第6章_入侵检测
- 格式:ppt
- 大小:1.68 MB
- 文档页数:44
下载文档原格式
合集下载
课程大纲-入侵检测与防范技术
入侵检测技术Intrusion Detection Technology课程编号:学分: 2学时: 30 (其中:讲课学时:30 实验学时:上机学时:0)先修课程:计算机网络,TCP/IP,Internet安全适用专业:信息安全教材:自编讲义开课学院:计算机科学与通信工程学院一、课程的性质与任务课程的性质:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件,其主要功能包括:(1)提供事件记录流的信息源;(2)发现入侵迹象的分析引擎;(3)基于分析引擎结果的响应。
误用检测和异常检测是入侵检测常用的方法,前者使用模式匹配技术,检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件,后者则使用统计技术检测不经常发生的事件。
随着网络应用的不断深入,网络安全问题的日显重要,入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。
课程的基本任务:1.了解入侵检测技术的基本概念、发展现状及最新动态;2.掌握入侵检测的原理及系统构成;3.掌握入侵检测的常用方法与技术;4.了解提高入侵检测率对不同用户的要求。
二、课程的基本内容及要求第一章入侵检测技术概述1.基本内容(1)入侵检测的概念(2)入侵检测技术产生的原因(3)入侵检测技术的功能、发展历史及分类(4)入侵检测技术的基本构成和体系结构2.基本要求(1)掌握入侵检测的基本概念(2)掌握入侵检测系统的基本构成(2)了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1.基本内容(1)计算机网络的主要漏洞(2)缓冲区溢出攻击(3)拒绝服务攻击(4)攻击分类2.基本要求(1)掌握缓冲区溢出攻击和拒绝服务攻击的原理(2)了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1.基本内容(1)信息源在入侵系统中的重要地位(2)基于主机的信息源(3)基于网络的信息源(4)基于网络的信息源的获取2.基本要求(1)掌握入侵检测的信息源获取的基本途径(2)了解信息源的作用第四章入侵检测方法1.基本内容(1)入侵检测的基本原理和主要方法(2)基于数据挖掘技术的入侵检测模型(3)基于数据融合技术的入侵检测模型2.基本要求(1)掌握入侵检测的基本原理(2)掌握异常检测与滥用检测常用的检测技术与相应的模型建立(3)掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1.基本内容(1)入侵检测系统原型产品介绍(2)入侵检测系统商业产品介绍(3)免费入侵检测系统产品介绍(4)入侵检测系统产品的选择2.基本要求(1)了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1.基本内容(1)入侵检测系统的脆弱性分析(2)入侵检测系统体系结构的局限性2.基本要求(1)掌握网络系统脆弱性分析的基本方法(2)了解入侵检测系统的局限性第七章入侵检测系统的评价1.基本内容(1)入侵检测系统的评价标准(2)对入侵检测系统的测试与评估2.基本要求(1)掌握入侵检测系统的评价标准(2)掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1.基本内容(1)未来的信息社会(2)未来的技术趋势(3)未来的安全趋势2.基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学;2、为学生提供丰富的参考资料;五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人:韩牟审定人:批准人:日期:2013年5月10日课程简介课程编码:课程名称:入侵检测技术英文名称:Intrusion Detection Technology学分: 2学时: 3 0(其中:讲课学时2 6 实验学时: 0 上机学时:4 )课程内容:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。
防火墙入侵检测与VPN——第二部分资料
走信息路 读北邮书
本书的 封面
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保 护系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户 对受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。 审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并 纠正错误的系统配置信息。
详细内容见参考书。 本书的 封面
走信息路 读北邮书
6.6.1 按照检测数据的来源划分 (3)
3 混合式的入侵检测
基于主机的入侵检测能够对主机上用户 或进程的行为进行细粒度地监测,很好地 保护了主机的安全。基于网络的入侵检测 则能够对网络的整体态势做出反应。这两 种优点都是用户所需要的,因此计算机安 全界对两者的融合进行了大量的研究,并 称这种融合系统为混合式入侵检测系统。
走信息路 读北邮书
本书的 封面
6.1.7
ICMP秘密通道
ICMP协议作为网络控制信息传递的 基础协议在所有实现TCP/IP协议的网络 上存在。许多访问控制设备并不阻断这种 协议的传输。但是ICMP协议的某些字段 并不被安全设备检查,攻击者即可利用这 些字段传递秘密信息。
走信息路 读北邮书
本书的 封面
1984年至1986年,乔治敦大学的Dorothy Denning和SRI/CSL (SRI公司计算机科学实验室)的Peter Neumann设计并实现了入 侵检测专家系统IDES(Intrusion Detection Expert System)。 1988年,Stephen Smaha为美国空军Unisys大型主机设计并开 发了Haystack入侵检测系统。 1990年,加州大学戴维斯分校的Todd Heberlien等人开发了 NSM(Network Security Monitor)。 1992年,SAIC开发了计算机滥用检测系统CMDS(Computer Misuse Detection System)。1993年,Haystack Labs开发了 Stalker系统。它们是首批商用的入侵检测系统。
计算机网络安全课后题答案
