入侵检测与防御技术

上传人:工**** 文档编号:584175652 上传时间:2024-08-30 格式:PPT 页数:40 大小:325.03KB
返回 下载 相关 举报
入侵检测与防御技术_第1页
第1页 / 共40页
入侵检测与防御技术_第2页
第2页 / 共40页
入侵检测与防御技术_第3页
第3页 / 共40页
入侵检测与防御技术_第4页
第4页 / 共40页
入侵检测与防御技术_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《入侵检测与防御技术》由会员分享,可在线阅读,更多相关《入侵检测与防御技术(40页珍藏版)》请在金锄头文库上搜索。

1、第第 4 章章 入侵检测技术入侵检测技术本章学习目标:本章学习目标:了解入侵了解入侵检测系系统的原理的原理掌握入侵掌握入侵检测系系统的核心技的核心技术了解入侵了解入侵检测系系统的作用的作用了解入侵了解入侵检测技技术的的发展展趋势掌握入侵掌握入侵检测系系统在网在网络安全中的地位安全中的地位掌握掌握评价入侵价入侵检测系系统的性能指的性能指标 4.1 4.1 入侵入侵检测系系统概述概述 防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不外部入侵者,但对内部攻击无能为力;同时,防火墙绝对

2、不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由型的攻击,不能防止用户由InternetInternet上下载被病毒感染的计算机程上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力展了系统管理员的安全管

3、理能力( (包括安全审计、监视、进攻识别包括安全审计、监视、进攻识别和响应和响应) ),提高了信息安全基础结构的完整性。,提高了信息安全基础结构的完整性。 4.1 4.1 入侵入侵检测系系统概述概述4.1.1 4.1.1 相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果;在在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的

4、描述信入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统将入侵检测系统需要分析的数据统称为事件(称为事件(event)入侵入侵对信息系统的非授权访问及(或)未经许可在信息系统中进对信息系统的非授权访问及(或)未经许可在信息系统中进行操作行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识别的对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程过程入侵检测系统(入侵检测系统(IDS)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具用于辅助进行入侵检测或者独立进行入侵检测的自动化工具4.1 4.1

5、 入侵入侵检测系系统概述概述4.1.1 4.1.1 相关术语相关术语入侵检测系统入侵检测系统(Intrusion Detection System,IDS),是对入侵,是对入侵自自动进行检测、监控和分析动进行检测、监控和分析过程的过程的软件与硬件软件与硬件的组合系统的组合系统,是一种是一种自动自动监测信息系统内、外入侵监测信息系统内、外入侵的安全设备。的安全设备。IDS通过从计算机通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击从中发现网络或系统中是否有违反安全策略

6、的行为和遭到袭击的迹象的一种安全技术。的迹象的一种安全技术。4.1 4.1 入侵入侵检测系系统概述概述4.1.2 4.1.2 入侵检测入侵检测4.1 4.1 入侵入侵检测系系统概述概述入侵检测系统入侵检测系统 入入侵侵检检测测系系统统(IDSIDS)由由入入侵侵检检测测的的软软件件与与硬硬件件组组合合而而成成,被被认认为为是是防防火火墙墙之之后后的的第第二二道道安安全全闸闸门门,在在不不影影响响网网络络性性能能的的情情况况下下能能对对网网络络进进行行监监测测,提提供供对对内内部部攻攻击击、外外部部攻攻击和误操作的实时保护。击和误操作的实时保护。6 6大主要功能:大主要功能:5)评估重要系统和数

7、据文件的完整性。评估重要系统和数据文件的完整性。4)异常行为模式的统计分析。异常行为模式的统计分析。3)识别反映已知进攻的活动模式并向相关人士报警。识别反映已知进攻的活动模式并向相关人士报警。 2)系统构造和弱点的审计。系统构造和弱点的审计。1)监视、分析用户及系统活动。监视、分析用户及系统活动。6)操作系统的审计跟踪管理,并识别违反安全策略的行为。操作系统的审计跟踪管理,并识别违反安全策略的行为。4.1 4.1 入侵入侵检测系系统概述概述4.1.3 4.1.3 入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应

