当前位置:文档之家 › 第十一章 入侵检测

第十一章 入侵检测

  • 格式:ppt
  • 大小:685.00 KB
  • 文档页数:64

下载文档原格式

  / 64

合集下载

网络安全实用技术答案

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)(7)(8)第二章:(1)(2)SSI(3)B(4)(5)(6)VPN第三章:(1)(2)(3)(4)A(5)(6)力第四章:(1)(2)(3)改变路由信息,修改WindowsNT注册表等行为属于拒绝服务攻击的方式。

C.服务利用型(4)利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接收到整个以太网内的网络数据信息。

C.嗅探程序(5)字典攻击被用于。

B.远程登录第五章:(1)加密在网络上的作用就是防止有价值的信息在网上被。

A.拦截和破坏(2)负责证书申请者的信息录入、审核以及证书发放等工作的机构是。

D.LDAP目录服务器(3)情况下用户需要依照系统提示输入用户名和口令。

B.用户使用加密软件对自己编写的(){rice文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容(4)以下不属于AAA系统提供的服务类型。

C.访问(5)不论是网络的安全保密技术还是站点的安全技术,其核心问题是。

A.保护数据安全(6)数字签名是用于保障。

B.完整性及不可否认性第六章:(1)使用密码技术不仅可以保证信息的,而且可以保证信息的完整性和准确性,防止信息被篡改、伪造和假冒。

A.机密性(2)网络加密常用的方法有链路加密、加密和节点加密三种。

B.端到端(3)根据密码分析者破译时已具备的前提条件,通常人们将攻击类型分为4种:一是,二是,三是选定明文攻击,四是选择密文攻击。

第十一章 网络安全

第十一章 网络安全

安全警报
通过防火墙可以方便地监视网络的安全性,并产生报警信号。 通过防火墙可以方便地监视网络的安全性,并产生报警信号。
重新部署网络地址转换( 重新部署网络地址转换(NAT) )
接入Internet的机构,可以通过网络地址转换(NAT)来完成内部 的机构,可以通过网络地址转换( 接入 的机构 ) 私有地址到外部注册地址的映射,而防火墙正是部署NAT的理想位置。 的理想位置。 私有地址到外部注册地址的映射,而防火墙正是部署 的理想位置
Intranet
Internet
防火墙
图11-1 防火墙的位置与功能示意图
2. 防火墙的主要功能
集中的网络安全
防火墙允许网络管理员定义一个中心(阻塞点) 防火墙允许网络管理员定义一个中心(阻塞点)来防止非法用户进 入内部网络,禁止存在不安全因素的访问进出网络, 入内部网络,禁止存在不安全因素的访问进出网络,并抗击来自各种 线路的攻击。 线路的攻击。
代理服务软件要分析网络数据包并作出访问控制决定, 代理服务软件要分析网络数据包并作出访问控制决定,从而在一定 程度上影响了网络的性能, 程度上影响了网络的性能,且代理服务器需要为每个网络用户专门 设计,安装使用较复杂,成本也相对较高。 设计,安装使用较复杂,成本也相对较高。
5. 复合型防火墙(Compound Firewall) 复合型防火墙( )
防火墙并非万能,影响网络安全的因素很多, 防火墙并非万能,影响网络安全的因素很多,对于以下情况它 无能为力: 无能为力: 不能防范绕过防火墙产生的攻击
不能防范由于内部用户不注意所造成的威胁 不能防范由于内部用户不注意所造成的威胁 不能防范受到病毒感染的软件或文件在网络上传输 很难防止数据驱动式攻击
11.2.2 防火墙的主要类型

智慧树知到 《网络空间安全概论》章节测试答案

智慧树知到 《网络空间安全概论》章节测试答案

智慧树知到《网络空间安全概论》章节测试答案第一章1、以下哪种安全问题属于网络空间安全问题中的移动安全问题?A:平台攻击B:有害信息C:终端被攻D:密码破解答案: 终端被攻2、blob.pngA:对B:错答案: 对3、下面是防范假冒热点措施的是()A:免费WiFi上购物B:任何时候不使用WiFi联网C:不打开WiFi自动连接D:全部都是答案: 不打开WiFi自动连接4、乱扫二维码,钱不翼而飞,主要是中了()A:病毒B:木马C:僵尸网络D:蠕虫答案: 木马5、在()年,美国《保护信息系统的国家计划》首次提出“网络空间”(cyberspace)概念。

