测系统商业产品介绍(3)免费入侵检测系统产品介绍(4)入侵检测系统产品的选择2.基本要求(1)了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1.基本内容(1)入侵检测系统的脆弱性分析(2)入侵检测系统体系结构的局限性2.基本要求(1)掌握网络系统脆弱性分析的基本方法(2)了解入侵检测系统的局限性第七章入侵检测系统的评价1.基本内容(1)入侵检测系统的评价标准(2)对入侵检测系统的测试与评估2.基本要求(1)掌握入侵检测系统的评价标准(2)掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1.基本内容(1)未来的信息社会(2)未来的技术趋势(3)未来的安全趋势2.基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学;2、为学生提供丰富的参考资料;五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人:韩牟审定人:批准人:日期:2013年5月10日课程简介课程编码:课程名称:入侵检测技术英文名称:Intrusion Detection Technology学分: 2学时: 3 0(其中:讲课学时2 6 实验学时: 0 上机学时:4 )课程内容:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
网络安全防护技能培训教材
网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。
06-信息安全与技术(第2版)-朱海波-清华大学出版社
• 网络入侵检测优点表现在以下几个方面: • 网络通信检测能力 • 无需改变主机配置和性能 • 布署风险小,独立性和操作系统无关性 • 定制设备,安装简单
6.1.3 入侵检测系统的性能指标
3.系统指标
• 系统指标主要表征系统本身运行的稳定性和使用的
方便性。系统指标主要包括最大规则数、平均无故 障间隔等。
6.1 入侵检测的概念
• 6.1.1 入侵检测系统功能及工作过程 • 6.1.2 入侵检测技术的分类 • 6.1.3 入侵检测系统的性能指标
6.1.1 入侵检测系统功能及工作过程
• 入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入
侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中得若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和被 攻击的迹象。
网络入侵检测 ( NIDS )。
6.1.2 入侵检测技术的分类
• 特征检测
• 特征检测是收集非正常操作的行为特征,建立相关的特征库,
当监测的用户或系统行为与库中的记录相匹配时,系统就认 为这种行为是入侵。特征检测可以将已有的入侵方法检查出 来,但对新的入侵方法无能为力。
• 特征检测的难点是如何设计模式既能够表达“入侵”现象又
6.1.1 入侵检测系统功能及工作过程
• 入侵检测系统的主要功能有:
• 实时检测:监控和分析用户和系统活动,实时地监视、分析
网络中所有的数据包;发现并实时处理所捕获的数据包,识 别活动模式以反应已知攻击。
第6章 基于主机的入侵检测技术
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠
入侵检测第2版习题答案
习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
2、入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
3、为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
