Sax2网络入侵检测系统演示文稿-精品.pptVIP

SAX2网络入侵检测系统 成员：龚国锋 叶光进 Sax2是一款专业的入侵检测与防御软件，它能够实时的采集网络数据包，不间断的对网络进行监视，通过高级协议分析和专家级侦测来发现网络中的威胁，主要有以下优势： ●　　基于协议分析的检测技术 通过对协议(IP、TCP、UDP、HTTP、FTP、POP3、SMTP)的深入分析,并对其通信内容进行重组，然后才把重组后的内容提交给检测引擎，通过这种方式极大的提高了系统的性能和效率，并降低了误报率。 ●　　高性能多模式匹配算法 　 系统采用高性能多模式匹配算法，并与协议分析相结合，可以更快更有效的处理网络通信内容。 ●　　全新的组件化系统架构 　 整个系统由数据包采集、协议分析、规则匹配、综合诊断、事件响应、策略管理、日志保存和结果显示等部分组成，各个部分又由不同的组件负责，每个组件协同工作，来实现入侵检测系统数据收集、分析、事件响应和数据管理的功能。 ●　　完备的攻击识别能力 　 系统的知识库主要分为6大类1500多条检测规则，保证提取攻击特征的有效性，最大程度地降低漏报和误报。 ●　　灵活高效的攻击签名库 　 允许用户根据自己的需要定制几乎任意的新的特征签名，配置为最适合自己的入侵检测系统。 ●　　丰富的统计功能 　提供全网以及每个IP地址，MAC地址的详细流量、各种会话、事件等数据。 使用SAX2检测并还原SQL注入攻击流程 恶意攻击者通过向服务器提交一段特殊的数据库查询代码，在这种情况下，服务器会返回相应的结果，从而泄露服务器的某些敏感信息，这就是所谓的SQL Injection attack。 由于SQL注入是从正常的Web端口进行访问，表面上看起来它和正常情况下访问网页没有任何区别，隐蔽性强且不易被发现，所以目前网络中的主流防火墙都不会对SQL注入攻击进行报警。 2. SQL注入攻击的危害 目前有近70%的攻击行为是基于WEB应用，而据CVE的2006年度统计数据显示，SQL注入攻击漏洞呈逐年上升的状态，2006年便达到了惊人的1078个，而这些还仅限于目前网络上通用的应用程序漏洞。 SQL注入攻击主要危害包括： ● 未经授权修改数据库中的数据。 ● 未经授权获得网站的后台管理权限。 ● 未经授权恶意篡改网页内容。 ● 网页挂马攻击 ● XSS攻击 ● 未经授权获得整台服务器的控制权。 ● 未经授权添加、删除、修改服务器的系统账号。 3. 使用SAX2检测并还原SQL注入攻击 虽然防火墙不能对SQL注入攻击进行报警，但有些IDS软件却可以对其进行有效检测。下面我们就通过一款名为SAX2的IDS软件，对SQL注入攻击进行检测，并还原其攻击流程。 SQL注入攻击的一般步骤是：判断环境寻找注入点、判断数据库类型、猜解数据表、猜解字段、猜解内容。在这个过程中，猜解数据表、猜解字段、猜解内容三个步骤是SQL注入攻击的重点，所以我们将分析重点放在这三个步骤。 SAX2可以对网络中的攻击行为进行实时检测并报警。当网络中存在SQL注入攻击时，SAX2会在Events视图中显示其攻击行为，如图1所示。 图1 SAX2对MS_SQL injection attacks进行实时报警 图2 SAX2分析出当前正在猜解admin数据库中的字段 图1红色圈住的部分，表示攻击者正在猜解admin数据库中的是否存在paths的字段。同理，攻击得也会重复猜解字段的操作，以找到相应的字段。 找到相应字段后，攻击者要做的就是判断字段的长度，并猜解字段的内容。猜解到字段的内容后，即表示此次SQL注入攻击成功完成。 上述内容即是通过SAX2检测SQL注入攻击，并还原其攻击的过程。从上文可知，SAX2可以对SQL注入攻击进行有效检测，并对其进行实际报警。在网络中，将防火墙和SAX2进行结合，可以确保当网络受到SQL注入攻击时，可以实际检测并报警，从而保障网络的安全。 萨客嘶入侵检测系统 ---灰鸽子木马的检测与清除 木马程序不同于病毒程序，通常并不像病毒程序那样感染文件。木马一般是以寻找后门、窃取密码 和重要文件为主，还可以对电脑进行跟踪监视、控制、查看、修改资料等操作，具有很强的隐蔽性、突发性和攻击性。 1. 木马检测 木马通常是基于TCP、UDP、ICMP协议进行Client端与Server端之间的通讯的。萨客嘶入侵检测系统是基于协议分析，能准确跟踪网络连接的会话,并对其通信中的TCP/IP数据报进行重组，当它发现网络中存在木马病毒后会立即中断或干扰木马通信，保护网络免受攻击，是用于检测木马的好工具。 首先启动