入侵檢測典型應用和問題瓶頸課件_第1頁
入侵檢測典型應用和問題瓶頸課件_第2頁
入侵檢測典型應用和問題瓶頸課件_第3頁
入侵檢測典型應用和問題瓶頸課件_第4頁
入侵檢測典型應用和問題瓶頸課件_第5頁
已閱讀5頁,還剩7頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、信息安全產(chǎn)品配置與應用Configuration and Application of Information Security Products重慶電子工程職業(yè)學院| 路亞信息安全產(chǎn)品配置與應用重慶電子工程職業(yè)學院| 路亞 網(wǎng)絡安全狀況 為什么要使用入侵檢測 入侵檢測發(fā)展歷程 入侵檢測工作原理 入侵檢測體系結(jié)構(gòu) 入侵檢測的分類 入侵檢測的典型應用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應用 網(wǎng)絡安全狀況模塊三、IDS產(chǎn)品配置與應用現(xiàn)今基于網(wǎng)絡的入侵檢測系統(tǒng)是為主流,我們在這里就著重介紹NIDS的部署方式。(以下所指的入侵檢測若未特殊說明,都是N

2、IDS)IDS由兩部分組成,IDS引擎和IDS控制中心。 引擎采用旁路方式全面?zhèn)陕牼W(wǎng)上信息流,實時分析,然后將分析結(jié)果與探測器上運行的策略集相匹配。執(zhí)行報警、阻斷、日志等功能,完成對控制中心指令的接收和響應工作。它是由策略驅(qū)動的網(wǎng)絡監(jiān)聽和分析系統(tǒng)。 控制中心提供報警顯示以及預警信息的記錄和檢索、統(tǒng)計功能制定入侵監(jiān)測的策略??刂铺綔y器系統(tǒng)的運行狀態(tài),收集來自多臺引擎的上報事件,綜合進行事件分析,以多種方式對入侵事件作出快速響應。現(xiàn)今基于網(wǎng)絡的入侵檢測系統(tǒng)是為主流,我們在這里就著重介紹NI 那么IDS的引擎部署在網(wǎng)絡旁路,將入侵檢測引擎的抓包口接到監(jiān)測網(wǎng)絡中去,一般是接到交換機的鏡像端口上(或者是

3、HUB上),管理口則接到入侵檢測的控制中心上。 那么IDS的引擎部署在網(wǎng)絡旁路,將入侵檢測引擎入侵檢測典型應用和問題瓶頸課件 網(wǎng)絡安全狀況 為什么要使用入侵檢測 入侵檢測發(fā)展歷程 入侵檢測工作原理 入侵檢測體系結(jié)構(gòu) 入侵檢測的分類 入侵檢測的典型應用入侵檢測的瓶頸和解決辦法入侵檢測與防火墻的聯(lián)動入侵檢測與入侵防御模塊三、IDS產(chǎn)品配置與應用 網(wǎng)絡安全狀況模塊三、IDS產(chǎn)品配置與應用入侵檢測系統(tǒng)的弱點1體系結(jié)構(gòu)弱點; 集中式IDS存在單點失效;漏報;大量日志和報警信息耗費磁盤空間,導致文件系統(tǒng)和數(shù)據(jù)庫系統(tǒng)不穩(wěn)定。而分布式IDS存在大量報警信息消耗網(wǎng)絡帶寬;誤報警信息流會產(chǎn)生倍數(shù)效應;控制臺和探測

4、器的通信交換信息占有網(wǎng)絡帶寬、干擾網(wǎng)絡通信等弱點。2互動協(xié)議弱點; 當與防火墻做聯(lián)動時,存在一個虛假報警信息,它會導致其它安全系統(tǒng)錯誤配置,造成防火墻性能下降等問題。3數(shù)據(jù)源與采集方法弱點 必須要求數(shù)據(jù)包傳輸?shù)氖敲魑?,若是?jīng)過加密的數(shù)據(jù)包,無法進行解密。而且在交換網(wǎng)絡中IDS運行開銷會大大增加。4檢測算法弱點; 無法根治的漏報、誤報問題,異常檢測需要保持較多網(wǎng)絡狀態(tài)信息,導致IDS開銷增大。 入侵檢測系統(tǒng)的弱點1體系結(jié)構(gòu)弱點;針對入侵檢測系統(tǒng)的攻擊直接攻擊直接攻擊smurf、synflood等拒絕服務攻擊利用裝IDS的主機操作系統(tǒng)本身存在漏洞進行攻擊應對:IDS的無IP技術 雙網(wǎng)卡配置: 一個

5、網(wǎng)卡綁定IP,用來與console(控制臺)通信 一個網(wǎng)卡無IP,用來收集網(wǎng)絡數(shù)據(jù)包 連在網(wǎng)絡中的是無IP的網(wǎng)卡,因為沒有IP,所以不能直接攻擊針對入侵檢測系統(tǒng)的攻擊直接攻擊直接攻擊間接攻擊利用IDS的響應進行間接攻擊,使入侵日志迅速增加,塞滿硬盤;發(fā)送大量的警告信息,使管理員無法發(fā)現(xiàn)真正的攻擊者,并占用大量的cpu資源;發(fā)送大量的告警郵件,占滿告警信箱或硬盤,并占用接收警告郵件服務器的系統(tǒng)資源發(fā)送虛假的警告信息,使防火墻錯誤配置,造成正常的IP無法訪問等 舉例Stick攻擊在2秒內(nèi)模擬450次攻擊,快速的告警信息的產(chǎn)生會讓IDS反應不過來、產(chǎn)生失去反應甚至死機針對入侵檢測系統(tǒng)的攻擊間接攻擊間

6、接攻擊針對入侵檢測系統(tǒng)的攻擊間接攻擊針對入侵檢測系統(tǒng)的攻擊躲避檢測Whisker一個web/cgi掃描器,具有大量特殊的掃描編碼,使提交的報文Web服務器可理解而與IDS的規(guī)則不匹配URL編碼 如“cgi-bin”可以表示成“%63%67%69%2d%62%69%6e”,WEB服務器可解析,而IDS不識別“/” 問題(路徑欺騙) 在HTTP的提交的請求中把/ 轉(zhuǎn)換成 /,如“/cgi-bin/test.cgi”轉(zhuǎn)換成“/cgi-bin/test.cgi”,而IDS只對前者進行匹配 “” 問題 Microsoft用來分隔目錄,Unix用/來分隔,而HTTP RFC規(guī)定用/ , 發(fā)送“/cgi-bintest.cgi”之類的命令,IIS可以正確識別,但IDS不會匹配“/cgi- bin/test.cgi” 命令匹配 GET /cgi-bin/test.cgi 命令的客戶請求用HEAD命令也能實現(xiàn) HEAD /cgi-bin/test.cgi 依靠get方法匹配的IDS系統(tǒng)就不會檢測到這個掃描 針

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論