8、主动响应审计跟踪审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机容。它还不仅仅只是摄像机,还包括保安员的摄像机.4.1 4.1 入侵入侵检测系系统概述概述7.1 7.1 入侵入侵检测系系统概述概述4.1.4 4.1.4 入侵检

9、测的发展历程入侵检测的发展历程 19801980年,年,概念的诞生概念的诞生1984198419861986年,模型的发展年,模型的发展 19901990年,形成网络年,形成网络IDSIDS和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,九十年代后至今,百家争鸣百家争鸣、繁荣昌盛、繁荣昌盛4. 2 入侵检测系统的功能及分类IDS分类 1)按照体系结构分为:集中式和分布式。 2)按照工作方式分为:离线检测和在线检测。 3)按照所用技术分为:特征检测和异常检测 4)按照检测对象(数据来源)分为:基于主机、基于网 络和分布式(混合型)。4.2 入侵检测系统的功能及分类 2)按照工作方式分为:

10、离线检测和在线检测。 离线检测系统是非实时工作的系统,它在事 后分析审计事件,从中检查入侵活动。 在线检测系统是实时联机的检测系统,实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。 4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.1 4.3.1 入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、

11、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS)4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.1 4.3.1 入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS: 网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备( (或一个专用主机或一个专用主机) ),通过监听网络上的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协

12、议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。 安装在被保护的网段(通常是共享网络,交换环境中交安装在被保护的网段(通常是共享网络,交换环境中交换机需支持端口映射)中换机需支持端口映射)中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应4.3 4.3 入侵入侵检测的原理与技的原理与技术 图图7-1 7-1 网络网络IDSIDS工作模型工作模型 4.3 4.3 入侵入侵检测的原理与技的原理与技术 网络网络IDS优势优势(1) 实时分析网络数据,检测网络系统的非法行为;实时分析网络数据,检测网络系统的非法行为;(2) 网络网络ID

13、S系统单独架设,不占用其它计算机系统的任何资系统单独架设,不占用其它计算机系统的任何资源;源;(3) 网络网络IDS系统是一个独立的网络设备,可以做到对黑客透系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4) 它既可以用于实时监测系统,也是记录审计系统,可以做它既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证;到实时保护,事后分析取证;(5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。效地阻止非法入侵和破坏。(6)不会增加网络中主机的负担。

14、不会增加网络中主机的负担。4.3 4.3 入侵入侵检测的原理与技的原理与技术 网络网络IDS的劣势的劣势(1)不适合交换环境和高速环境不适合交换环境和高速环境(2)不能处理加密数据不能处理加密数据(3) 资源及处理能力局限资源及处理能力局限(4) 系统相关的脆弱性系统相关的脆弱性4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.1 4.3.1 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS: 运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现

15、系统资源被非法使用和修改的事件,进行上报和处理。修改的事件,进行上报和处理。 安装于被保护的主机中安装于被保护的主机中 主要分析主机内部活动主要分析主机内部活动 占用一定的系统资源占用一定的系统资源4.3 4.3 入侵入侵检测的原理与技的原理与技术 主机主机IDS优势优势(1) 精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2) 监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3) HIDS能够检测到能够检测到NIDS无法检测的攻击无法检测的攻击(4) HIDS适用加密的和交换的环境。适用加密的和交换的环境。(5) 不需要额外的硬件设备。不需要额外的硬件设

16、备。4.3 4.3 入侵入侵检测的原理与技的原理与技术 主机主机IDS的劣势的劣势(1) HIDS对被保护主机的影响。对被保护主机的影响。(2) HIDS的安全性受到宿主操作系统的限制。的安全性受到宿主操作系统的限制。(3) HIDS的数据源受到审计系统限制。的数据源受到审计系统限制。(4) 被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDS。(5) 维护维护/升级不方便。升级不方便。4.3 4.3 入侵入侵检测的原理与技的原理与技术 3 3、两种实现方式的比较:、两种实现方式的比较: 1) 1)如果攻击不经过网络基于网络的如果攻击不经过网络基于网络的IDSIDS无法检测到只能无法检