第一章绪论1. 计算机网络面临的安全威胁有哪些?答:1.主要威胁:计算机网络实体面临威胁(实体为网络中的关键设备);计算机网络系统面临威胁(典型安全威胁);恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序);计算机网络威胁有潜在对手和动机(恶意攻击/非恶意) 2. 典型的网络安全威胁:窃听、重传、伪造、篡造、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2.分析计算机网络的脆弱性和安全缺陷答:偶发因素:如电源故障、设备的功能失常及软件开发过程留下的漏洞或逻辑错误;自然灾害:各种自然灾害对计算机系统构成严重的威胁;人为因素:人为因素对计算机网络的破坏和威胁(包括被动攻击、主动攻击、邻近攻击、内部人员攻击和分发攻击)。
3.分析计算机网络的安全需求答:互联网具有不安全性;操作系统存在的安全问题;数据的安全问题;传输路线的安全问题;网络安全管理问题。
4.分析计算机网络安全的内涵和外延是什么?答:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性,完整性及可使用受到保护。
网络的安全问题包括两方面的内容,一是网络的系统安全;二是网络的信息安全。
从广义上说,网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。
5.论述OSI安全体系结构答:OSI安全系统结构定义了鉴别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务;也定义了加密机制、数据签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制等八种基本的安全机制。
6.PPDR安全模型地结构答:PPDR模型是一种常用的网络安全模型,主包含四个主要部份:Policy(安全策略)、Protection(防护)、Detection (检测)和Response(响应)。
7.简述计算机网络安全技术答:网络安全技术:物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。
入侵检测习题答案
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。
这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。
1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。
图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。
授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。
识别与认证系统识别主体和对象。
审计系统用来记录系统的活动信息。
该模型的实现采用访问控制机制来保证系统安全。
访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。
1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。
图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。
网络安全防护技能培训教材
网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。
入侵检测技术
3.入侵检测系统的需求特性 1)可靠性: 2)适应性:检测系统必须能随时追踪系统环境的改变。 3)有效性:能检测系统的报告错误或漏报控制在一定的范围内。 4)安全性:检测系统必须难于被欺骗,能够保护自身的安全。 5)容错性:检测系统的容错要求即使在系统崩溃的情况下,检测 系统仍能保留下来。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第6章 基于主机的入侵检测技术
c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠
第6章入侵检测技术
教学内容第6章 入侵检测技术教材章节5教学周次教学课时9授课对象网络工程专业教学环境多媒体教室教学目标理解入侵检测系统的基本概念;了解检测的基本方法以及入侵检测的步骤;掌握一种入侵检测工具。
教学内容1.入侵检测的基本知识(包括:概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等)。
2.入侵检测技术(包括:基本结构、类型、主要方法)。
3.入侵检测系统解决方案。
4.入侵检测系统主要产品。
教学重点1.入侵检测的基本概念。
2.入侵检测系统的工作原理。
3.入侵检测系统的布署。
教学难点入侵检测方法;入侵检测系统的布署。
教学过程本章分3次讲述,共9学时,讲授思路和过程如下:第1次:1.分析防火墙、扫描器等的应用范围,分析其局限性,引出入侵检测技术。
2.介绍入侵检测的概念、作用,分析与防火墙、扫描器的关系。
3.介绍入侵检测的步骤等。
第2次:1.介绍IDS基本结构,强调其控制台的作用。
2.介绍IDS的类型。
3.介绍IDS基本检测入侵的主要方法,重点介绍误用和异常两种方法。
4.通过实例介绍IDS的布署思路和方法。
5.简单介绍目前常用的比较有效的IDS产品。
6.分析使用状况,提出目前IDS的主要问题,研究发展趋势。
《网络安全技术》教案(第6章)作业与要求作业内容:1.分析入侵检测与防火墙的区别。
2.进行实验。
要求:1.记录实验过程和结果。
2.熟练使用IDS设备。
备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。
第6章入侵检测技术前面介绍了防火墙技术,事实上防火墙只是对网络上某个单一点起作用,而且也只能检查每个进出网络用户的合法性。
一旦攻击者攻破了防火墙,那么他就可以在网络内随意通行。
所以,防火墙技术是静态的安全防御技术,它不能解决动态的安全问题。
入侵检测技术是动态安全技术最核心的技术之一,本章将详细讨论入侵检测技术。
(以防火墙的局限性来说明单一产品的缺陷,引出安全防御措施需要不同产品的配合,最终引出入侵检测技术)6.1 入侵检测的基本知识安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。
入侵检测系统评估
第6章 入侵检测系统评估
2.ROC曲线 ROC曲线以图形方式来表示正确报告率和误报率的关 系。ROC曲线是基于正确报告率和误报率的关系来描述的。 这样的图称为诺模图(Nomo-gram),它在数学领域用于 表示数字化的关系。选好一个临界点(CutoffPoint)之后, 就可以从图中确定IDS的正确报告率和误报率。曲线的形状 直接反映了IDS产品的准确性和总体品质。如果一条直线向 上,然后向右方以45°角延伸,就是一个非常失败的IDS, 它毫无用处;相反,ROC曲线下方的区域越大,IDS的准确 率越高。如图6.1所示,IDSB的准确性高于IDSC,类似地, IDSA在所有的IDS中具有最高的准确性。
