第11講系統(tǒng)安全性-入侵檢測(cè)_第1頁(yè)
第11講系統(tǒng)安全性-入侵檢測(cè)_第2頁(yè)
第11講系統(tǒng)安全性-入侵檢測(cè)_第3頁(yè)
第11講系統(tǒng)安全性-入侵檢測(cè)_第4頁(yè)
第11講系統(tǒng)安全性-入侵檢測(cè)_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)與信息安全技術(shù)

第十一講

入侵檢測(cè)華中科技大學(xué)軟件工程碩士課程網(wǎng)絡(luò)入侵基本步驟

第一步踩點(diǎn)利用經(jīng)驗(yàn)和工具分析對(duì)方的網(wǎng)絡(luò)結(jié)構(gòu)和組織信息WHOIS查詢DNS查詢Hosttracerouter

第二步掃描使用端口掃描工具(猜測(cè)操作系統(tǒng)類型)NmapSuperScanX-Scan……..漏洞掃描端口CGI漏洞(避開IDS)RPC漏洞SQL-Server漏洞NT弱口令,F(xiàn)TP賬戶,NETBIOS信息………….

第三步攻擊緩沖區(qū)溢出輸入驗(yàn)證漏洞應(yīng)用程序漏洞或者配置錯(cuò)誤漏洞暴力猜解密碼拒絕服務(wù)攻擊信任關(guān)系欺騙攻擊(客戶機(jī)攻擊模式)……

第四步清除日志清除系統(tǒng)日志SysLogd(/var/log)%WINNT%\system32\config\….清除應(yīng)用程序日志${prefix}/logs/%WINNT%\system32\logfiles\…..湮沒(méi)日志……

第六步隱藏自己隱藏的win32服務(wù)NTFS流文件LoadableKernelModulesDLL和動(dòng)態(tài)嵌入技術(shù)…..

第七步后門LoginBackdoorBindshellCGIBackdoorPingBackdoorACKBackdoorDatabaseBackdoorAapacheBackdoor……

入侵檢測(cè)系統(tǒng)IDS為什么需要IDS?Firewall是網(wǎng)絡(luò)邊界的設(shè)備,自身可能被攻破不是所有的威脅來(lái)自防火墻外部,85%以上的攻擊事件來(lái)自于內(nèi)部的攻擊,防火墻只能防外,難于防內(nèi)。IDS的功能檢測(cè)攻擊,包括外部攻擊或試探、內(nèi)部用戶的未授權(quán)訪問(wèn)、誤操作;實(shí)現(xiàn)原理:從系統(tǒng)的關(guān)鍵點(diǎn)收集信息,并分析這些信息是否有違反安全策略的行為和遭到攻擊的跡象。

入侵檢測(cè)系統(tǒng)結(jié)構(gòu)數(shù)據(jù)采集(Sensor)分析器知識(shí)庫(kù)響應(yīng)/控制響應(yīng)政策

配置信息告警控制遠(yuǎn)程管理

主要功能模塊信息收集:包括用戶在網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)以及應(yīng)用系統(tǒng)中活動(dòng)的狀態(tài)和行為。信息分析:通過(guò)模式匹配、統(tǒng)計(jì)分析和完整性分析,得到實(shí)時(shí)檢測(cè)所必須的信息。安全響應(yīng):在發(fā)現(xiàn)入侵行為后會(huì)及時(shí)作出響應(yīng),包括中止網(wǎng)絡(luò)服務(wù)、記錄事件、報(bào)警和阻斷等。

入侵檢測(cè)系統(tǒng)分類基于主機(jī)的入侵檢測(cè)系統(tǒng)Host-BasedIDS(HIDS)通常安裝在被保護(hù)的主機(jī)上,對(duì)該主機(jī)的網(wǎng)絡(luò)實(shí)時(shí)連接以及系統(tǒng)審計(jì)日志進(jìn)行檢查和分析;缺點(diǎn):占用系統(tǒng)資源;事后分析,實(shí)時(shí)性差;異構(gòu)平臺(tái)支持困難基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)Network-BasedIDS(NIDS)安裝在需要保護(hù)的網(wǎng)段中,實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包,并對(duì)這些數(shù)據(jù)包進(jìn)行分析和檢測(cè)。缺點(diǎn):數(shù)據(jù)量龐大,存在丟包問(wèn)題;監(jiān)測(cè)范圍有限,不能結(jié)合操作系統(tǒng)特征分析攻擊行為;

基于網(wǎng)絡(luò)的入侵檢測(cè)RouterIDSSensorMonitoredServersWANLAN

基于網(wǎng)絡(luò)的入侵檢測(cè)HUBIDSSensorMonitoredServersWANLAN

混合分布式入侵檢測(cè)系統(tǒng)主機(jī)主機(jī)流量

分析器主機(jī)Agent管理器網(wǎng)絡(luò)Agent流量

分析器主機(jī)主機(jī)

檢測(cè)模型1誤用檢測(cè)

根據(jù)已知的攻擊方法或系統(tǒng)安全缺陷方面的知識(shí),建立特征數(shù)據(jù)庫(kù),然后在收集到的網(wǎng)絡(luò)活動(dòng)中尋找匹配的使用模式—特征匹配/檢測(cè),準(zhǔn)確率高但只能檢測(cè)已知的攻擊。

0050dac6f2d600b0d04dcbaa08004500015731054000800600000a0a0231d850數(shù)據(jù)包:dac6f2d6攻擊特征:發(fā)現(xiàn)攻擊,報(bào)警!特征模式匹配技術(shù)缺陷

計(jì)算的負(fù)載計(jì)算量大,消耗系統(tǒng)資源:攻擊特征字節(jié)數(shù)×數(shù)據(jù)包字節(jié)數(shù)×每秒的數(shù)據(jù)包數(shù)×數(shù)據(jù)庫(kù)的攻擊特征數(shù);探測(cè)準(zhǔn)確性只能探測(cè)出明確的、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會(huì)被忽略。

誤用檢測(cè)技術(shù)2

利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。解析命令字符串:在不同的上層應(yīng)用協(xié)議上,對(duì)每一個(gè)用戶命令作出詳細(xì)分析。探測(cè)碎片攻擊和協(xié)議確認(rèn):如果出現(xiàn)IP碎片設(shè)置,數(shù)據(jù)包將首先被重裝,然后詳細(xì)分析來(lái)了解潛在的攻擊行為。通過(guò)重裝數(shù)據(jù)包,系統(tǒng)可以檢測(cè)到利用IDS逃避技術(shù)的攻擊手段。協(xié)議分析

IDS的評(píng)價(jià)標(biāo)準(zhǔn)性能測(cè)試:衡量IDS在高負(fù)荷條件下的運(yùn)行情況,如數(shù)據(jù)包截獲和過(guò)濾的速度,是否丟包,檢測(cè)引擎的總體吞吐量功能測(cè)試:衡量IDS自身功能特征的強(qiáng)大程度,如系統(tǒng)架構(gòu)是否支持可擴(kuò)展性,是否支持規(guī)則定制,警報(bào)系統(tǒng)功能是否強(qiáng)大,是否提供強(qiáng)大友好的報(bào)表功能。用戶可用性測(cè)試:衡量操作界面友好性,如界面設(shè)計(jì)是否合理、使用是否方便。入侵檢測(cè)系統(tǒng)舉例—Snort系統(tǒng)

免費(fèi)NIDS基于GPL最新版本

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論