信息安全第5章常見入侵類型及檢測幻燈片資料_第1頁
信息安全第5章常見入侵類型及檢測幻燈片資料_第2頁
信息安全第5章常見入侵類型及檢測幻燈片資料_第3頁
信息安全第5章常見入侵類型及檢測幻燈片資料_第4頁
信息安全第5章常見入侵類型及檢測幻燈片資料_第5頁
已閱讀5頁,還剩11頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

第5章常見入侵類型及檢測重點內(nèi)容入侵檢測系統(tǒng)的特點網(wǎng)絡(luò)入侵的方法和手段攻擊的過程入侵檢測的過程入侵檢測系統(tǒng)的模型第5章常見入侵類型及檢測重點內(nèi)容入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署入侵檢測產(chǎn)品的選擇方法構(gòu)建基本的入侵檢測系統(tǒng)的方法一、概述(1)1.1入侵檢測系統(tǒng)定義入侵檢測(IntrusionDetection),顧名思義,是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進行操作,檢測到對系統(tǒng)的闖入或闖入的企圖”的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測是檢測和響應(yīng)計算機誤用的學(xué)科,其作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)。

一、概述(3)1.2入侵檢測系統(tǒng)的特點精確地判斷入侵事件可判斷應(yīng)用層的入侵事件對入侵可以立即進行反應(yīng)全方位的監(jiān)控與保護針對不同操作系統(tǒng)特點二、網(wǎng)絡(luò)入侵(1)2.1入侵檢測過程入侵檢測過程分為3部分:信息收集、信息分析和結(jié)果處理。信息收集:入侵檢測的第一步是信息收集,收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息,包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。

二、網(wǎng)絡(luò)入侵(2)2.1入侵檢測過程信息分析:收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,被送到檢測引擎,檢測引擎駐留在傳感器中,一般通過3種技術(shù)手段進行分析:模式匹配、統(tǒng)計分析和完整性分析。當(dāng)檢測到某種誤用模式時,產(chǎn)生一個告警并發(fā)送給控制臺。結(jié)果處理:控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施,可以是重新配置路由器或防火墻、終止進程、切斷連接、改變文件屬性,也可以只是簡單的告警。

二、網(wǎng)絡(luò)入侵(3)2.2入侵方式與手段方式:

物理入侵:

指入侵者以物理方式訪問一個機器進行破壞活動,例如趁人不備遛進機房重地趕緊敲打兩下鍵盤試圖闖入操作系統(tǒng)、拿著鉗子改錐卸掉機器外殼“借”走硬盤裝在另一臺機器上進行深入研究。

二、網(wǎng)絡(luò)入侵(4)2.2入侵方式與手段系統(tǒng)入侵:

指入侵者在擁有系統(tǒng)的一個低級賬號權(quán)限下進行的破壞活動。通常,如果系統(tǒng)沒有及時“打”最近的補丁程序,那么擁有低級權(quán)限的用戶就可能利用系統(tǒng)漏洞獲取更高的管理特權(quán)。遠程入侵:

指入侵者通過網(wǎng)絡(luò)滲透到一個系統(tǒng)中。這種情況下,入侵者通常不具備任何特殊權(quán)限,他們要通過漏洞掃描或端口掃描等技術(shù)發(fā)現(xiàn)攻擊目標(biāo),再利用相關(guān)技術(shù)執(zhí)行破壞活動。NIDS主要針對的就是這種入侵。

二、網(wǎng)絡(luò)入侵(5)2.2入侵方式與手段手段:軟件編寫存在bug、漏洞利用、系統(tǒng)配置不當(dāng)、口令失竊、嗅探未加密通信數(shù)據(jù)、TCP/IP初始設(shè)計存在缺陷、探測、DoS或DDoS

二、網(wǎng)絡(luò)入侵(6)2.3攻擊的過程外部調(diào)研內(nèi)部分析漏洞利用站穩(wěn)腳跟享受成果三、入侵檢測系統(tǒng)入侵檢測系統(tǒng)的部署位置與其他安全措施的配合

CIDF模型結(jié)構(gòu)圖

四、入侵檢測的分類4.1分類按照檢測類型劃分:異常檢測模型、誤用檢測模型

按照檢測對象劃分:主機型、網(wǎng)絡(luò)型、混合型

4.2入侵檢測方法4.3文件完整性檢查五、入侵檢測技術(shù)及發(fā)展5.1入侵檢測技術(shù)及方法信息收集:系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行數(shù)據(jù)分析:模式匹配、統(tǒng)計分析、完整性分析入侵檢測技術(shù)分析5.2入侵檢測技術(shù)發(fā)展方向六、典型入侵檢測系統(tǒng)介紹七、入侵檢測產(chǎn)品介紹及選擇方法7.1常見產(chǎn)品介紹分類7.2購買IDS注意事項

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論