当前位置:文档之家 › 网络安全理论与时间-教案-第4讲入侵检测系统-20180531

网络安全理论与时间-教案-第4讲入侵检测系统-20180531

  • 格式:doc
  • 大小:1.55 MB
  • 文档页数:19

下载文档原格式

  / 19

合集下载

入侵baojing系统课程设计

入侵baojing系统课程设计

入侵baojing系统课程设计一、教学目标本课程的学习目标包括知识目标、技能目标和情感态度价值观目标。

知识目标要求学生掌握入侵baojing系统的基本原理和方法,了解相关技术的发展趋势。

技能目标要求学生能够运用所学知识进行简单的入侵实验,提高网络安全意识。

情感态度价值观目标要求学生树立正确的网络安全观念,拒绝参与任何形式的网络攻击行为。

通过分析课程性质、学生特点和教学要求,我们将目标分解为具体的学习成果。

首先,学生需要理解入侵baojing系统的基本概念,包括系统架构、攻击手段和防御策略。

其次,学生能够运用所学知识分析网络安全问题,提出解决方案。

最后,学生能够通过实践操作,掌握入侵baojing系统的基本技巧,提高网络安全防护能力。

二、教学内容本课程的教学内容主要包括入侵baojing系统的原理、方法和防御策略。

首先,介绍入侵baojing系统的基本概念,使学生了解网络安全的重要性。

其次,讲解入侵baojing系统的基本原理,包括攻击手段、攻击过程和攻击后果。

然后,介绍入侵baojing系统的防御策略,如防火墙、入侵检测系统和漏洞修复等。

最后,通过案例分析,使学生了解入侵baojing系统在实际应用中的具体操作。

三、教学方法为了激发学生的学习兴趣和主动性,本课程将采用多种教学方法。

首先,采用讲授法,为学生讲解入侵baojing系统的基本概念和原理。

其次,通过案例分析法,让学生分析实际案例,提高网络安全意识。

此外,还将采用实验法,让学生亲自动手进行入侵实验,锻炼实际操作能力。

最后,学生进行讨论,分享学习心得,促进学生之间的交流。

四、教学资源本课程的教学资源包括教材、参考书、多媒体资料和实验设备。

教材和参考书将作为学生学习的主要依据,提供详细的理论知识和实践指导。

多媒体资料如视频、图片等,将用于辅助教学,使学生更直观地了解入侵baojing系统的过程。

实验设备如计算机、网络设备等,将用于学生的实际操作练习,提高网络安全防护能力。

网络安全防御与入侵检测系统

网络安全防御与入侵检测系统

网络安全防御与入侵检测系统在当今数字化时代,网络安全已经成为一个重要的议题。

随着互联网的普及和信息技术的快速发展,网络安全威胁也日益复杂。

为了保护计算机网络系统的完整性、可用性和机密性,网络安全防御与入侵检测系统应运而生。

本文将重点探讨网络安全防御与入侵检测系统的基本原理、常见技术和应用案例。

一、网络安全防御系统网络安全防御系统是指采用软硬件设备、网络策略和防御机制,以保护计算机网络免受恶意攻击和未经授权的访问。

它是构建网络安全体系的基础,包括防火墙、入侵检测与预防系统(IDS/IPS)、反病毒软件、漏洞管理系统等。

1. 防火墙防火墙是最常见且基本的网络安全防御设备。

它通过检查网络数据包的来源、目的地址、端口号等信息,对数据包进行过滤和管理,实现对网络流量的控制和保护。

防火墙可以分为软件和硬件两种形式,常用的防火墙技术包括包过滤、状态检测和应用代理等。

2. 入侵检测与预防系统入侵检测与预防系统(IDS/IPS)是通过监视网络流量和系统活动,检测网络攻击和异常行为,并采取相应的措施来保护系统免受攻击。

IDS/IPS可以分为基于规则和基于行为的两种类型。

基于规则的IDS/IPS通过事先定义的规则和特征库来检测已知的攻击。

而基于行为的IDS/IPS能够学习正常系统行为,在检测到异常行为时发出警报。