第6章 入侵检测系统评估
数据包抓上来之后,需要经过检测引擎的检测才能引发 告警。在检测引擎的处理过程中,数据包的各种因素都会影 响检测引擎的效率。不同的IDS产品因为其检测引擎中对数 据包的处理有侧重点,因此不同内容的背景数据流会严重影 响产品的检测率。当通过不同内容的背景数据流,可以判断 出IDS检测引擎在某些方面的优劣。数据包中的数据内容也 很关键,如果背景数据流中包含大量敏感的关键字,能引发 一种IDS产品告警,而对另一种IDS产品可能并不引发告警, 这样的数据包内容就影响了引擎的效率。即使在不引发告警 的条件下,背景数据流的数据内容也对检测引擎影响很大。
是否支持事件特征自定义重组能力tcp流重组能力ids对网络流量的分析是否能达到足够的抽样比例系统对变形攻击的检测能力系统对碎片重组的检测能力系统对未发现漏洞特征的预报警能力是否具有较低的漏报率系统是否采取有效措施降低误报率是否具有高的报警成功率在线升级和入侵检测规则库的更新是否快捷有效等
第6章 入侵检测系统评估
3.负荷能力 IDS有其设计的负荷能力,在超出负荷能力的情况下, 性能会出现不同程度的下降。比如,在正常情况下IDS可检 测到某攻击,但在负荷大的情况下可能就检测不出该攻击。 考察检测系统的负荷能力就是观察不同大小的网络流量、不 同强度的CPU内存等系统资源的使用对IDS的关键指标(比 如检测率、虚警率)的影响。
计算机网络安全选择题
计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。
2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。
3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。
4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。
5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。
6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。
7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。
8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。
9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。
10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。
第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。
C.5D.6标准答案是:A。
3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。
计算机网络安全课后习题答案(重点简答题)
网络安全问答题第一章:1.网络攻击和防御分别包括哪些内容?攻击技术主要包括:1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括;1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。
3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络安全协议:保证传输的数据不被截获和监听。
2.从层次上,网络安全可以分成哪几层?每层有什么特点?4个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
物理安全:防盗、防火、防静电、防雷击和防电磁泄漏。
逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全:操作系统是计算机中最基本、最重要的软件。
联网安全通过以下两方面的安全服务来达到:a:访问控制服务:用来保护计算机和联网资源不被非授权使用。
b:通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第四章:2、黑客在进攻的过程中需要经过哪些步骤?目的是什么?隐藏IP:通常有两种方式实现IP的隐藏:第一种方法是首先入侵互联网上的一台计算机(俗称“肉鸡”),利用这台计算进行攻击,这样即使被发现了,也是“肉鸡”的IP地址;第二种方式是做多级跳板“Sock代理”,这样在入侵的计算机上留下的是代理计算机的IP地址。
踩点扫描:通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。
网络安全与管理第3版课后习题答案
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全?答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
《网络安全技术》习题与答案
14. 生日攻击实例中攻击者意图生成何种碰撞?成功概率如何?
答:攻击者意图在两组合同中各选一份使得其杂凑值相同,既非 弱碰撞攻击也非强碰撞攻击,而是介于两者之间的一种形式。为 计算成功概率,先考虑 M 组中的一份合同均不与 M-组中任一份合 同杂凑值相同的概率:ρ1=(1-1/264)^232;其次,当 M 组中的任 一份合同都满足这一条件时,攻击者才会失败,对应概率为:ρ 2=ρ1^232=((1-1/264)^232)^232=(1-1/264)^264;最后,攻击者成功的 概率则为:ρ=1-ρ2=1-(1-1/264)^264。其中^表示乘方运算。
PDRR 模型在 P2DR 模型的基础上把恢复环节提到了和防护、检测、 响应等环节同等的高度,保护、检测、恢复、响应共同构成了完 整的安全体系。PDRR 也是基于时间的动态模型,其中,恢复环节 对于信息系统和业务活动的生存起着至关重要的作用,组织只有 建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难 事件中尽快恢复并延续业务。
WPDRRC 模型全面涵盖了各个安全因素,突出了人、策略、管理的 重要性,反映了各个安全组件之间的内在联系。该模型主要由六 个元素构成:预警、保护、检测、响应、恢复、反击。
6. 试分析古典密码和现代密码的异同?
答:在 1949 年之前,是密码发展的第一阶段—古典密码体制。古 典密码体制是通过某种方式的文字置换和移位进行,这种置换或 移位一般是通过某种手工或机械变换方式进行转换,同时简单地 使用了数学运算。古典密码的安全性主要依赖对算法本身的保密, 密钥的地位和作用并不十分突出。虽然在古代加密方法中已体现 了密码学的若干要素,但它只是一门艺术,而不是一门科学。
4. 何谓业务填充技术?主要用途如何?
