第三章駭客入侵流程解析-雲科大計算機網路研究室.pptVIP

3.4 入侵偵測與防護系統 由於入侵偵測系統無法有效的阻擋網路攻擊，因而發展出入侵防護系統。 入侵防護系統 所有封包都需經過入侵防護系統 採用即時分析(In-line)模式，能在第一時間阻擋攻擊封包 阻擋的是攻擊封包而不是攻擊來源 多種檢測方法，降低誤報率 特徵資料庫分析 (Signature Analysis) 異常通訊協定分析 (Protocol Anomaly Analysis) 異常行為模組分析 (Behavior Anomaly Analysis) 入侵防護系統所面臨的問題 難以使用在大型網路上 若是誤判，會影響到正常使用者 由於要檢查所有的封包，所以會影響到網路速度 隨著網路技術與產品的發展，可能會增加網路管理及建置的困難度 第三章 駭客入侵流程解析 * 3.5 網路誘捕系統 隨著網路技術的發展，現在的資安科技無法提供絕對的安全防護，所以“資訊偽裝”及“誘補與欺敵”是防衛重要資訊的重要手段。 網路誘補系統是經過精心規劃，以大量的陷阱吸引攻擊者，引誘攻擊者發動攻擊，再利用資料擷取工具，加以記錄並分析。 首先出現的商用誘捕系統是DTK Deception ToolKit，其後引發一系列的研究，其中成果最顯著的為 Honeynet Project 及 Honeypot。 Honeynet Project 是透過學習駭客群體的動機、攻擊工具及攻擊策略，分析駭客的行為