3. 反病毒软件反病毒软件是用于检测、阻止和删除计算机病毒的程序。

它通过病毒数据库和行为分析等技术,对计算机系统进行实时保护。

反病毒软件能够扫描存储设备、电子邮件、文件传输等渠道,及时发现并清除病毒、蠕虫、木马等恶意代码。

4. 漏洞管理系统漏洞管理系统用于及时发现和修补系统中的安全漏洞,以减少黑客利用系统漏洞进行攻击的风险。

漏洞管理系统可以自动扫描网络设备和应用程序,识别和评估已知漏洞,并为管理员提供修补建议和补丁更新。

二、入侵检测系统入侵检测系统是网络安全防御的重要组成部分,主要针对恶意攻击和未经授权的访问进行监测和识别。

网络安全与网络入侵检测系统(NIDS)如何检测和阻止入侵

网络安全与网络入侵检测系统(NIDS)如何检测和阻止入侵

网络安全与网络入侵检测系统(NIDS)如何检测和阻止入侵网络安全与网络入侵检测系统(NIDS)的检测和阻止入侵在如今高度网络化的社会中,网络安全问题逐渐凸显。

网络入侵是一种常见的威胁,不仅导致数据泄露和财产损失,还对个人隐私和国家安全构成潜在威胁。

为了保障网络的安全,网络入侵检测系统(NIDS)应运而生。

本文将探讨NIDS的工作原理以及其如何检测和阻止入侵。

一、网络入侵检测系统(NIDS)的工作原理网络入侵检测系统是一种监控网络流量、识别和阻止恶意活动的安全工具。

其工作原理主要分为两个阶段:数据采集和入侵检测。

1. 数据采集NIDS通过监听网络上的数据流量来获取必要的信息。

它可以部署在网络流量的关键节点上,如路由器、交换机或防火墙。

NIDS会监控传入和传出的数据包,并将相关的信息提取出来进行分析。

2. 入侵检测NIDS通过使用预定义的规则和算法,对采集到的网络数据进行分析和比对,以识别潜在的入侵行为。

它会检测网络中的异常活动和不寻常的流量模式,并生成相应的警报。

NIDS不仅可以检测已知的攻击模式,还可以通过学习网络行为模式来识别新的入侵行为。

二、NIDS如何检测入侵NIDS采用多种方式来检测网络入侵,主要包括以下几种:1. 签名检测签名检测是一种传统的方法,它通过与已知攻击模式的数据库进行对比,来检测入侵行为。

NIDS将已知的攻击特征编码成规则或模式,并用于与网络流量进行匹配。

一旦匹配成功,则触发警报。

然而,签名检测依赖于对已知攻击进行不断更新和维护,对未知攻击的检测能力有限。

2. 异常检测异常检测是一种基于统计和机器学习的方法,它通过学习正常网络行为的模式,来检测异常的网络活动。

NIDS会收集和分析大量的历史数据,建立起对正常行为的模型,一旦有与之不符的行为出现,则被判定为异常并触发警报。

这种方法对于未知攻击有较好的适应性,但同时也容易受到误报和误判的影响。

3. 流量分析流量分析是一种通过监控和分析网络流量特征来检测入侵的方法。

《入侵检测系统》课件

《入侵检测系统》课件

如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠

降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性

网络安全与网络入侵检测系统(IDS)

网络安全与网络入侵检测系统(IDS)

网络安全与网络入侵检测系统(IDS)在当今信息化时代,网络已经深入到我们生活的方方面面,极大地方便了我们的日常工作和生活。

然而,网络的普及也带来了一系列的问题,其中网络安全问题备受关注。

为了保障网络的安全性,网络入侵检测系统(IDS)应运而生。

本文将为大家介绍网络安全以及网络入侵检测系统的原理与应用。

一、网络安全概述网络安全是指在网络环境下,对网络和系统进行保护,以防止未经授权的访问、使用、披露、破坏、更改、中断或拒绝授权使用网络、系统及其存储、传输和处理的信息。