答:所谓的业务填充即使在业务闲时发送无用的随机数据,增加 攻击者通过通信流量获得信息的困难,是一种制造假的通信、产
答:攻击者意图在两组合同中各选一份使得其杂凑值相同,既非 弱碰撞攻击也非强碰撞攻击,而是介于两者之间的一种形式。为 计算成功概率,先考虑 M 组中的一份合同均不与 M-组中任一份合 同杂凑值相同的概率:ρ1=(1-1/264)^232;其次,当 M 组中的任 一份合同都满足这一条件时,攻击者才会失败,对应概率为:ρ 2=ρ1^232=((1-1/264)^232)^232=(1-1/264)^264;最后,攻击者成功的 概率则为:ρ=1-ρ2=1-(1-1/264)^264。其中^表示乘方运算。
PDRR 模型在 P2DR 模型的基础上把恢复环节提到了和防护、检测、 响应等环节同等的高度,保护、检测、恢复、响应共同构成了完 整的安全体系。PDRR 也是基于时间的动态模型,其中,恢复环节 对于信息系统和业务活动的生存起着至关重要的作用,组织只有 建立并采用完善的恢复计划和机制,其信息系统才能在重大灾难 事件中尽快恢复并延续业务。
WPDRRC 模型全面涵盖了各个安全因素,突出了人、策略、管理的 重要性,反映了各个安全组件之间的内在联系。该模型主要由六 个元素构成:预警、保护、检测、响应、恢复、反击。
6. 试分析古典密码和现代密码的异同?
答:在 1949 年之前,是密码发展的第一阶段—古典密码体制。古 典密码体制是通过某种方式的文字置换和移位进行,这种置换或 移位一般是通过某种手工或机械变换方式进行转换,同时简单地 使用了数学运算。古典密码的安全性主要依赖对算法本身的保密, 密钥的地位和作用并不十分突出。虽然在古代加密方法中已体现 了密码学的若干要素,但它只是一门艺术,而不是一门科学。
4. 何谓业务填充技术?主要用途如何?
答:所谓的业务填充即使在业务闲时发送无用的随机数据,增加 攻击者通过通信流量获得信息的困难,是一种制造假的通信、产
入侵检测技术
本书适合作为计算机、信息安全、通信等相关专业的高年级本科生和研究生的数学用书,也可供广大网络安全工程技术人员参考。
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
第6章-入侵检测和入侵防御系统PPT课件
• 入侵检测系统是继防火墙之后,保护网络安全的第 二道防线,它可以在网络受到攻击时,发出警报或 者采取一定的干预措施,以保证网络的安全。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
入侵检测习题标准答案
入侵检测习题答案————————————————————————————————作者:————————————————————————————————日期:2第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
浙大远程教育信息安全在线作业
您的本次作业分数为:99分单选题1.【第11、12章】在目前的信息网络中,(____)病毒是最主要的病毒类型。
∙ A 引导型∙ B 文件型∙ C 网络蠕虫∙ D 木马型单选题2.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。
∙ A 网络带宽∙ B 数据包∙ C 防火墙∙ D LINUX单选题3.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同,(____)在内外网络边界处提供更加主动和积极的病毒保护。
∙ A 防火墙∙ B 病毒网关∙ C IPS∙ D IDS单选题4.【第11、12章】不能防止计算机感染病毒的措施是(____)。
∙ A 定时备份重要文件∙ B 经常更新操作系统∙ C 除非确切知道附件内容,否则不要打开电子邮件附件∙ D 重要部门的计算机尽量专机专用,与外界隔绝单选题5.【第11、12章】计算机病毒最重要的特征是(____)。
∙ A 隐蔽性∙ B 传染性∙ C 潜伏性∙ D 表现性单选题6.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。
∙ A 信息加密和解密∙ B 信息隐匿∙ C 数字签名和身份认证技术∙ D 数字水印单选题7.【第11、12章】安全扫描可以(____)。
∙ A 弥补由于认证机制薄弱带来的问题∙ B 弥补由于协议本身而产生的问题∙ C 弥补防火墙对内网安全威胁检测不足的问题∙ D 扫描检测所有的数据包攻击,分析所有的数据流单选题8.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。
∙ A 保护∙ B 检测∙ C 响应∙ D 恢复单选题9.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4、exe,添加注册表项,使得自身能够在系统启动时自动运行。
计算机网络安全管理第1章 (5)
4
•
1. 2. 3.
入侵者(或攻击者)的攻击手段
冒充。 重放。 篡改。
4.
5.
服务拒绝。中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。
内部攻击。利用其所拥有的权限对系统进行破坏活动。这是最危险的类型,据有关资料统 计,80%以上的网络攻击及破坏与内部攻击有关。
6.