A:2008B:2005C:2001D:2004答案: 20016、2014年12 月欧洲《国家网络空间安全战略: 制定和实施的实践指南》“网络空间安全尚没有统一的定义, 与信息安全的概念存在重叠, 后者主要关注保护特定系统或组织内的信息的安全, 而网络空间安全则侧重于保护基础设施及关键信息基础设施所构成的网络" 。

A:对B:错答案: 错第二章1、民事法律关系是用于解决运营者与使用者、运营者与运营者、使用者与使用者之间的民事法律纠纷问题。

A:对B:错答案: 对2、依照计算机信息网络国际联网安全保护管理办法的相关内容,若有单位或个人故意制作、传播计算机病毒等破坏性程序的,可以由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并处一万五千元以下的罚款。

A:对B:错答案: 对3、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚。

A:对B:错答案: 错4、有关有害数据及计算机病毒防治管理办法是公安部第52号令。

A:对B:错答案: 错5、任何单位和个人不得向社会发布虚假的计算机病毒疫情。

A:对B:错答案: 对第三章1、以下说法错误的是:()A:严格按照规范操作B:设备没有明显故障问题时,管理人员和操作人员不需要定期维护、保养设备C:计算机系统应制定或者设计病毒防范程序D:要求特别保护的设备应与其他设备进行隔离答案:2、以下措施能有效物理访问控制方法的是()A:在机房和数据中心加固更多的围墙和门B:专业摄像器材来监控相关设备C:设置专门的ID卡或其他辨明身份的证件D:设置警报装置和警报系统答案:ABCD3、下面哪个选项不属于IC安全威胁()A: 赝品ICB:盗版ICC: 逆向工程D: 硬件木马答案:B4、工控设备的safety主要考虑的是随机硬件故障、系统故障等等。

网络安全实用技术答案

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了 . C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议.A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密.B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务.D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和 .D.上述三点(2)网络安全保障体系框架的外围是 .D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

网络安全实用技术答案

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

计算机和信息系统安全保密管理规定

计算机和信息系统安全保密管理规定

计算机和信息系统安全保密管理规定第一章总则第一条为加强公司计算机和信息系统(包括涉密信息系统和非涉密信息系统)安全保密管理,确保国家秘密及商业秘密的安全,根据国家有关保密法规标准和中核集团公司有关规定,制定本规定。

第二条本规定所称涉密信息系统是指由计算机及其相关的配套设备、设施构成的,按照一定的应用目标和规定存储、处理、传输涉密信息的系统或网络,包括机房、网络设备、软件、网络线路、用户终端等内容。

第三条涉密信息系统的建设和应用要本着“预防为主、分级负责、科学管理、保障安全”的方针,坚持“谁主管、谁负责,谁使用、谁负责”和“控制源头、归口管理、加强检查、落实制度”的原则,确保涉密信息系统和国家秘密信息安全。

第四条涉密信息系统安全保密防护必须严格按照国家保密标准、规定和集团公司文件要求进行设计、实施、测评审查与审批和验收;未通过国家审批的涉密信息系统,不得投入使用。

第五条本规定适用于公司所有计算机和信息系统安全保密管理工作。

第二章管理机构与职责第六条公司法人代表是涉密信息系统安全保密第一责任人,确保涉密信息系统安全保密措施的落实,提供人力、物力、财力等条件保障,督促检查领导责任制落实。

第七条公司保密委员会是涉密信息系统安全保密管理决策机构,其主要职责:(一)建立健全安全保密管理制度和防范措施,并监督检查落实情况;(二)协调处理有关涉密信息系统安全保密管理的重大问题,对重大失泄密事件进行查处。