17、测到只能通过使用基于主机的通过使用基于主机的IDSIDS来检测;来检测; 2) 2)基于网络的基于网络的IDSIDS通过检查所有的包头来进行检测,而通过检查所有的包头来进行检测,而基于主机的基于主机的IDSIDS并不查看包头。主机并不查看包头。主机IDSIDS往往不能识别基于往往不能识别基于IPIP的拒绝服务攻击和碎片攻击;的拒绝服务攻击和碎片攻击; 3) 3)基于网络的基于网络的IDSIDS可以研究数据包的内容,查找特定攻可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列击中使用的命令或语法,这类攻击可以被实时检查包序列的的IDSIDS迅速识别;而基于主机的系

18、统无法看到负载,因此也迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。4.3 4.3 入侵入侵检测的原理与技的原理与技术 4 4、混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS) 在新一在新一代代的入侵检测系统中的入侵检测系统中将把将把现在的基于网络和基现在的基于网络和基于主机于主机这这两种检测技术两种检测技术很好地很好地集集成起成起来,提供集来,提供集成化成化的攻的攻击签名检测报击签名检测报告告和事件关和事件关联功联功能。能。 可可以以深深入入地地研究入侵事件入侵手段研究入侵事件入侵手段本身本身及被入侵及

19、被入侵目标目标的的漏洞漏洞等。等。4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.2 IDS4.3.2 IDS的基本的基本结构构 无论无论IDSIDS系统是网络型的还是主机型的,从功能上看,都可系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。产生事件;后者用于显示和分析事件以及策略定制等工作。 4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.2 IDS4.3.2 IDS的基本的基本结构构 图图7-3 7-3 引擎

20、的工作流程引擎的工作流程 引擎的主要功能引擎的主要功能为:原始数据读取、为:原始数据读取、数据分析、产生事件、数据分析、产生事件、策略匹配、事件处理、策略匹配、事件处理、通信等功能通信等功能 4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.2 IDS4.3.2 IDS的基本的基本结构构 图图7-4 7-4 控制中心的工作流程控制中心的工作流程 控制中心的主要功能为:通信、事件读取、事件显示、策控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。略定制、日志分析、系统帮助等。4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.3 IDS4.3.3

21、IDS采用的技采用的技术 入侵检测主要通过专家系统、模式匹配、协议分析入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有:或状态转换等方法来确定入侵行为。入侵检测技术有:静态配置分析技术静态配置分析技术异常检测技术异常检测技术误用检测技术误用检测技术 1 1静态配置分析技术静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸静态配置分析是通过检查系统的当前系统配置,诸如系统文件的内容或系统表,来检查系统是否已经或者如系统文件的内容或系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征可能会遭到破坏。静态是指检查系统的静态特征

22、( (系统配系统配置信息置信息) ),而不是系统中的活动。,而不是系统中的活动。 4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.3 IDS4.3.3 IDS采用的技采用的技术 2 2、异常、异常检测技技术 通通过对系系统审计数据的分析建立起系数据的分析建立起系统主体主体( (单个用个用户、一一组用用户、主机,甚至是系、主机,甚至是系统中的某个关中的某个关键的程序和文件等的程序和文件等) )的正常行的正常行为特征特征轮廓;廓;检测时,如果系,如果系统中的中的审计数据与已建数据与已建立的主体的正常行立的主体的正常行为特征有特征有较大出入就大出入就认为是一个入侵行是一个入侵行为。这一检

23、测方法称这一检测方法称“异常检测技术异常检测技术”。 一般一般采用采用统计或基于或基于规则描述的方法建立系描述的方法建立系统主体的行主体的行为特征特征轮廓廓,即,即统计性特征性特征轮廓廓和和基于基于规则描述的特征描述的特征轮廓。廓。4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.3 IDS4.3.3 IDS采用的技采用的技术 3 3误用用检测技技术 误用用检测技技术(Misuse Detection)(Misuse Detection)通通过检测用用户行行为中的中的那些与某些已知的入侵行那些与某些已知的入侵行为模式模式类似的行似的行为或那些利用系或那些利用系统中中缺陷或是缺陷或是间