外部攻击。通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户、设置旁路躲避
6
黑客的攻击手段的特点。
(1)利用0Day漏洞攻击。 (2)攻击工具平台化。目前大量的攻击工具已经平台化
(如Metasploit),这些工具会自动扫描,自动找到漏洞,
自动进行攻击,甚至会自动进行对单位内部网络的渗透。 (3)隐蔽性强。各种硬件条件下的后门已经可以做到即使 重新安装操作系统也无法清除干净。如今计算机中的显卡、 DVD光驱等组件一般都有运行固件的内存空间,黑客可以利 用这部分内存空间隐蔽恶意代码,在下次启动计算机时这些 代码将随之被加载。
第6章 入侵检测与防黑客攻击技术
6.1
入侵检测概述
计算机病毒针对的对象主要分为单机和网络两
类,而入侵针对的对象主要是指网络,即入侵行为 的发生环境是计算机网络,所以将入侵也称为网络 入侵。
2
6.1.1 网络入侵与攻击的概念
网络入侵是一个广义上的概念,它是指任何威
胁和破坏计算机或网络系统资源的行为,例如非
23
2. 误用检测模型
误用检测(Misuse Detection)模型主要检测与已知的
不可接受行为之间的匹配程度。如果可以定义所有的不可
接受行为,那么每种能够与之匹配的行为都会引起报警。
收集非正常操作的行为特征,建立相关的特征库,当监测
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Cisco安全代理是个软件包,可以运行在独 安全代理是个软件包, 安全代理是个软件包 立服务器或工作站中,用于保护主机预防 立服务器或工作站中, 攻击。 攻击。 Cisco IDS检测器提供了对入侵的实例分析 检测器提供了对入侵的实例分析 检测器 和响应。主机IDS可以处理和分析针对操作 和响应。主机 可以处理和分析针对操作 系统应用程序接口的每个请求, 系统应用程序接口的每个请求,在必要是 采取主动地保护措施。 采取主动地保护措施。
模型
传感器 格式化数据
数据 仓库
检测器
13
6.3.基本原理 基本原理
6.3.1事件告警指示 事件告警指示 IDS的主要目标是,当发现某个数据分组或一 的主要目标是, 的主要目标是 系列数据分组出现可疑的违反安全策略的行为时, 系列数据分组出现可疑的违反安全策略的行为时, 触发相应的事件告警。告警是IDS的基本要求,但 的基本要求, 触发相应的事件告警。告警是 的基本要求 网络管理员必须合理地配置IDS以减少漏报和误报 以减少漏报 网络管理员必须合理地配置 以减少漏报和 的数量。 的数量。 漏报:是指当恶意流量出现时, 漏报:是指当恶意流量出现时,未触发相应的 IDS告警。 告警。 告警 误报:是指正常的数据流和活动触发了某个 误报:是指正常的数据流和活动触发了某个IDS 特征,从而产生不必要的事件告警。 特征,从而产生不必要的事件告警。
Hale Waihona Puke 第6章漏洞扫描与入侵检测第十章 2010-10-20
虚拟私用网络技术
1
内容提要
通过本章的学习,学生应该掌握以下内容: 通过本章的学习,学生应该掌握以下内容: 入侵检测系统( 入侵检测系统(IDS)概述 ) 入侵检测系统分类 基本原理 Cisco主机 主机IDS 主机 Cisco网络 网络IDS 网络
6
6.2.2基于网络的入侵检测系统 基于网络的入侵检测系统
基于网络的入侵检测系统在通过在计 算机网络中的某些点被动地监听网络上传 输的原始流量, 输的原始流量,对获取的网络数据进行处 从中获取有用的信息, 理,从中获取有用的信息,再与已知攻击 特征相匹配或与正常网络行为原型相比较 来识别攻击事件。 来识别攻击事件。
21
例如: 例如:一个网络访问策略定义了访问许可权控 这个策略比较方便执行。在网段X上的市 制,这个策略比较方便执行。在网段 上的市 场部门只允许浏览工程部的Web站点,但禁止 站点, 场部门只允许浏览工程部的 站点 访问网络段Y上的 上的FTP软件目录,只是一个非 软件目录, 访问网络段 上的 软件目录 常简单的网络策略。而其他策略会更难执行。 常简单的网络策略。而其他策略会更难执行。 例如: 例如:一个公司的管理团队不允许浏览游戏网 这时IDS必须与一个含有禁止网站列表的 站,这时 必须与一个含有禁止网站列表的 数据库通信,以确定访问是否违反了策略。 数据库通信,以确定访问是否违反了策略。
基于主机的入侵检测系统一般主要使用 操作系统的审计跟踪日志作为输入, 操作系统的审计跟踪日志作为输入,某些也 会主动与主机系统进行交互以获得不存在于 系统日志中的信息。 系统日志中的信息。其所收集的信息集中在 系统调用和应用层审计上, 系统调用和应用层审计上,试图从日志判断 滥用和入侵事件的线索。 滥用和入侵事件的线索。
22
23
(3)基于异常的 )基于异常的IDS 基于异常的IDS监测数据流与正常流量模 监测数据流与正常流量模 基于异常的 式是否不一致, 式是否不一致,但如何定义正常的网络流量 模式是棘手的。 模式是棘手的。IDS利用定义的正常模式来监 利用定义的正常模式来监 视系统和网络,如果检测到不正常的行为, 视系统和网络,如果检测到不正常的行为, 则触发告警事件。例如, 则触发告警事件。例如,正常情况下一个路 由选择更新的分组通常源自于网络路由器, 由选择更新的分组通常源自于网络路由器, 但如果来源于一个用户就被视为异常。( 。(欺 但如果来源于一个用户就被视为异常。(欺 骗)
