本科新生研讨课-网络技术与网络世界LectureXX2-网络安全监控与分析技术.pptVIP

Network-based 入侵检测 Internet Desktops Web Servers Telecommuters Customers Servers Network Branch Office Partners Network-based IDS Network-based IDS Network-based IDS 1.6 Honeypot（蜜罐） 蜜罐是一个包含漏洞的系统，它模拟一个易受攻击的主机/网络，给黑客提供一个容易攻击的目标。 密罐记录黑客的攻击行为，用来研究分析黑客的战术、动机及技术行为 蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。真正有价值目标受到了保护。　 蜜罐最初的目的之一是为起诉恶意黑客搜集证据，有“诱捕”的感觉。但是在一些国家中，是不能利用蜜罐收集证据起诉黑客的。 1.7 IDS与Firewall联动 通过在防火墙中驻留的一个IDS Agent对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动 1.8 产品（1） 免费 Snort SHADOW /ISSEC/CID/ Snort－轻量级的入侵检测系统 具有实时数据流量分析和日志IP 网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配。 其基于规则的检测引擎能够检测多种变种攻击，包括CGI扫描，缓存区溢出攻击，SMB探测等。 Snort能运行在众多操作系统上。 可扩展的体系结构和开放源码的发布模式。 Snort成为入侵检测软件中非常流行的选择，很多IDS产品基于Snort内核。 网络报文捕获工具 EtherPeek，Sniffer， NetXRay 产品（2） 商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I * NetProwler, a dynamic network based intrusion detection solution, complements existing security countermeasures and fortifies any companys e-business initiatives by offering dynamic network intrusion detection that transparently examines network traffic to instantly identify, log and terminate unauthorized use, misuse and abuse of computer systems by internal saboteurs and external hackers. Common attacks or even the most sophisticated assaults cant escape NetProwlers exclusive, patent-pending SDSI virtual processor. Addressing the needs of time-pressed network administrators or those with little security expertise, NetProwler streamlines installation and configuration by automatically discovering network host and applications, and then applying appropriate attack signatures. 入侵检测?网络安全监控与分析技术 国防科技大学计算机学院 朱培栋 动态防御技术 传统的安全技术都是集中在系统自身的加固和防护上： 防火墙、访问控制、身份认证—— 静态的、被动的防御 入侵检测、漏洞扫描——积极主动的去发现遭受的攻击、自身存在的漏洞，是动态安全的核心技术，对于静态防御的合理补充。 1. 入侵检测技术 1.1 入侵检测概述[9.2] 入侵检测（Intrusion Detection） 通过从网络和系统的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为或遭到入侵的迹象，并依赖既定的策略采取一定的响应措施的技术。 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS（Intrusio