24、接地接地违背系背系统安全安全规则的行的行为,来,来检测系系统中的入中的入侵活侵活动,是一种基于已有的知,是一种基于已有的知识的的检测。 这种种入入侵侵检测技技术的的主主要要局局限限在在于于它它只只是是根根据据已已知知的的入入侵侵序序列列和和系系统缺缺陷陷的的模模式式来来检测系系统中中的的可可疑疑行行为,而而不不能能处理理对新的入侵攻新的入侵攻击行行为以及未知的、潜在的系以及未知的、潜在的系统缺陷的缺陷的检测。4.3 4.3 入侵入侵检测的原理与技的原理与技术 4.3.4 4.3.4 入侵入侵检测分析分析技技术的比的比较 1 1模式匹配的缺陷模式匹配的缺陷 1 1)计算算负荷大荷大 2 2)检测

25、准确率低准确率低 2 2协议分析新技分析新技术的的优势 1 1)提高了性能)提高了性能 2 2)提高了准确性)提高了准确性 3 3)反)反规避能力避能力 4 4)系)系统资源开源开销小小 4.4 4.4 入侵入侵检测系系统的性的性能指标能指标 1 1系系统结构构好的好的IDSIDS应能采用分级、远距离分式部署和管理。应能采用分级、远距离分式部署和管理。4.4 4.4 入侵入侵检测系系统的性的性能指标能指标 2 2事件数量事件数量 考察考察IDSIDS系系统的一个关的一个关键性指性指标是是报警事件的多少。警事件的多少。一般而言,事件越多,表明一般而言,事件越多,表明IDSIDS系系统能能够处理的

26、能力越理的能力越强强。 3 3处理理带宽 IDSIDS的的处理理带宽,即,即IDSIDS能能够处理的网理的网络流量,是流量,是IDSIDS的一个重要性能。目前的网的一个重要性能。目前的网络IDSIDS系系统一般能一般能够处理理202030M30M网网络流量,流量,经过专门定制的系定制的系统可以勉可以勉强强处理理404060M60M的流量。的流量。 4.4 4.4 入侵入侵检测系系统的性的性能指标能指标 4 4探测引擎与控制中心的探测引擎与控制中心的通信通信 作作为分布式分布式结构的构的IDSIDS系系统,通信是其自身安全的,通信是其自身安全的关关键因素。通信安全通因素。通信安全通过身份身份认证

27、和数据加密两种方法和数据加密两种方法来来实现。 身份身份认证是要保是要保证一个引擎,或者子控制中心只能一个引擎,或者子控制中心只能由固定的上由固定的上级进行控制,任何非法的控制行行控制,任何非法的控制行为将予以阻将予以阻止止。身份身份认证采用非采用非对称加密算法,通称加密算法,通过拥有有对方的公方的公钥,进行加密、解密完成身份行加密、解密完成身份认证。4.4 4.4 入侵入侵检测系系统的性的性能指标能指标 5 5事件定事件定义 事件的可定事件的可定义性或可定性或可定义事件是事件是IDSIDS的一个主要特性。的一个主要特性。 6 6二次事件二次事件 对事件事件进行行实时统计分析,并分析,并产生新

28、的高生新的高级事件能力事件能力。 7 7事件响事件响应 通过事件上报、通过事件上报、事件日志事件日志、EmailEmail通知通知、手机短信息手机短信息、语音音报警警等方式进行响应。等方式进行响应。 还可通过还可通过TCPTCP阻断、防火墙联动等方式主动响应。阻断、防火墙联动等方式主动响应。4.4 4.4 入侵入侵检测系系统的性的性能指标能指标 8 8自身安全自身安全 自身安全指的是探自身安全指的是探测引擎的安全性。引擎的安全性。要有良好的隐蔽要有良好的隐蔽性,一般使用定制的操作系统。性,一般使用定制的操作系统。 9 9终端安全端安全 主要主要指指控制中心的安全性控制中心的安全性。有多个用。有