简言之,网络安全是保护计算机网络免受黑客、病毒、间谍软件等各种威胁的一系列措施。

随着互联网规模的扩大和技术的飞速发展,网络安全形势愈发严峻。

黑客攻击、数据泄露、网络诈骗等事件频频发生,给个人和企业的信息资产造成了严重的损失。

因此,网络安全问题亟待解决。

二、网络入侵检测系统原理网络入侵检测系统(IDS)是通过监控和记录网络流量,检测疑似入侵行为,并及时报警或采取防御措施的系统。

其主要原理分为主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)两种。

1.主机入侵检测系统(HIDS)主机入侵检测系统主要通过监控和分析主机上的日志、文件以及系统调用等信息,检测是否存在异常行为。

一旦检测到入侵行为,系统会立即通过警报或者采取防御措施进行反应。

HIDS可以对主机上的恶意软件、木马、异常访问等进行实时监控,是网络安全的重要组成部分。

2.网络入侵检测系统(NIDS)网络入侵检测系统是在网络环境下对网络流量进行监控和分析,以检测恶意行为。

NIDS依靠网络流量捕获和分析技术,对网络中传输的数据进行深度包检测,判断是否存在入侵行为。

当检测到异常时,NIDS会及时发送警报并进行记录,以便分析和处理。

三、网络入侵检测系统的应用网络入侵检测系统在当今网络安全领域发挥着重要的作用。

其应用范围包括以下几个方面:1.实时监控和检测网络入侵IDS能够对网络流量进行实时监控和检测,及时发现和阻止黑客入侵、病毒攻击等恶意行为,保障网络的安全性。

网络信息安全课件—入侵检测系统

网络信息安全课件—入侵检测系统

防火墙为网络提供了第一道防线,入侵检测被认为 是防火墙之后的第二道闸门,在不影响网络性能的 情况下对网络进行检测,从而提供对内部攻击、外 部攻击和误操作的实时保护。由于入侵检测系统是 防火墙后的又一道防线,从而可以极大地减少网络 免受各种攻击的伤害。
入侵检测系统的作用
使系统管理员时
刻了解网络系统
的任何变更
1
3
具有管理方便、配置
简单的特性,从而使
非专业人员非常容易
的管理网络安全
给网络安全策略的 定制提供指南
2
4
规模根据网络威胁、 系统构造 和安全 需求的改变而改变。
入侵检测系统的特点
• 不需要人工干预即可不间断地运行。 • 有容错功能。即使系统发生了崩溃,也不会丢失数据。 • 不需要占用大量的系统资源。 • 能够发现异于正常行为的操作。 • 能够适应系统行为的长期变化。 • 保持领先,能及时升级。
三.数据完整性分析法
• 数据完整性分析法主要用来查证文件或对象是否被修改过。 • 理论基础是密码学。
入侵检测系统的主要类型
一.应用软件入侵检测
在应用软件收集信息。 控制性好,具有很高的可靠性。 需要支持的应用软件数量多。
二.基于主机的入侵检测
通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统 是否被侵入或者被攻击。如果发现与攻击模式匹配,IDS系统通过向管理 员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步 的攻击。反应的时间为与定期检测的时间间隔。
2、Network Associates公司的CyberCo
• 局域网管理员正是NetWork Associates的主要客户群。 • CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相

网络安全与网络入侵检测系统

网络安全与网络入侵检测系统随着互联网的迅猛发展,网络安全问题日益凸显。

网络安全是指保护计算机网络系统的硬件、软件和数据免受未经授权访问、使用、泄露、破坏或干扰的威胁。

网络入侵检测系统(Intrusion Detection System,简称IDS)是一种用于监控和检测网络中潜在入侵行为的技术手段。

本文将探讨网络安全与网络入侵检测系统的关系以及IDS的工作原理和分类。

一、网络安全与网络入侵检测系统的关系网络安全是保护计算机网络系统的综合概念,它包括了网络设备的安全、网络通信的安全以及网络数据的安全。

网络入侵检测系统是网络安全的一部分,它专注于检测和响应网络中的入侵行为。

网络入侵检测系统通过监控网络流量和系统日志,识别出潜在的入侵行为,并及时发出警报,以便网络管理员采取相应的措施进行应对和阻止。

网络入侵检测系统与其他网络安全技术相辅相成。

例如,防火墙可以阻止未经授权的访问和攻击,但它无法检测已经通过防火墙的攻击。

而网络入侵检测系统可以通过分析网络流量和系统日志,及时发现和响应这些已经绕过防火墙的攻击行为。

因此,网络入侵检测系统是网络安全的重要组成部分,能够提高网络的安全性和防护能力。

二、网络入侵检测系统的工作原理网络入侵检测系统基于特定的规则和算法,通过监控网络流量和系统日志,识别出潜在的入侵行为。

其工作原理主要包括以下几个步骤:1. 数据采集:网络入侵检测系统通过网络流量监控和系统日志记录等方式,收集网络中的数据。

这些数据包括网络流量、网络协议、源IP地址、目标IP地址、端口号等信息。

2. 数据分析:网络入侵检测系统对采集到的数据进行分析和处理。

它使用预定义的规则和算法,对数据进行筛选、分类和聚合,以便发现异常和潜在的入侵行为。

3. 入侵检测:基于数据分析的结果,网络入侵检测系统进行入侵检测。

它比对已知的入侵行为模式和攻击特征,以识别出潜在的入侵行为。

同时,它还可以通过机器学习和行为分析等技术,检测未知的入侵行为。

网络入侵与入侵检测.