网络安全防护技术要点
网络安全防护技术要点第1章网络安全基础 (4)1.1 网络安全概念与重要性 (4)1.2 网络安全威胁与攻击手段 (4)1.3 网络安全防护体系架构 (4)第2章数据加密技术 (5)2.1 对称加密算法 (5)2.1.1 DES算法 (5)2.1.2 AES算法 (5)2.1.3 IDEA算法 (6)2.2 非对称加密算法 (6)2.2.1 RSA算法 (6)2.2.2 ECC算法 (6)2.2.3 DSA算法 (6)2.3 混合加密算法 (6)2.3.1 数字信封技术 (6)2.3.2 SSL/TLS协议 (7)2.3.3 SSH协议 (7)第3章认证与授权技术 (7)3.1 身份认证技术 (7)3.1.1 密码学基础 (7)3.1.2 密码技术在实际应用中的身份认证方法 (7)3.1.3 生物识别技术 (7)3.2 认证协议 (8)3.2.1 常见认证协议 (8)3.2.2 认证协议的安全性分析 (8)3.2.3 认证协议的设计原则与优化方法 (8)3.3 授权机制 (8)3.3.1 访问控制模型 (8)3.3.2 授权策略与表达语言 (8)3.3.3 授权机制在实际应用中的实现与优化 (8)第4章网络边界防护技术 (9)4.1 防火墙技术 (9)4.1.1 防火墙概述 (9)4.1.2 防火墙的分类 (9)4.1.3 防火墙的配置与管理 (9)4.2 入侵检测与防御系统 (9)4.2.1 入侵检测与防御系统概述 (9)4.2.2 入侵检测技术 (9)4.2.3 入侵防御技术 (9)4.3 虚拟私人网络(VPN) (9)4.3.1 VPN概述 (9)4.3.3 VPN的部署与运维 (10)第5章网络入侵检测技术 (10)5.1 网络流量分析 (10)5.1.1 流量捕获与预处理 (10)5.1.2 流量统计与分析 (10)5.1.3 异常检测算法 (10)5.2 入侵检测方法 (10)5.2.1 基于特征的入侵检测 (10)5.2.2 基于行为的入侵检测 (10)5.2.3 基于机器学习的入侵检测 (11)5.3 入侵容忍技术 (11)5.3.1 容错技术 (11)5.3.2 安全协议 (11)5.3.3 安全存储 (11)5.3.4 安全模型与策略 (11)第6章恶意代码防范技术 (11)6.1 计算机病毒防护 (11)6.1.1 病毒定义与特征 (11)6.1.2 病毒防护策略 (11)6.1.3 病毒防护技术 (11)6.2 木马检测与清除 (12)6.2.1 木马概述 (12)6.2.2 木马检测技术 (12)6.2.3 木马清除技术 (12)6.3 勒索软件防护 (12)6.3.1 勒索软件概述 (12)6.3.2 勒索软件防护策略 (12)6.3.3 勒索软件防护技术 (12)第7章应用层安全防护 (13)7.1 Web安全 (13)7.1.1 SQL注入防护 (13)7.1.2 跨站脚本攻击(XSS)防护 (13)7.1.3 跨站请求伪造(CSRF)防护 (13)7.1.4 远程代码执行(RCE)防护 (13)7.2 数据库安全 (13)7.2.1 访问控制 (13)7.2.2 数据加密 (13)7.2.3 备份与恢复 (13)7.2.4 数据库防火墙 (13)7.3 应用程序安全 (14)7.3.1 安全开发 (14)7.3.2 安全测试 (14)7.3.3 安全更新与维护 (14)第8章无线网络安全防护 (14)8.1 无线网络安全概述 (14)8.1.1 无线网络安全基本概念 (14)8.1.2 无线网络安全威胁 (14)8.1.3 无线网络安全防护措施 (14)8.2 无线网络安全协议 (15)8.2.1 WEP协议 (15)8.2.2 WPA协议 (15)8.2.3 WPA2协议 (15)8.2.4 WPA3协议 (15)8.3 无线网络安全技术 (15)8.3.1 加密技术 (15)8.3.2 认证技术 (15)8.3.3 