第八条成立公司涉密信息系统安全保密领导小组,保密办、科技信息部(信息化)、党政办公室(密码)、财会部、人力资源部、武装保卫部和相关业务部门、单位为成员单位,在公司党政和保密委员会领导下,组织协调公司涉密信息系统安全保密管理工作。

第九条保密办主要职责:(一)拟定涉密信息系统安全保密管理制度,并组织落实各项保密防范措施;(二)对系统用户和安全保密管理人员进行资格审查和安全保密教育培训,审查涉密信息系统用户的职责和权限,并备案;(三)组织对涉密信息系统进行安全保密监督检查和风险评估,提出涉密信息系统安全运行的保密要求;(四)会同科技信息部对涉密信息系统中介质、设备、设施的授权使用的审查,建立涉密信息系统安全评估制度,每年对涉密信息系统安全措施进行一次评审;(五)对涉密信息系统设计、施工和集成单位进行资质审查,对进入涉密信息系统的安全保密产品进行准入审查和规范管理,对涉密信息系统进行安全保密性能检测;(六)对涉密信息系统中各应用系统进行定密、变更密级和解密工作进行审核;(七)组织查处涉密信息系统失泄密事件。

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)(7)(8)第二章:(1)(2)SSI(3)B(4)(5)(6)VPN第三章:(1)(2)(3)(4)A(5)(6)力第四章:(1)(2)(3)改变路由信息,修改WindowsNT注册表等行为属于拒绝服务攻击的方式。

C.服务利用型(4)利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接收到整个以太网内的网络数据信息。

C.嗅探程序(5)字典攻击被用于。

B.远程登录第五章:(1)加密在网络上的作用就是防止有价值的信息在网上被。

A.拦截和破坏(2)负责证书申请者的信息录入、审核以及证书发放等工作的机构是。

D.LDAP目录服务器(3)情况下用户需要依照系统提示输入用户名和口令。

B.用户使用加密软件对自己编写的(){rice文档进行加密,以阻止其他人得到这份拷贝后看到文档中的内容(4)以下不属于AAA系统提供的服务类型。

C.访问(5)不论是网络的安全保密技术还是站点的安全技术,其核心问题是。

A.保护数据安全(6)数字签名是用于保障。

B.完整性及不可否认性第六章:(1)使用密码技术不仅可以保证信息的,而且可以保证信息的完整性和准确性,防止信息被篡改、伪造和假冒。

A.机密性(2)网络加密常用的方法有链路加密、加密和节点加密三种。

B.端到端(3)根据密码分析者破译时已具备的前提条件,通常人们将攻击类型分为4种:一是,二是,三是选定明文攻击,四是选择密文攻击。

网络安全实用技术答案 (2)

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

网络安全教学大纲

《网络安全》课程教学大纲一、适用对象:适用相关学历层次与知识背景的普通专科。

二、教学目的:《网络安全》课程是计算机系各专业共同的专业技能课。

使学生了解网络安全的基本框架,网络安全的基本理论,以及计算机网络安全方面的管理、配置和维护。

为学生今后进行网络管理、维护,以及安全技术服务奠定基础。

同时,本课程将紧密结合实际,及时讲解和防范最新的病毒和黑客程序和网络安全维护的工具,介绍最新的网络安全技术,并通过学生的实际操作来了解最新的技术动向,为学生毕业后能更快地适应工作环境创造条件。