2018/9/27
11
9.3
常用入侵检测系统
9.3.1 IDS的硬件主要产品
1.绿盟科技“冰之眼”IDS
2018/9/27
12
2.联想网御IDS
2018/9/27
13
3.瑞星入侵检测系统RIDS-100
2018/9/27
14
4.McAfee IntruShield IDS
2018/9/27
15
2018/9/27
40
2018/9/27
41
测试结合是否成功。在 C:\ids\Apache\Apache2\htdocs 文件夹下编写 test.php 文件,内容为 <?php phpinfo(); ?> 。 打开浏览器输入 http://lcoalhsot/test.php,如果 浏览到了 php 的信息则说明一切正常
2018/9/27 9
9.2 入侵检测
9.2.3 入侵检测系统分类
基于网络的入侵检测系统(NIDS) 基于主机的入侵检测系统(HIDS) 基于异常的入侵检测系统 基于应用的入侵检测系统 混和型入侵检测系统
2018/9/27
10
9.2 入侵检测
9.2.4 入侵检测系统的发展的一些方向
宽带高速网络的实时入侵检测技术 大规模分布式的检测技术 更先进的检测算法 标准化规范

一种方法。其应用前提是入侵行为和合法行为是可区分的,
也即可以通过提取行为的模式特征来判断该行为的性质。 一般地,入侵检测系统需要解决两个问题:
如何充分并可靠地提取描述行为特征的数据;
如何根据特征数据,高效并准确地判定行为的性质。
2018/9/27
7
9.2 入侵检测

入侵检测系统ppt课件

网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为

入侵检测系统基本知识ppt课件


三、入侵检测系统构件
1、IDS框架介绍 2、入侵检测系统构件 3、事件产生器 4、事件分析器 5、响应单元 6、事件数据库 7、管理器
1、IDS框架介绍(1)
理论界:CIDF
Common Intrusion Detection Framework
由DARPA于1997年3月开始着手制定
为了解决不同入侵检测系统
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
2、异常检测技术的优势
硬件平台 操作系统 系统中运行的应用程序
4、完整性分析
通过检查系统的当前系统配置,诸如系统文件 的内容或者系统表,来检查系统是否已经或者 可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能 否发现入侵,只要是成功的攻击导致了文件或 其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响 应。
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
5、IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
基于网络的入侵检测系统
视野更宽 、隐蔽性好 、攻击者不易转移证据
3、根据检测技术进行分类
异常入侵检测
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

金陵科技学院教案【教学单元首页】第 1 次课授课学时 4 教案完成时间: 2018.2授课内容内容备注1入侵检测概述1.1入侵检测的主要作用:(1)检测和记录网络中的攻击事件,阻断攻击行为,防止入侵事件的发生。

(2)检测其他未授权操作或安全违规行为。

(3)统计分析黑客在攻击前的探测行为,管理员发出警报。

(4)报告计算机系统或网络中存在的安全威胁。

(5)提供有关攻击的详细信息,帮助管理员诊断和修补网络中存在的安全弱点。

(6)在大型复杂的计算机网络中部署入侵检测系统,提高网络安全管理的质量。

1.2入侵检测的定义:(1)入侵检测:不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统漏洞信息的收集,并由此对信息系统造成危害的行为。

(2)入侵检测系统:所有能够执行入侵检测任务和实现入侵检测功能的系统都称为入侵检测系统(Intrusion Detection System, IDS)。

包括软件系统或软、硬件结合的系统。

1.3入侵检测系统模型(1)数据收集器:探测器,主要负责收集数据,包括网络协议数据包、系统日志文件、系统调用记录等。

(2)检测器:分析和检测入侵的任务并向控制器发出警报信号。

(3)知识库:为检测器和控制器提供必需的数据信息支持。

(4)控制器:根据警报信号人工或自动地对入侵行为做出响应。

1.4 IDS的主要功能:(1)防火墙之后的第二道安全闸门。

(2)提高信息安全基础结构的完整性。

2.2基于异常检测原理的入侵检测方法:(1)统计异常检测方法(较成熟)(2)特征选择异常检测方法(较成熟)(3)基于贝叶斯网络异常检测方法(理论研究阶段)(4)基于贝叶斯推理异常检测方法(理论研究阶段)(5)基于模式预测异常检测方法(理论研究阶段)2.3基于误用检测原理的入侵检测方法:(1)基于条件的概率误用检测方法(2)基于专家系统误用检测方法(3)基于状态迁移分析误用检测方法(4)基于键盘监控误用检测方法(5)基于模型误用检测方法优点:准确地检测已知的入侵行为。