29、多个用户、多个、多个级别的的控制中心,不同的用控制中心,不同的用户应该有不同的有不同的权限,保限,保证控制中心控制中心的安全性。的安全性。 4.4.4 4 入侵防御系入侵防御系统简介介 IDS IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻只能被动地检测攻击,而不能主动地把变化莫测的威胁阻止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决方案,以确保企业网络在威胁四起的环境下正常运行。方案,以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统(入侵防御系统(Intrusion Prevention SystemIn

30、trusion Prevention System或或Intrusion Intrusion Detection PreventionDetection Prevention,即,即IPSIPS或或IDPIDP)就应运而生了。)就应运而生了。IPSIPS是一种是一种智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击。保护信息系统不受实质性的攻击。IPSIPS使得使得IDSIDS和防火墙走

31、向统一。和防火墙走向统一。 IPS IPS在网络中一般有四种连接方式:在网络中一般有四种连接方式:SpanSpan(接在交换机旁边,作为端接在交换机旁边,作为端口映像)、口映像)、TapTap(接在交换机与路由器中间,旁路安装,拷贝一份数据到接在交换机与路由器中间,旁路安装,拷贝一份数据到IPSIPS中)、中)、InlineInline(接在交换机与路由器中间,在线安装,在线阻断攻击)和(接在交换机与路由器中间,在线安装,在线阻断攻击)和Port-Port-clustercluster(被动抓包,在线安装)。(被动抓包,在线安装)。它在报警的同时,能阻断攻击。它在报警的同时,能阻断攻击。 4.

32、5 4.5 蜜网陷阱蜜网陷阱Honeynet Honeynet Honeynet Honeynet是一个网络系统,并非某台单一主机,这一网络系统是一个网络系统,并非某台单一主机,这一网络系统隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。隐藏在防火墙的后面,所有进出的数据都受到关注、捕获及控制。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。这些被捕获的数据用来研究分析入侵者们使用的工具、方法及动机。在一个在一个HoneynetHoneynet中,可以使用各种不同的操作系统及设备,如中,可以使用各种不同的操作系统及设备,如SolarisSolaris、LinuxLinux

33、、Windows NTWindows NT、Cisco SwitchCisco Switch等。等。 这样,建立的网,建立的网络环境看上去会更加真境看上去会更加真实可信,同可信,同时还有不同有不同的系的系统平台上面运行着不同的服平台上面运行着不同的服务,比如,比如LinuxLinux的的DNS ServerDNS Server、WindowsNTWindowsNT的的WebServerWebServer或者一个或者一个SolarisSolaris的的FTP ServerFTP Server,可以使用,可以使用不同的工具以及不同的策略或不同的工具以及不同的策略或许某些入侵者某些入侵者仅仅把目把目

34、标定于几个特定于几个特定的系定的系统漏洞上,而漏洞上,而这种多种多样化的系化的系统,就可能更多地揭示出入侵,就可能更多地揭示出入侵者的一些特性。者的一些特性。 4.5 4.5 蜜网陷阱蜜网陷阱Honeynet Honeynet 利用利用SnortSnort软件软件安装安装Win200Win2000 0ServerServer下的下的蜜网陷阱蜜网陷阱 Snort Snort 是一个强大的轻量级的网络入侵检测系统。它具有是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志实时数据流量分析和日志IPIP网络数据包的能力,能够进行协议网络数据包的能力,能够进行协议分析,对内容进行搜索分析

35、,对内容进行搜索/ /匹配。它能够检测各种不同的攻击方式,匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。对攻击进行实时报警。 构建完整的构建完整的SnortSnort系统需要以下软件,详细安装方法请参照系统需要以下软件,详细安装方法请参照网上相关资料。网上相关资料。acid-0.9.6b23.tar.gzacid-0.9.6b23.tar.gz 基于基于php php 的入侵检测数据库分析控制台的入侵检测数据库分析控制台adodb360.zipadodb360.zip ADOdb ADOdb(Active Data Objects Data BaseActive Data Objec