三、教学要求:通过本课程学习,使学生能够熟悉和配置计算机网络并开启基本的网络安全服务。

四、教学内容及安排:(一)教学内容第一章 网络安全概述1.教学内容网络安全的定义与发展网络安全面临的威胁计算机网络安全等级2.教学目的及要求了解计算机网络安全的特性掌握网络安全机制和管理策略3.教学重点网络安全机制和管理策略4.教学难点网络安全机制和管理策略5.主要教学环节的组织多媒体理论教学和上机实训第二章 网络安全基础1.教学内容因特网的安全缺陷;TCP/IP协议的TCP、IP安全机制;2.教学目的及要求掌握TCP\IP安全机制;3.教学重点掌握TCP\IP安全机制;4.教学难点掌握QQ所面临的攻击及其防御;5.主要教学环节的组织多媒体理论教学和上机实训第三章 黑客攻击与防范1.教学内容因特网上的踩点、扫描、查点;2.教学目的及要求因特网上的踩点、扫描、查点3.教学重点因特网上的踩点、扫描、查点4.教学难点掌握因特网上的踩点、扫描、查点及其旗标抓取技术;5.主要教学环节的组织多媒体理论教学和上机实训第4章网络操作系统安全1.教学内容Windows系统安全;远程连接和VoIP攻击;2.教学目的及要求远程连接和VoIP攻击;3.教学重点远程连接和VoIP攻击;4.教学难点远程连接和VoIP攻击;5.主要教学环节的组织多媒体理论教学和上机实训第5章 Web系统安全1.教学内容Web系统安全需求;Web体系结构与安全性;2.教学目的及要求掌握Web体系结构与安全性;3.教学重点Web体系结构与安全性;4.教学难点掌握局域网接入Internet Web体系结构与安全性;5.主要教学环节的组织多媒体理论教学和上机实训第6章 网络攻击与防御措施1.教学内容网络安全概念;防火墙配置;2.教学目的及要求掌握防火墙的配置;3.教学重点掌握防火墙的配置;4.教学难点掌握防火墙的配置;5.主要教学环节的组织多媒体理论教学和上机实训第7章 计算机病毒与防范1.教学内容计算机病毒基本结构与工作机制;计算机病毒检测技术;2.教学目的及要求掌握计算机病毒检测技术;3.教学重点计算机病毒检测技术;4.教学难点计算机病毒检测技术;5.主要教学环节的组织多媒体理论教学和上机实训第八章 防火墙技术1.教学内容网络安全概念;防火墙配置;2.教学目的及要求掌握防火墙的配置;3.教学重点掌握防火墙的配置;4.教学难点掌握防火墙的配置;5.主要教学环节的组织多媒体理论教学和上机实训第九章 数据加密技术与应用1.教学内容数据加密概念;安全电子交易;2.教学目的及要求掌握DES加密算法;3.教学重点掌握RSA密码算法;4.教学难点RSA密码算法;5.主要教学环节的组织多媒体理论教学和上机实训第十章 入侵检测系统1.教学内容入侵检测系统概念;入侵检测系统的应用问题;2.教学目的及要求掌握入侵检测系统的应用问题;3.教学重点入侵检测系统的应用问题;4.教学难点入侵检测系统的应用问题;5.主要教学环节的组织多媒体理论教学和上机实训第十一章 无线网络安全和虚拟专用网1.教学内容无线网络常见的攻击手段;无线网络安全对策 ;2.教学目的及要求掌握VPN工作原理;3.教学重点无线网络常见的攻击手段;4.教学难点VPN工作原理;5.主要教学环节的组织多媒体理论教学和上机实训(二)教学安排:本课程安排在第二学年第二学期,总学时:36学时。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
响应方式有主动响应和被动相应 被动响应:发出告警通知, 被动响应:发出告警通知,本身不试图降低 所造成的破坏, 所造成的破坏,更不会主动地对攻击者采取 反击行动。 反击行动。 主动响应:断开网络连接、 主动响应:断开网络连接、增加安全日志和 杀死可疑进程。 杀死可疑进程。
2012-3-16
23
11.1.3
2012-3-16 18
信息分析
模式匹配 统计分析 完整性分析,往往用于事后分析 其中前两种方法用于实时的入侵检测, 而完整性分析则用于事后分析。
2012-3-16
19
1.模式匹配 模式匹配
模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背 安全策略的行为 一般来讲,一种攻击模式可以用一个过程(如执 行一条指令)或一个输出(如获得权限)来表示。 该过程可以很简单(如通过字符串匹配以寻找一 个简单的条目或指令),也可以很复杂(如利用 正规的数学表达式来表示安全状态的变化)
第十一章 入侵检测
2012-3-16
1
第十一章 入侵检测
