kok电子竞技权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
kok电子竞技:文档简介
入侵检测原理与技术IDS在网络中的部署IDS的组成入侵检测系统实例IDS现状与发展方向蜜罐技术1编辑pptIDS在网络中的位置DMZIntranet2编辑ppt
位置1:
位于防火墙外侧的非系统信任域,它将负责检测来自外部的所有入侵企图(这可能产生大量的kok电子竞技),通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS。
位置2:
很多站点都把对外提供服务的服务器单独放在一个隔离的区域,通常称为DMZ非军事化区。在此放置一个检测引擎是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目标。
位置3:
这里应该是最重要、最应该放置检测引擎的地方。对于那些已经透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客,这里正是利用IDS系统及时发现并作出反应的最佳时机和地点。IDS在网络中的位置3编辑pptIDS的组成检测引擎控制中心
HUB检测引擎MonitoredServers控制中心4编辑ppt典型的攻防模型5编辑pptIDS基本结构入侵检测系统包括三个功能部件(1)信息收集(2)信息分析(3)结果处理(响应)6编辑ppt信息搜集7编辑ppt信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点8编辑ppt信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息9编辑ppt信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为10编辑ppt信息分析11编辑ppt信息分析模式匹配统计分析完整性分析,往往用于事后分析12编辑ppt模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)13编辑ppt统计分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生14编辑ppt完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效15编辑ppt结果处理16编辑ppt结果处理主动响应阻止攻击,切断网络连接;被动响应记录事件和报警。17编辑ppt入侵检测性能关键参数误报(falsepositive):如果系统错误地将异常活动定义为入侵漏报(falsenegative):如果系统未能检测出真正的入侵行为0检出率(detectionrate)100%100%误报率18编辑ppt网络入侵检测工具snort19编辑ppt20编辑pptSnort是一个基于简单模式匹配的IDS源码开放,跨平台(C语言编写,可移植性好)利用libpcap作为捕获数据包的工具特点设计原则:性能、简单、灵活包含三个子系统:网络包的解析器、检测引擎、日志和报警子系统内置了一套插件子系统,作为系统扩展的手段模式特征链——规则链命令行方式运行,也可以用作一个sniffer工具21编辑ppt网络数据包解析结合网络协议栈的结构来设计Snort支持链路层和TCP/IP的协议定义每一层上的数据包都对应一个函数按照协议层次的顺序依次调用就可以得到各个层上的数据包头从链路层,到传输层,直到应用层在解析的过程中,性能非常关键,在每一层传递过程中,只传递指针,不传实际的数据支持链路层:以太网、令牌网、FDDI22编辑ppt23编辑pptSnort工作模式Sniffer模式(-v):监听网络数据流PacketLogger模式(-l):记录数据包内容IntrusionDetection模式(-c):网络入侵检测24编辑pptSnort输出选项-Afast:只记录Alert的时间、IP、端口和攻击消息-Afull:完整的Alert记录-Anone:关闭Alert-Aunsock:将Alert发送到其他进程监听的socket25编辑pptSnort基本流程注:libpcap是linux下的包捕获库,windows下的是winpcap。26编辑pptSnort:日志和报警子系统当匹配到特定的规则之后,检测引擎会触发相应的动作日志记录动作,三种格式:解码之后的二进制数据包文本形式的IP结构Tcpdump格式如果考虑性能的话,应选择tcpdump格式,或者关闭logging功能报警动作,包括Syslog记录到alert文本文件中发送WinPopup消息27编辑ppt关于snort的规则Snort的规则比较简单规则结构:规则头:alerttcp!/24any->/24any规则选项:(flags:SF;msg:“SYN-FINScan”;)针对已经发现的攻击类型,都可以编写出适当的规则来规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口。规则选项包含:报警信息和异常包的信息(特征码),使用这些特征码来决定是否采取规则规定的行动。