访问控制技术 (15)8.3.4 入侵检测技术 (15)8.3.5 VPN技术 (16)8.3.6 安全配置与管理 (16)第9章网络安全漏洞管理 (16)9.1 漏洞扫描技术 (16)9.1.1 常见漏洞扫描方法 (16)9.1.2 漏洞扫描器的选型与部署 (16)9.1.3 漏洞扫描实施与优化 (16)9.2 漏洞评估与修复 (16)9.2.1 漏洞风险评估 (16)9.2.2 漏洞修复策略 (16)9.2.3 漏洞修复实施与跟踪 (16)9.3 安全配置管理 (17)9.3.1 安全配置检查 (17)9.3.2 安全配置基线制定 (17)9.3.3 安全配置自动化管理 (17)9.3.4 安全配置变更控制 (17)第10章网络安全运维与应急响应 (17)10.1 安全运维管理体系 (17)10.1.1 安全运维管理概述 (17)10.1.2 安全运维组织架构 (17)10.1.3 安全运维管理制度 (17)10.1.4 安全运维技术手段 (17)10.2 安全事件监控与预警 (17)10.2.1 安全事件监控 (17)10.2.2 预警体系构建 (18)10.2.3 安全态势感知 (18)10.2.4 预警信息处理与响应 (18)10.3 应急响应流程与措施 (18)10.3.2 应急响应流程 (18)10.3.3 应急响应措施 (18)10.3.4 应急响应团队建设 (18)10.3.5 应急响应技术支持 (18)10.3.6 应急响应案例解析 (18)第1章网络安全基础1.1 网络安全概念与重要性网络安全是指在网络环境下,采取各种安全措施,保证网络系统正常运行,数据完整、保密和可用性得到保障的状态。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
异 常 入 侵 检 测
误 用 的 入 侵 检 测
基 于 主 机 的 IDS
基 于 网 络 的 IDS
集 中 式
分 布 式
离 线 检IDS)
• 通常是安装在被重点检测的主机之上,所 通常是安装在被重点检测的主机之上, 以也称软件检测系统。 以也称软件检测系统。 • 主要是对该主机的网络实时连接以及系统 审计日志进行智能分析和判断。 审计日志进行智能分析和判断。 • 如果其中主体活动十分可疑 特征或违反统 如果其中主体活动十分可疑(特征或违反统 计规律),入侵检测系统就会采取相应措施。 计规律 ,入侵检测系统就会采取相应措施。
IDS的基本结构 的基本结构
• 美国国防高级研究计划署(DARPA)提出 美国国防高级研究计划署( ) 的建议是公共入侵检测框架( 的建议是公共入侵检测框架(CIDF) ) •
CIDF的通用模型 的通用模型
IDS基本术语 基本术语
误报 漏报 警报 特征 混杂模式
入侵检测系统的分类
分析方法和检测原 理 数据来源 体系结构 工作方式
基于网络的入侵检测系统(NIDS) • 基于网络的入侵检测系统使用原始网络包 基于网络的入侵检测系统使用原始网络包 作为数据源。 作为数据源。 • 基于网络的 基于网络的IDS通常利用一个运行在混杂模 通常利用一个运行在混杂模 通常利用一个运行在 式下的网络适配器来实时监视并分析通过 网络的所有通信业务。 网络的所有通信业务。 • 系统获取的数据是网络传输的数据包,保 系统获取的数据是网络传输的数据包 网络传输的数据包, 护的是网络的运行。 护的是网络的运行。
入侵诱骗技术
• 蜜罐技术(Honeypot) 蜜罐技术( ) • 蜜罐技术采取主动的方式 ,用特有的特征吸引攻 击者,同时对攻击者的各种攻击行为进行分析并 击者, 找到有效的对付办法。 找到有效的对付办法。 • 蜜罐是一种资源 • 蜜罐系统最为重要的功能是对系统中所有操作和 行为进行监视和记录, 行为进行监视和记录,可以网络安全专家通过精 心的伪装, 心的伪装,使得攻击者在进入到目标系统后仍不 知道自己所有的行为已经处于系统的监视下。 知道自己所有的行为已经处于系统的监视下。