7
利用网络适配器来实时监视和分析所有通过网 络进行传输的通信。一旦检测到攻击, 络进行传输的通信。一旦检测到攻击,IDS相应模 相应模 块通过通知、 块通过通知、报警以及中断连接等方式来对攻击做 出反应。 出反应。
网络接口 网络接口
采集模块
采集模块
分析引擎模块 分析结果 管理/配置模块 管理 配置模块
14
6.3.2 入侵检测技术
(1)基于特征的 )基于特征的IDS 基于特征的IDS用于监视网络流量或一个系统, 用于监视网络流量或一个系统, 基于特征的 用于监视网络流量或一个系统 当已知的恶意事件发生时发出告警信息。 当已知的恶意事件发生时发出告警信息。它将数据流 与数据库中已知的攻击特征模式进行比较, 与数据库中已知的攻击特征模式进行比较,这些特征 确定了哪些流量和活动是恶意的。基于特征的IDS有 确定了哪些流量和活动是恶意的。基于特征的 有 几种类型 a.简单模式匹配和有状态模式匹配 简单模式匹配和有状态模式匹配 b.协议解码分析 协议解码分析 c.启发式分析 启发式分析
8
网络安全 数据库
基于网络的IDS的优点 的 基于网络的
①检测的范围是整个网段,而不仅仅是被保护的主机。 检测的范围是整个网段,而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击,能够更 实时检测和应答。一旦发生恶意访问或攻击, 快地做出反应,将入侵活动对系统的破坏减到最低。 快地做出反应,将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装,不易被发现。 隐蔽性好。不需要在每个主机上安装,不易被发现。 ④不需要任何特殊的审计和登录机制,只要配置网络接 不需要任何特殊的审计和登录机制, 口就可以了,不会影响其他数据源。 口就可以了,不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作 操作系统独立。基于网络的 并不依赖主机的操作 系统作为检测资源。 系统作为检测资源。
2
6.1.入侵检测系统(IDS)概述 入侵检测系统( 入侵检测系统 )
入侵检测系统( 入侵检测系统(Intrusion Detection System)就是对 ) 网络或操作系统上的可疑行为做出策略反应, 网络或操作系统上的可疑行为做出策略反应,及时切断 入侵源、记录、并通过各种途径通知网络管理员。 入侵源、记录、并通过各种途径通知网络管理员。 IDS是防火墙的合理补充,帮助系统对付网络攻击,扩 是防火墙的合理补充,帮助系统对付网络攻击, 是防火墙的合理补充 展系统管理员的安全管理能力(包括安全审计、监视、 展系统管理员的安全管理能力(包括安全审计、监视、 进攻识别和响应),提高信息安全基础结构的完整性, 进攻识别和响应),提高信息安全基础结构的完整性, ),提高信息安全基础结构的完整性 被认为是防火墙之后的第二道安全闸门, 被认为是防火墙之后的第二道安全闸门,它在不影响网 第二道安全闸门 络性能的情况下能对网络进行监测,从而提供对内部攻 络性能的情况下能对网络进行监测,从而提供对内 击、外部攻击和误操作的实时保护,最大幅度地保障系 部攻击和误操作的实时保护, 统安全。 统安全。
10
6.2.3分布式的入侵检测系统 分布式的入侵检测系统
(3)采用上述两种数据来源的分布式的入侵检 采用上述两种数据来源的分布式的入侵检 测系统 这种入侵检测系统能够同时分析来自主 机系统审计日志和网络数据流的入侵检测系 一般为分布式结构,由多个部件组成。 统,一般为分布式结构,由多个部件组成。
11
17
18
例如, 公司的 公司的Web服务器受到一个攻击, 服务器受到一个攻击, 例如,X公司的 服务器受到一个攻击 攻击者试图通过系统中/etc/shadow文件来获 攻击者试图通过系统中 文件来获 取用户口令。通常,针对Web服务器的攻击 取用户口令。通常,针对 服务器的攻击 都需要使用包含URL的HTTP请求,为检测这 请求, 都需要使用包含 的 请求 种攻击, 分析所有捕获到的分组, 种攻击,IDS分析所有捕获到的分组,查找其 分析所有捕获到的分组 中是否包含了相应的特征。 中是否包含了相应的特征。 说明了这种攻击, 图1说明了这种攻击,这种攻击可通过基于特 说明了这种攻击 征的IDS预防。 预防。 征的 预防
分布式IDS系统的目标是既能检测网络入侵行 系统的目标是既能检测网络入侵行 分布式 又能检测主机的入侵行为。 为,又能检测主机的入侵行为。
中央数据处理单元
传 感 器
传 感 器
传 感 器
…
传 感 器
局域 网管 理器
早期的分布式入侵检测系统
12
分布式入侵检测系统
原始数据 格式化数据 格式化数据 自适应 模型 产生器 模型
3
6.2.入侵检测系统分类 入侵检测系统分类
入侵检测系统按照其数据来源来看, 入侵检测系统按照其数据来源来看,可以分 为三类: 为三类: (1)基于主机的入侵检测系统 基于主机的入侵检测系统 (2)基于网络的入侵检测系统 基于网络的入侵检测系统 (3) 分布式的入侵检测系统
