安全防护与入侵检测系统模式分析报告.pptVIP

5.1 Sniffer Pro网络管理与监视5.1.1 Sniffer Pro的功能 Sniffer Pro支持各种平台（Windows XP/ 2000/NT/ME/9X/2003），性能优越，是可视化的网络分析软件，主要功能有以下几点。 ? 实时监测网络活动。 ? 数据包捕捉与发送。 ? 网络测试与性能分析。 ? 利用专家分析系统进行故障诊断。 ? 网络硬件设备测试与管理。 5.1.2 Sniffer Pro的登录与界面 1．Sniffer Pro的登录（单块网卡时） 5.1.2 Sniffer Pro的登录与界面 1．Sniffer Pro的登录（多块网卡时） 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.2 Sniffer Pro的登录与界面 2．Sniffer Pro的界面 5.1.3 Sniffer Pro报文的捕获与解析 Sniffer Pro是一款比较完备的网络管理工具，可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击，识别它们最好的方法是，分析问题并将之分类，这样就可以全面了解网络的现状，并针对不同的问题采取不同的解决方法。首先了解一下捕获栏的使用，如表5.1所示。捕获栏 表5.1 捕获栏功能介绍 定义过滤器 捕获ARP帧的结果 5.1.4 Sniffer Pro的高级应用 5.2 入侵检测系统 5.2.1 入侵检测的概念与原理 5.2 入侵检测系统 5.2.1 入侵检测的概念与原理 5.2.2 入侵检测系统的构成与功能 入侵检测系统一般由4个部分的组成：事件发生器、事件分析器、响应单元、事件数据库。 5.2.2 入侵检测系统的构成与功能 入侵检测系统的功能： （1）检测和分析用户与系统的活动 （2）审计系统配置和漏洞 （3）评估系统关键资源和数据文件的完整性 （4）识别已知攻击 （5）统计分析异常行为 （6）操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动 5.2.3 入侵检测系统的分类 1．按照检测类型划分 2．按照检测对象划分 （1）基于主机的入侵检测产品（HIDS） 安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。 （2）基于网络的入侵检测产品（NIDS） 放置在比较重要的网段内，不停地监视网段中的各种数据包。 5.2.4 入侵检测系统的部署 一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确，入侵检测系统也无法工作在最佳状态，一般可以采取以下4个选择： ? 放在边界防火墙之内，传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。 ? 放在边界防火墙之外，可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。 5.2.4 入侵检测系统的部署 ? 放在主要的网络中枢中，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为。 ? 放在一些安全级别需求高的子网中，对非常重要的系统和资源的入侵检测，比如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。 5.2.5 入侵检测系统的选型 5.2.5 入侵检测系统的选型 　　Axent Technologies公司网址