缺点:不能检测出未知的入侵行为。

2.4各种入侵检测技术基于概率统计的检测:异常检测中最常用的技术,对用户历史行为建立模型。

基于神经网络的检测基:于专家系统的检测:根据安全专家对可疑行为的分析经验来形成一套推理规则,再在此基础上建立专家系统。

基于专家系统的检测:用一系列信息单元训练神经单元,在给定一个输入后,就可能预测出输出。

基于模型推理的检测:攻击者采用一定的行为程序构成的模型,根据其代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。

3IDS的结构与分类3.1 IDS入侵检测步骤:信息收集:内容包括系统、网络、数据用户活动的状态和行为。

来自系统日志、目录及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息数据分析:入侵检测的核心。

首先构建分析器,把收集到的信息经过预处理建立模型,然后向模型中植入时间数据,在知识库中保存。

响应:主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动、修正系统环境或收集有用信息。

被动响应包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。

3.2 IDS的架构:通用入侵检测架构(Common Intrusion Detection Framework, CIDF)阐述了入侵检测系统的通用模型。

以下组件:事件产生器(Event Generation)事件分析器(Event Analyzers)响应单元 (Response Unites)事件数据库(Event Databases)事件:将入侵检测系统需要分析的数据统称为事件(Event)。

可以是基于网络得到的数据,也可是基于主机得到的数据。

3.3. IDS的功能构成:事件提取:负责提取相关运行数据或记录,并对数据进行简单过滤。

入侵分析:找出入侵痕迹,区分正常和不正常的访问,分析入侵行为并定位入侵者。

入侵响应:分析出入侵行为后被触发,根据入侵行为产生响应。

远程管理:在一台管理站上实现统一的管理监控。

3.4 IDS的分类:按照数据来源分类NIDS:截获数据包,提取特征并与知识库中已知的攻击签名相比较。

HIDS:通过对日志和审计记录的监控和分析来发现攻击后的误操作。

DIDS:同时分析来自主机系统审计日志和网络数据流。

按照入侵检测策略分类滥用检测:将收集到的信息与数据库进行比较。

异常检测:测量属性的平均值将被用来与系统行为比较。

完整性分析:hash,关注是否被更改。

NIDS 和 HIDS4 NIDS4.1 NIDS概述:NIDS:根据网络流量、网络数据包和协议来分析入侵检测。

使用原始网络包作为数据包。

通常利用一个运行在混杂模式下的网络适配器来实现监视并分析通过网络的所有通信业务。

4种常用技术:(1)模式、表达式或字节匹配。

(2)频率或穿越阈值。

(3)低级事件的相关性。

(4)统计学意义上的非常规现象检测。

主要优点:(1)拥有成本低。

(2)攻击者转移证据困难。

(3)实时检测和响应。

(4)防火墙外部IDS能够检测未成功的攻击企图。

(5)操作系统独立。

4.2基于网络入侵检测系统工作原理4.3 NIDS关键技术:(1)IP碎片重组技术(2)TCP流重组技术(3)TCP状态检测技术(4)协议分析技术(5)零复制技术(6)蜜罐技术IP碎片重组技术、TCP流重组技术:攻击者将攻击请求分成若干个IP碎片包。

IP碎片包被发给目标主机。

碎片攻击包括:碎片覆盖、碎片重写、碎片超时和针对网络拓扑的碎片技术等。

IDS需要在内存中缓存所有的碎片。

模拟目标主机对碎片包进行重组还原出真正的请求内容。

进行入侵检测分析。

IP分片:链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度。

不同的网络类型都有一个上限值。

以太网的MTU是1500。

如果IP层有数据包要传,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU。

关键域:ID\MF\DF\OFFSETIP碎片攻击指的是一种计算机程序重组的漏洞:IP首部有两个字节表示整个IP数据包的长度,所以IP数据包最长只能为0xFFFF,就是65535字节。