– 误报率低 – 漏报率高
误用检测模型
• ⑴ 专家系统 • ⑵ 模式匹配
⒊ 入侵诱骗技术
• 定义:用特有的特征吸引攻击者,同时对 定义:用特有的特征吸引攻击者, 攻击者的各种攻击行为进行分析, 攻击者的各种攻击行为进行分析,并进而 找到有效的对付方法。 找到有效的对付方法。 • 特点:试图将攻击者从关键系统引诱开。 特点:试图将攻击者从关键系统引诱开。 是一种主动防御技术。 是一种主动防御技术。 • 目的:从现存的各种威胁中提取有用的信 目的: 息,以发现新型的攻击工具、确定攻击的 以发现新型的攻击工具、 模式并研究攻击者的攻击动机。 模式并研究攻击者的攻击动机。
6.2.4 入侵检测系统实例
⒈ Snort简介 简介 ⒉ Snort的安装与运行 的安装与运行 ⒊ Snort的规则 的规则
Snort的体系结构 的体系结构
规则表的结构组成
6.3入侵检测相关的实验 入侵检测相关的实验
1. Windows下使用 下使用SessionWall进行实时 下使用 进行实时 入侵检测 2. Linux下Snort的安装和使用 下 的安装和使用
NIDS和HIDS比较 和 比较
6.2.3 入侵检测技术
⒈ 异常检测技术 ⒉ 误用检测技术 ⒊ 入侵诱骗技术 4. 入侵响应技术
⒈ 异常检测技术
• 异常检测技术就是首先总结正常操作应该 具有的特征(用户轮廓), ),当用户活动与 具有的特征(用户轮廓),当用户活动与 正常行为有重大偏离时即被认为是入侵。 正常行为有重大偏离时即被认为是入侵。 • 特点: 特点:
基于主机入侵检测系统
基于主机的入侵检测系统有如下优点 • ⑴ 确定攻击是否成功 • ⑵ 监视特定的系统活动 • ⑶ 能够检查到基于网络的系统检查不出的 攻击 • ⑷ 适用被加密的和交换的环境 • ⑸ 近于实时的检测和响应 • ⑹ 不要求额外的硬件设备 • ⑺ 记录花费更加低廉
HIDS弱点和局限性 弱点和局限性
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
6.2 技术视角
入侵检测技术概述 基于网络IDS和基于主机的 和基于主机的IDS比较 基于网络 和基于主机的 比较 入侵检测技术 入侵检测系统实例
入侵检测技术概述
入侵检测系统及起源 IDS的基本结构 的基本结构 基本术语 入侵检测系统的分类
入侵防护系统IPS 入侵防护系统
• IPS概述 概述 • IPS的分类 的分类 • 目前IDS和IPS关系 和 关系 目前
IPS概述 概述
• 入侵防护系统 (IPS) 则倾向于提供主动防护,其 则倾向于提供主动防护, 设计宗旨是预先对入侵活动和攻击性网络流量进 行拦截,避免其造成损失, 行拦截,避免其造成损失,而不是简单地在恶意 流量传送时或传送后才发出警报。 流量传送时或传送后才发出警报。 • IPS 是通过直接嵌入到网络流量中实现这一功能 的,即通过一个网络端口接收来自外部系统的流 量,经过检查确认其中不包含异常活动或可疑内 容后,再通过另外一个端口将它传送到内部系统 容后, 中。
入侵检测系统
• 入侵检测就是察觉入侵的行为。 入侵检测就是察觉入侵的行为。 • 入侵检测的软件与硬件的结合便是入侵检 测系统。 测系统。
入侵检测系统起源
• 入侵检测的研究可以追溯到 入侵检测的研究可以追溯到1980年 年 • 1987年乔治敦大学首次给出一个入侵检测 年乔治敦大学首次给出一个入侵检测 的抽象模型 • 1990年是入侵检测系统发展史上的一个分 年是入侵检测系统发展史上的一个分 水岭 • 从20世纪 年代到现在,入侵检测系统的 世纪90年代到现在 世纪 年代到现在, 研发呈现出百家争鸣的繁荣局面, 研发呈现出百家争鸣的繁荣局面,并在智 能化和分布式两个方向取得了长足的进展
蜜罐
4. 入侵响应技术
• ⑴ 主动响应 • ⑵ 被动响应
第6章 入侵检测系统 章