36、ts Data Base)库)库for PHPfor PHPapache_2.0.46-win32-x86-no_src.msiapache_2.0.46-win32-x86-no_src.msi Windows Windows 版本的版本的Apache Web Apache Web 服务器服务器jpgraph-1.12.2.tar.gzjpgraph-1.12.2.tar.gz OO OO 图形库图形库for PHPfor PHPmysql-4.0.13-win.zipmysql-4.0.13-win.zip Windows Windows 版本的版本的Mysql Mysql 数据库服务器数

37、据库服务器php-4.3.2-Win32.zipphp-4.3.2-Win32.zip Windows Windows 版本的版本的php php 脚本环境支持脚本环境支持snort-2_0_0.exesnort-2_0_0.exe Windows Windows 版本的版本的Snort Snort 安装包安装包WinPcap_3_0.exeWinPcap_3_0.exe 网络数据包截取驱动程序网络数据包截取驱动程序phpmyadmin-2.5.1-php.zipphpmyadmin-2.5.1-php.zip 基于基于php php 的的Mysql Mysql 数据库管理程序数据库管理程序4

38、.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统 天天阗黑客入侵黑客入侵检测与与预警系警系统是一种是一种动态的入侵的入侵检测与响与响应系系统。它利用全面流量。它利用全面流量监控控发现异常,异常,结合地理信息合地理信息显示入侵事件的示入侵事件的定位状况,定位状况,应用入侵和漏洞之用入侵和漏洞之间具有的具有的对应关关联关系,关系,给出入侵威出入侵威胁和和资产脆弱性之脆弱性之间的的风险分析分析结果,从而有效地管理安全事件并果,从而有效地管理安全事件并进行及行及时处理和响理和响应。它能。它能够实时监控网控网络传输,自,自动检测可疑行可疑行为,及,及时发现来自网来自网络外部或内部的攻外部或内部

39、的攻击。天。天阗系系统可以与防火可以与防火墙紧密密结合,弥合,弥补了防火了防火墙的的访问控制不控制不严密的密的问题。 包含如下五个独立的部分:包含如下五个独立的部分:1 1)天阗网络入侵检测系统,产品型号:)天阗网络入侵检测系统,产品型号:NS200/NS500/NS2200/NS2800NS200/NS500/NS2200/NS2800。2 2)天阗入侵事件定位系统,产品型号:)天阗入侵事件定位系统,产品型号:IMS-EPIMS-EP。3 3)天阗网络异常流量监测系统,产品型号:)天阗网络异常流量监测系统,产品型号:FS1900FS1900。4 4)天阗入侵风险评估系统,产品型号:)天阗入侵

40、风险评估系统,产品型号:IMS-RAIMS-RA。5 5)天阗主机入侵检测系统,产品型号:)天阗主机入侵检测系统,产品型号:HS120/HS220/HS320/HS420/HS520HS120/HS220/HS320/HS420/HS5204.6 天阗黑客入侵检测与预警系统天阗黑客入侵检测与预警系统天阗网络入侵检测系统典型部署结构图天阗网络入侵检测系统典型部署结构图 本章小结本章小结 本章首先分析了网本章首先分析了网络攻攻击或入侵的概念,介或入侵的概念,介绍了六个攻了六个攻击的的层次和相次和相应的防范策略。在此基的防范策略。在此基础上引出入侵上引出入侵检测系系统。 介介绍了基于主机和基于网了基

41、于主机和基于网络的两种入侵的两种入侵检测系系统的概念、基本的概念、基本组成成结构和相构和相应的工作原理。介的工作原理。介绍了入侵了入侵检测系系统中常用的四种技中常用的四种技术:静:静态配置分析、异常配置分析、异常检测方法、方法、误用用检测和基于系和基于系统关关键程序程序的安全的安全规格描述方法。格描述方法。给出了入侵系出了入侵系统的性能的性能评价指价指标。介介绍了流行的蜜网陷阱系了流行的蜜网陷阱系统HoneynetHoneynet,用以,用以获取网取网络攻攻击的行的行为和和方法。方法。 对入侵防御系入侵防御系统IPSIPS作了作了简单介介绍。 推荐实验:推荐实验: 用用SnortSnort搭建一个入侵检测系统。搭建一个入侵检测系统。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号