1. 2. 3. 4. 5. 6. 7. 概述 入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望
2
2012-3-16
概述 2. 3. 4. 5. 6. 7.
2012-3-16
入侵检测方法 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 其它 展望
进行入侵检测的软件与硬件的组合便是入侵检测 进行入侵检测的软件与硬件的组合便是入侵检测 系统
IDS : Intrusion Detection System
2012-3-16 6
入侵者进入系统的方式 物理入侵: 物理入侵:趁人不备进入机房试图闯入操作系 统等 系统入侵: 系统入侵:利用系统漏洞低权限用户获得更高 的管理权 进程入侵:入侵者通过网络进入一个系统中。 进程入侵:入侵者通过网络进入一个系统中。 特点为入侵者不具备特殊权限,入侵者通过漏洞扫 特点为入侵者不具备特殊权限, 描和端口扫描技术发现攻击目标, 描和端口扫描技术发现攻击目标,再利用攻击技术 执行破坏活动 入侵检测的内容 试图闯入、成功闯入、冒充其他用户、违反安 试图闯入、成功闯入、冒充其他用户、 全策略、合法用户的泄漏和独占资源。 全策略、合法用户的泄漏和独占资源。
漏报(false negative):如果系统未能检测出真正 : 的入侵 行为
2012-3-16 24
异常检测模型
正常行为 系统审计
低于阀值
比较
用户轮廓
高于阀值
入侵
2012-3-16
25
异常检测
1. 前提:入侵是异常活动的子集 前提: 用户轮廓(Profile): 2. 用户轮廓(Profile): 通常定义为各种行为参 数及其阀值的集合,用于描述正常行为范围 数及其阀值的集合, 3. 过程 监控 量化 比较 判定
入侵检测原理
入侵检测的分类( ) 入侵检测的分类(1)
按照识别的原理不同分类:异常监测和误用检测
1.异常检测模型(Anomaly Detection AD):首先总结正
常操作应该具有的特征(用户轮廓),当用户活动与正常 行为有重大偏离时即被认为是入侵
误报(false positive):如果系统错误地将异常 : 活动定义为入侵
这份报告被公认为是入侵检测的开山之作
2012-3-16 9
入侵检测的起源( 入侵检测的起源(2)
从1984年到1986年 乔治敦大学的Dorothy Denning 于1987年提出了一
种通用的入侵检测模型 独立性 :系统、环境、脆弱性、入侵种类 系统框架:包括异常检测器和专家系统
1988年 SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型—IDES(入侵 检测专家系统)
信息收集
入侵检测的第一步是信息收集,收集内: 1 需要在计算机网络系统中的若干不同关键点(不同网 段和不同主机)收集信息,原因为: 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点入侵检测很 大程度上依赖于收集信息的可靠性和正确性 2 要保证用来检测网络系统的软件的完整性特别是入侵 检测系统软件本身应具有相当强的坚固性,防止被篡 改而收集到错误的信息
2012-3-16 15
信息收集的来源
系统或网络的日志文件 物理形式的入侵信息 系统目录和文件的异常变化 程序执行中的异常行为
2012-3-16
16
系统或网络的日志文件
攻击者常在系统日志文件中留下他们的踪迹,因 此,充分利用系统和网络日志文件信息是检测入 侵的必要条件 日志文件中记录了各种行为类型,每种类型又包 含不同的信息,例如记录“用户活动”类型的日 志,就包含登录、用户ID改变、用户对文件的访 问、授权和认证信息等内容 显然,对用户活动来讲,不正常的或不期望的行 为就是重复登录失败、登录到不期望的位置以及 非授权的企图访问重要文件等等
二、网络攻击的破坏性、损失的严重性 网络攻击的破坏性、 三、日益增长的网络安全威胁 四、单纯的防火墙虽然为网络服务提供了较好的身 份认证和访问控制技术, 份认证和访问控制技术,但无法防范复杂多变 的攻击
2012-3-16 4
网络安全工具的特点
优点 防火墙 IDS Scanner 可简化网络管理,产品成熟 实时监控网络安全状态 局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式束手无策 并不能真正扫描漏洞
28