现有大量的规则可供利用28编辑pptSnort规则示例规则示例29编辑ppt关于snort开放性源码开放,最新规则库的开放作为商业IDS的有机补充特别是对于最新攻击模式的知识共享Snort的部署作为分布式IDS的节点为高级的IDS提供基本的事件kok电子竞技发展数据库的支持互操作性,规则库的标准化二进制插件的支持预处理器模块:TCP流重组、统计分析,等……30编辑pptIDS现状误报漏报率太高:各种检测方法都存在缺陷;没有主动防御能力:IDS技术是一种预设置式的工作方式,特征分析式工作原理。检测规则的更新总是落后于攻击手段的更新,所以这永远是亡羊补牢,被动防守;31编辑ppt基于主机和基于网络的入侵检测系统采集、分析的数据不全面;入侵检测由各个检测引擎独立完成,中心管理控制平台并不具备检测入侵的功能,缺乏综合分析;在响应上,除了日志和告警,检测引擎只能通过发送RST包切断网络连接,或向攻击源发送目标不可达信息来实现安全控制。IDS现状32编辑ppt通过在防火墙中驻留的一个IDSAgent对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实现联动。IDS与Firewall联动33编辑ppt发展方向分布式入侵检测
使用分布式的方法来监测分布式的攻击,其中的关键技术为监测信息的协同处理与入侵攻击的全局信息的提取智能化入侵检测
使用智能化的方法与手段来进行入侵监测
全面的安全防御方案网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵监测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。34编辑ppt资源IDSFAQ/pubs/Focus-IDSMailinglist/archive/96YawlOldHandSinbad/doc.html?board=IDS35编辑ppt蓝盾入侵检测典型应用36编辑ppt边缘路由器病毒服务器防火墙IDS探测器Internet内网VPN解密暂时缓存数据查询病毒服务器查询病毒服务器数据包带有病毒吗是否攻击包?YESNO先杀毒再转发数据包直接转发该数据包YES蓝盾信息安全整体解决方案通知防火墙阻断攻击生成动态规则阻断攻击37编辑ppt蜜罐技术(Honeypot)蜜罐主机是一种资源,它被伪装成一个实际目标。蜜罐主机希望人们去攻击或入侵它。目的
分散攻击者的注意力收集同攻击和攻击者有关的信息。38编辑ppt价值默默地收集尽可能多的同入侵有关的信息,例如攻击模式,使用的程序,攻击意图和黑客社团文化等等。帮助我们明白黑客社团以及他们的攻击行为,以便更好的防御安全威胁。39编辑ppt两种类型的蜜罐主机两种类型的蜜罐主机产品型蜜罐(production)研究型蜜罐(research)。产品型蜜罐用于帮助降低组织的安全风险;研究型蜜罐意味着收集尽可能多的信息。
40编辑ppt蜜罐主机的布置蜜罐主机可以放置在:防火墙外面(Internet)DMZ(非军事区)防火墙后面(Intranet)每种摆放方式都有各自的优缺点。41编辑ppt蜜罐主机的布置42编辑ppt欺骗网络(honeynet)43编辑ppt关键问题信息控制代表了一种规则,你必须能够确定你的信息包能够发送到什么地方。其目的是,当你欺骗网络里的蜜罐主机被入侵后,它不会被用来攻击欺骗网络以外的机器。信息捕获则是要抓到入侵者群体的所有流量,从他们的击键到他们发送的信息包。只有这样,我们才能进一步分析他们使用的工具、策略及目的。44编辑ppt反欺骗网络技术及工具fragrouter(/~dugsong/fragroute/)能对抗入侵检测系统,它把包分片重组。RainForestPuppy则开发了一个扫描函数库whisker(/rfp/libwhisker/README),该函数库支持多种反入侵检测系统的功能。以该库为基础的扫描工具nikto(/code/nikto.shtml)可以扫描140种服务器的2200个潜在的文件/CGI安全漏洞。K2发表的ADMmutate,可绕过现有大多数IDS检测。45编辑ppt
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
kok电子竞技:最新文档
- 个体工商户雇佣协议标准文本2024kok电子竞技Akok电子竞技
- 2025年度LED照明产品研发成果转化与应用合同3篇
- 2025年度行政主体优益权在特许经营合同中的法律适用3篇
- 2024补充采购协议模板:专项条款
- 二零二五年度股份回购与员工持股计划的风险评估合同3篇
- 应用密码学(1-10章全刘嘉勇编)
- 《海洋浮游生物学》郑重等编著
- 2024砂石材料运输进度与交付合同
- 消化道大出血的护理常规
- 二零二五年度产业园区商铺租赁协议样本3篇
- 2025年河南鹤壁市政务服务和大数据管理局招聘12345市长热线人员10人高频重点提升(共500题)附带答案详解
- 《上海理工大学》课件
- 中职班主任培训
- 建设项目安全设施施工监理情况kok电子竞技
- 春节期间安全施工措施
- 2025年大唐集团招聘笔试参考题库含答案解析
- 建筑工地春节期间安全保障措施
- 2025山东水发集团限公司招聘管理单位笔试遴选500模拟题附带答案详解
- 安徽省合肥市2023-2024学年七kok电子竞技上学期期末数学试题(含答案)
- 《国有企业管理人员处分条例》重点解读
- 建筑工程施工手册
评论
0/150
提交评论