4
6.2.1基于主机的入侵检测系统 基于主机的入侵检测系统
24
25
6.4.Cisco主机 主机IDS 主机
主机IDS的组成和结构 的组成和结构 主机 Cisco主机 主机IDS由两个主要部分构成: 由两个主要部分构成: 主机 由两个主要部分构成
Cisco安全代理 安全代理 Cisco安全代理管理器 安全代理管理器
26
(1)Cisco安全代理 安全代理
15
a1.简单模式匹配系统在单个数据分组中查找固 简单模式匹配系统在单个数据分组中查找固 定的字节序列。 定的字节序列。
优点:简单、事件告警可靠、适用于所有协议。 优点:简单、事件告警可靠、适用于所有协议。 缺点:对攻击做任何小的改动都会导致漏报。 缺点:对攻击做任何小的改动都会导致漏报。
a2.有状态模式匹配系统根据数据流的状态的上 有状态模式匹配系统根据数据流的状态的上 下文进行模式匹配, 下文进行模式匹配,对一个漏洞的识别往往需 要多个特征的支持。 要多个特征的支持。
模型
传感器 格式化数据
数据 仓库
检测器
13
6.3.基本原理 基本原理
6.3.1事件告警指示 事件告警指示 IDS的主要目标是,当发现某个数据分组或一 的主要目标是, 的主要目标是 系列数据分组出现可疑的违反安全策略的行为时, 系列数据分组出现可疑的违反安全策略的行为时, 触发相应的事件告警。告警是IDS的基本要求,但 的基本要求, 触发相应的事件告警。告警是 的基本要求 网络管理员必须合理地配置IDS以减少漏报和误报 以减少漏报 网络管理员必须合理地配置 以减少漏报和 的数量。 的数量。 漏报:是指当恶意流量出现时, 漏报:是指当恶意流量出现时,未触发相应的 IDS告警。 告警。 告警 误报:是指正常的数据流和活动触发了某个 误报:是指正常的数据流和活动触发了某个IDS 特征,从而产生不必要的事件告警。 特征,从而产生不必要的事件告警。
Hale Waihona Puke 第6章漏洞扫描与入侵检测第十章 2010-10-20
虚拟私用网络技术
1
内容提要
通过本章的学习,学生应该掌握以下内容: 通过本章的学习,学生应该掌握以下内容: 入侵检测系统( 入侵检测系统(IDS)概述 ) 入侵检测系统分类 基本原理 Cisco主机 主机IDS 主机 Cisco网络 网络IDS 网络
6
6.2.2基于网络的入侵检测系统 基于网络的入侵检测系统
基于网络的入侵检测系统在通过在计 算机网络中的某些点被动地监听网络上传 输的原始流量, 输的原始流量,对获取的网络数据进行处 从中获取有用的信息, 理,从中获取有用的信息,再与已知攻击 特征相匹配或与正常网络行为原型相比较 来识别攻击事件。 来识别攻击事件。
21
例如: 例如:一个网络访问策略定义了访问许可权控 这个策略比较方便执行。在网段X上的市 制,这个策略比较方便执行。在网段 上的市 场部门只允许浏览工程部的Web站点,但禁止 站点, 场部门只允许浏览工程部的 站点 访问网络段Y上的 上的FTP软件目录,只是一个非 软件目录, 访问网络段 上的 软件目录 常简单的网络策略。而其他策略会更难执行。 常简单的网络策略。而其他策略会更难执行。 例如: 例如:一个公司的管理团队不允许浏览游戏网 这时IDS必须与一个含有禁止网站列表的 站,这时 必须与一个含有禁止网站列表的 数据库通信,以确定访问是否违反了策略。 数据库通信,以确定访问是否违反了策略。
基于主机的入侵检测系统一般主要使用 操作系统的审计跟踪日志作为输入, 操作系统的审计跟踪日志作为输入,某些也 会主动与主机系统进行交互以获得不存在于 系统日志中的信息。 系统日志中的信息。其所收集的信息集中在 系统调用和应用层审计上, 系统调用和应用层审计上,试图从日志判断 滥用和入侵事件的线索。 滥用和入侵事件的线索。
22
23
(3)基于异常的 )基于异常的IDS 基于异常的IDS监测数据流与正常流量模 监测数据流与正常流量模 基于异常的 式是否不一致, 式是否不一致,但如何定义正常的网络流量 模式是棘手的。 模式是棘手的。IDS利用定义的正常模式来监 利用定义的正常模式来监 视系统和网络,如果检测到不正常的行为, 视系统和网络,如果检测到不正常的行为, 则触发告警事件。例如, 则触发告警事件。例如,正常情况下一个路 由选择更新的分组通常源自于网络路由器, 由选择更新的分组通常源自于网络路由器, 但如果来源于一个用户就被视为异常。( 。(欺 但如果来源于一个用户就被视为异常。(欺 骗)
7
利用网络适配器来实时监视和分析所有通过网 络进行传输的通信。一旦检测到攻击, 络进行传输的通信。一旦检测到攻击,IDS相应模 相应模 块通过通知、 块通过通知、报警以及中断连接等方式来对攻击做 出反应。 出反应。
网络接口 网络接口
采集模块
采集模块
分析引擎模块 分析结果 管理/配置模块 管理 配置模块
14
6.3.2 入侵检测技术
(1)基于特征的 )基于特征的IDS 基于特征的IDS用于监视网络流量或一个系统, 用于监视网络流量或一个系统, 基于特征的 用于监视网络流量或一个系统 当已知的恶意事件发生时发出告警信息。 当已知的恶意事件发生时发出告警信息。它将数据流 与数据库中已知的攻击特征模式进行比较, 与数据库中已知的攻击特征模式进行比较,这些特征 确定了哪些流量和活动是恶意的。基于特征的IDS有 确定了哪些流量和活动是恶意的。基于特征的 有 几种类型 a.简单模式匹配和有状态模式匹配 简单模式匹配和有状态模式匹配 b.协议解码分析 协议解码分析 c.启发式分析 启发式分析