• ⑴主动响应 • 入侵检测系统在检测到入侵后能够阻断攻 影响进而改变攻击的进程。 击、影响进而改变攻击的进程。 • 主动响应可以采取较严厉的方式,如入侵 主动响应可以采取较严厉的方式, 跟踪技术;也可以采取温和的方式, 跟踪技术;也可以采取温和的方式,如: 报警和修正系统环境等。 报警和修正系统环境等。
– 漏报率低 – 误报率高
异常检测的方法
• ① 概率统计异常检测 • ② 神经网络异常检测
⒉ 误用检测技术
• 误用检测技术要收集非正常操作的行为特 建立相关的特征库,也叫攻击特征库。 征,建立相关的特征库,也叫攻击特征库。 当监测的用户或系统行为与库中的记录相 匹配时,系统就认为这种行为是入侵。 匹配时,系统就认为这种行为是入侵。 • 特点: 特点:
基于移动代理的分布式入侵检测系统 • 分布式入侵检测系统系统架构 • 移动代理(Mobile Agent)技术 ) 移动代理(
分布式入侵检测系统的拓扑图
移动代理技术
• 在入侵检测系统中使用代理可以完成数据 采集、数据预处理、数据分析等功能, 采集、数据预处理、数据分析等功能,用 移动代理可以实时就地处理数据和突发事 减少系统内部通信量, 件,减少系统内部通信量,对入侵进行响 应和追踪等。 应和追踪等。
第6章 入侵检测系统 章
• ⑵ 被动响应 • 入侵检测系统仅仅简单地报告和记录所检 测出的问题。 测出的问题。 • 包括记录安全事件,产生报警信息,记录 包括记录安全事件,产生报警信息, 附加日志,激活附加入侵检测工作等。 附加日志,激活附加入侵检测工作等。是 发现入侵时最常见的行动类型。 发现入侵时最常见的行动类型。
全国高等职业教育计算机类规划教材 实例与实训教程系列
网络安全应用技术
第6章 入侵检测系统 章
在这一章中
你将学习 入侵检测系统的概念、 ◇ 入侵检测系统的概念、分类 ◇ 入侵检测技术 ◇ 蜜罐技术 你将获取 系统下安装轻量级的入侵检测系统Snort △ 在Linux系统下安装轻量级的入侵检测系统 系统下安装轻量级的入侵检测系统 的技能 使用Snort在网络中进行入侵检测与嗅探 △ 使用 在网络中进行入侵检测与嗅探 使用Snort在网络中进行数据记录 △ 使用 在网络中进行数据记录
Windows下使用 下使用SessionWall进行 下使用 进行 实时入侵检测
实验目的: 实验目的: 了解IDS的原理,并掌握 的原理, 了解 的原理 并掌握windows平台下 平台下 CASessionWall产品的配置和使用。 产品的配置和使用。 产品的配置和使用 实验内容和步骤参看教材P165 实验内容和步骤参看教材
它依赖于主机固有的日志与监视能力, ⑴ 它依赖于主机固有的日志与监视能力, 易受攻击,入侵者可设法逃避审计; 易受攻击,入侵者可设法逃避审计; 影响主机的性能; ⑵ 影响主机的性能; 只能对主机的特定用户、 ⑶ 只能对主机的特定用户、应用程序执行动 作和日志进行检测, 作和日志进行检测,所能检测到的攻击类 型受到限制; 型受到限制; 全面部署HIDS代价较大。 代价较大。 ⑷ 全面部署 代价较大
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
案例问题
• 案例说明 • 思考与讨论
案例说明
• 校园网中各种 校园网中各种P2P的应用在校园网内部广泛的应 的应用在校园网内部广泛的应 作为一种时下流行的下载手段,但是, 用,作为一种时下流行的下载手段,但是,大量 无限制的P2P连接将极大的消耗网络带宽资源, 连接将极大的消耗网络带宽资源, 无限制的 连接将极大的消耗网络带宽资源 给西工大正常的网络业务带来极大的困扰, 给西工大正常的网络业务带来极大的困扰,同时 也带来了一些安全隐患。 也带来了一些安全隐患。 • 此外,由于校园网内部的学生机器较多,且没有 此外,由于校园网内部的学生机器较多, 统一安装防病毒软件, 统一安装防病毒软件,如何预防内部网络的病毒 传播,也是摆在校网络中心负责人面前的一个重 传播, 要问题。 要问题。