如果有意发送总长度超过65535的IP碎片,一些老的系统内核在处理的时候就会出现问题,导致崩溃或者拒绝服务。

另外,如果分片之间偏移量经过精心构造,一些系统就无法处理,导致死机。

所以说,漏洞的起因是出在重组算法上。

(1)ping o‘ deathping o‘ death是利用ICMP协议的一种碎片攻击。

攻击者发送一个长度超过65535的Echo Request数据包,目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出,系统通常会崩溃或挂起。

ping不就是发送ICMP Echo Request数据包的吗?jolt2jolt2.c是在一个死循环中不停的发送一个ICMP/UDP的IP碎片,可以使Windows系统的机器死锁。

我测试了没打SP的Windows 2000,CPU利用率会立即上升到100%,鼠标无法移动。

(2)Teardrop利用重叠分片由于目标系统能够重组IP分片,因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力,将无法检测通过IP碎片进入的攻击数据。

由于目标系统能够重组IP分片,因此需要网络入侵检测系统具有重组IP碎片的能力。

如果网络入侵检测系统没有重组IP碎片的能力,将无法检测通过IP碎片进入的攻击数据。

基本的IP碎片重组问题:IP碎片通常会按照顺序到达目的地,最后的碎片的MF位为0(表示这是最后一个碎片)。

不过,IP片有可能不按照顺序到达,目标系统必须能够重组碎片。

但是,如果网络入侵检测系统总是假设IP碎片是按照顺序到达就会出现漏报的情况。

攻TCP 数据传输:当双方建立 TCP 连接以后,就可以传输数据了,传输过程中发送方每发送一个数据包,接收方都要给予一个应答。

数据包的先后关系可以由 TCP 首部的序号和确认序号确定。

双方序号的及确认序号之间的关系为:SYN 的计算:在 TCP 建立连接的以后,会为后续 TCP 数据的传输设定一个初始的序列号。

以后每传送一个包含有效数据的 TCP 包,后续紧接着传送的一个 TCP 数据包的序列号都要做出相应的修改。

序列号是为了保证 TCP 数据包的按顺序传输来设计的,可以有效的实现 TCP 数据的完整传输,特别是在数据传送过程中出现错误的时候可以有效的进行错误修正。

在 TCP会话的重新组合过程中我们需要按照数据包的序列号对接收到的数据包进行排序。

一台主机即将发出的报文中的 SEQ 值应等于它所刚收到的报文中的 ACK 值,而它所要发送报文中的 ACK 值应为它所收到报文中的 SEQ 值加上该报文中所发送的 TCP 数据的长度,即两者存在:( 1 )本次发送的 SEQ= 上次收到的 ACK ;( 2 )本次发送的 ACK= 上次收到的 SEQ+ 本次收到的 TCP 数据长度;表中初始的序列号 Init_seq 可以从携带 SYN 标记的 TCP 包中获得。

TCP状态检测技术:攻击NIDS最有效的办法是利用Coretez Giovanni写的Stick程序,Stick使用了很巧妙的办法,它可以在2秒内模拟450次没有经过3步握手的攻击,快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机现象。

由于Stick发出多个有攻击特征(按照snort的规则组包)的数据包,所以IDS传统的方法:需通过系统调用将网卡中的数据包复制到上层应用系统中,会占用系统资源,造成IDS性能下降。

改进后的方法:通过重写网卡驱动,使网卡驱动与上层系统共享一块内存区域,网卡从网络上捕获到的数据包直接传递给入侵检测系统。

蜜罐技术:蜜罐(honeypot)的作用:把潜在入侵者的注意力从关键系统移开。

收集入侵者的动作信息。

设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。

蜜罐的实现:在外部Internet上的一台计算机上运行没有打上补丁的微软Windows或Red Hat Linux引诱黑客来攻击设置网络监控系统,记录进出计算机的所有流量下游责任:蜜罐会被黑客用来攻击其他系统。

蜜网(honeynet):另外采用了各种入侵检测和安全审计技术的蜜罐。

减小或排除对其它系统造成的风险。

蜜罐技术优势:大大减少了所要分析的数据。

蜜网计划已经收集了大量信息,很少有黑客采用新的攻击手法。

蜜罐不仅是一种研究工具,同样有着真正的商业应用价值。

虚拟蜜网的出现大大降低了蜜罐的成本及管理难度,节省了机器占用的空间。

5 HIDS5.1 HIDS概述:检测目标:主机系统和本地用户。

检测原理:根据主机的审计数据和系统日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。