8
网络安全 数据库
基于网络的IDS的优点 的 基于网络的
①检测的范围是整个网段,而不仅仅是被保护的主机。 检测的范围是整个网段,而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击,能够更 实时检测和应答。一旦发生恶意访问或攻击, 快地做出反应,将入侵活动对系统的破坏减到最低。 快地做出反应,将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装,不易被发现。 隐蔽性好。不需要在每个主机上安装,不易被发现。 ④不需要任何特殊的审计和登录机制,只要配置网络接 不需要任何特殊的审计和登录机制, 口就可以了,不会影响其他数据源。 口就可以了,不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作 操作系统独立。基于网络的 并不依赖主机的操作 系统作为检测资源。 系统作为检测资源。
2
6.1.入侵检测系统(IDS)概述 入侵检测系统( 入侵检测系统 )
入侵检测系统( 入侵检测系统(Intrusion Detection System)就是对 ) 网络或操作系统上的可疑行为做出策略反应, 网络或操作系统上的可疑行为做出策略反应,及时切断 入侵源、记录、并通过各种途径通知网络管理员。 入侵源、记录、并通过各种途径通知网络管理员。 IDS是防火墙的合理补充,帮助系统对付网络攻击,扩 是防火墙的合理补充,帮助系统对付网络攻击, 是防火墙的合理补充 展系统管理员的安全管理能力(包括安全审计、监视、 展系统管理员的安全管理能力(包括安全审计、监视、 进攻识别和响应),提高信息安全基础结构的完整性, 进攻识别和响应),提高信息安全基础结构的完整性, ),提高信息安全基础结构的完整性 被认为是防火墙之后的第二道安全闸门, 被认为是防火墙之后的第二道安全闸门,它在不影响网 第二道安全闸门 络性能的情况下能对网络进行监测,从而提供对内部攻 络性能的情况下能对网络进行监测,从而提供对内 击、外部攻击和误操作的实时保护,最大幅度地保障系 部攻击和误操作的实时保护, 统安全。 统安全。
10
6.2.3分布式的入侵检测系统 分布式的入侵检测系统
(3)采用上述两种数据来源的分布式的入侵检 采用上述两种数据来源的分布式的入侵检 测系统 这种入侵检测系统能够同时分析来自主 机系统审计日志和网络数据流的入侵检测系 一般为分布式结构,由多个部件组成。 统,一般为分布式结构,由多个部件组成。
11
17
18
例如, 公司的 公司的Web服务器受到一个攻击, 服务器受到一个攻击, 例如,X公司的 服务器受到一个攻击 攻击者试图通过系统中/etc/shadow文件来获 攻击者试图通过系统中 文件来获 取用户口令。通常,针对Web服务器的攻击 取用户口令。通常,针对 服务器的攻击 都需要使用包含URL的HTTP请求,为检测这 请求, 都需要使用包含 的 请求 种攻击, 分析所有捕获到的分组, 种攻击,IDS分析所有捕获到的分组,查找其 分析所有捕获到的分组 中是否包含了相应的特征。 中是否包含了相应的特征。 说明了这种攻击, 图1说明了这种攻击,这种攻击可通过基于特 说明了这种攻击 征的IDS预防。 预防。 征的 预防
分布式IDS系统的目标是既能检测网络入侵行 系统的目标是既能检测网络入侵行 分布式 又能检测主机的入侵行为。 为,又能检测主机的入侵行为。
中央数据处理单元
传 感 器
传 感 器
传 感 器
…
传 感 器
局域 网管 理器
早期的分布式入侵检测系统
12
分布式入侵检测系统
原始数据 格式化数据 格式化数据 自适应 模型 产生器 模型
3
6.2.入侵检测系统分类 入侵检测系统分类
入侵检测系统按照其数据来源来看, 入侵检测系统按照其数据来源来看,可以分 为三类: 为三类: (1)基于主机的入侵检测系统 基于主机的入侵检测系统 (2)基于网络的入侵检测系统 基于网络的入侵检测系统 (3) 分布式的入侵检测系统
4
6.2.1基于主机的入侵检测系统 基于主机的入侵检测系统
24
25
6.4.Cisco主机 主机IDS 主机
主机IDS的组成和结构 的组成和结构 主机 Cisco主机 主机IDS由两个主要部分构成: 由两个主要部分构成: 主机 由两个主要部分构成
Cisco安全代理 安全代理 Cisco安全代理管理器 安全代理管理器
26
(1)Cisco安全代理 安全代理
15
a1.简单模式匹配系统在单个数据分组中查找固 简单模式匹配系统在单个数据分组中查找固 定的字节序列。 定的字节序列。
优点:简单、事件告警可靠、适用于所有协议。 优点:简单、事件告警可靠、适用于所有协议。 缺点:对攻击做任何小的改动都会导致漏报。 缺点:对攻击做任何小的改动都会导致漏报。
a2.有状态模式匹配系统根据数据流的状态的上 有状态模式匹配系统根据数据流的状态的上 下文进行模式匹配, 下文进行模式匹配,对一个漏洞的识别往往需 要多个特征的支持。 要多个特征的支持。