2.误用检测( Detection): 2.误用检测(Misuse Detection): 误用检测 收集非正常操作的行为特征,建立相关的特 征库,当监测的用户或系统行为与库中的记 录相匹配时,系统就认为这种行为是入侵 。 显然,误用检测依赖于攻击特征库,如果 没有构造出好的攻击特征库,IDS就不能检 测到入侵者。
2012-3-16
31
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征 前提: 攻击特征库: 2. 攻击特征库: 当监测的用户或系统行为与库中的 记录相匹配时,系统就认为这种行为是入侵 记录相匹配时, 3. 过程 监控 特征提取 匹配 判定
指标:误报低、 4. 指标:误报低、漏报高
2012-3-16
2012-3-16 29
误用检测模型
正常行为 系统审计
不匹配 比较
攻击特征库
匹配
入侵
2012-3-16
30
误用检测
如果入侵特征与正常的用户行为匹配,则 系统会发生误报;如果没有特征能与某种 新的攻击行为匹配,则系统会发生漏报
特点:采用特征匹配,滥用模式能明显降 低错报率,但漏报率随之增加。攻击特征 的细微变化,会使得滥用检测无能为力
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题 保护公网上的内部通信 针对文件与邮件,产品成熟
VPN 防病毒
可视为防火墙上的一个漏洞 功能单一
2012-3-16
5
11.1
入侵检测原理与技术
入侵检测( 入侵检测(Intrusion Detection)是对入侵行为 ) 的发觉。 的发觉。它通过从计算机网络或计算机系统的关 键点收集信息并进行分析, 键点收集信息并进行分析,从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象, 中是否有违反安全策略的行为和被攻击的迹象, 以保证系统资源的机密性、 以保证系统资源的机密性、完整性和可用性
3
入侵检测系统存在与发展的必然性
一、传统的安全模型并不能保证系统的安全
身份认证技术并不能抵制脆弱性口令、字典攻击、 身份认证技术并不能抵制脆弱性口令、字典攻击、 木马、 木马、网络窥探器和电磁辐射等攻击手段 对于访问控制, 对于访问控制,入侵者可以利用脆弱性口令或系统 漏洞绕过访问控制,或提升用户权限,或非法读写文件。 漏洞绕过访问控制,或提升用户权限,或非法读写文件。
修正 4. 指标:漏报率低,误报率高 指标:漏报率低,
2012-3-16 26
异常检测特点
异常检测系统的效率取决于用户轮廓的完备 性和监控的频率 因为不需要对每种入侵行为进行定义,因此 能有效检测未知的入侵 系统能针对用户行为的改变进行自我调整和 优化,但随着检测模型的逐步精确,异常检 测会消耗更多的系统资源
2012-3-16 7
安全防御技术 安全防御技术有静态安全技术和动态安全 技术两种 操作系统加固技术 静态安全技术 防火墙隔离技术 动态安全技术: 动态安全技术:入侵检测技术 入侵检测技术是对防火墙的合理补充,被认为 入侵检测技术是对防火墙的合理补充, 是防火墙后的第二道安全闸门,提供对内部攻 是防火墙后的第二道安全闸门,提供对内部攻 外部攻击和操作的实时保护。 击、外部攻击和操作的实时保护。
2012-3-16 17
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件, 包含重要信息的文件和私有数据文件经常是黑客 修改或破坏的目标 目录和文件中的不期望的改变(包括修改、创建 和删除),特别是那些正常情况下限制访问的, 很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的 系统上的文件,同时为了隐藏系统中他们的表现 及活动痕迹,都会尽力去替换系统程序或修改系 统日志文件
2012-3-16 8
11.1.1
1980年 年
入侵检测起源( 入侵检测起源(1)
Anderson提出:入侵检测概念和分类方法 提出: 提出
1980年4月,James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 (计算机安全威胁监控与监视) 计算机安全威胁监控与监视) 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、 计算机系统威胁分类 外部渗透、内部渗透 提出了利用审计跟踪数据监视入侵活动的思想