第 5 单元 安全防护与入侵检测.pptVIP

5.3 蜜罐、密网和密场 5.3.2　蜜罐的分类 根据设计目的分类 可分为产品型蜜罐和研究型蜜罐两类： 1）产品型蜜罐 2）研究型蜜罐 2.根据交互类型分类 可分为3类：低交互蜜罐，中交互蜜罐和高交互蜜罐，同时这也体现了蜜罐发展的3个过程。 （1）低交互蜜罐（2）中交互蜜罐 （3）高交互蜜罐 3. 根据实现技术分类 可分为真实蜜罐和虚拟蜜罐两类： 1）真实蜜罐 （1）能捕获较多的攻击信息。 （2）它不需要预先设想黑客将会采用什么方式入侵。 2）虚拟蜜罐 5.3.3 蜜罐的配置模式　 1.诱骗服务（deception service） 2.弱化系统（weakened system） 3.强化系统（hardened system） 4.用户模式服务器（user mode server） ? 5.3.4 传统蜜罐的局限性 （1）蜜罐技术只能对针对蜜罐的攻击行为进行监视和分析，不能像入侵检测系统一样通过旁路侦听等技术对整个网络进行监控。 （2）蜜罐技术不能直接防护有漏洞的信息系统，并有可能被攻击者利用带来一定的安全风险。 （3）攻击者的活动在加密通道上进行（如IPSec，SSH，SSL等），数据捕获后需要花费时间破译，这给分析攻击行为增加了困难。 5.3.5 密网（Honeynet） 1.蜜网中蜜罐所面临的挑战 2.解决方案 1）捕获工具隐藏 （1）隐藏模块 （2）进程隐藏 2）捕获加密会话数据 3）数据传输隐蔽通道的建立 5.3.6 密场（Honeyfarm） 1.密场的概念 2．蜜场与蜜罐、蜜网区别 3．蜜场的研究价值 小 结 本章主要介绍了网络嗅探软件Sniffer Pro原理及主要的使用方法，网络入侵和防护系统的概念，介绍了蜜罐、密网和密场的应用原理。学习完本章后应该能熟练地使用Sniffer检测出不正常的网络流量，搭建适合自己的网络防护系统 * * * * * * 3. DNS 图5-14 DNS命令的面板 4. Finger 图5-15 Finger命令的面板 5. Whois 图5-16 Whois命令的面板 6. 添加工具 图5-17 添加“工具”命令的面板 5.2.1　入侵检测的概念与原理 1.入侵检测的基本原理 2.入侵检测系统的分类 3.入侵检测系统的发展方向 5.2　入侵检测系统 1.入侵检测系统的作用 我们知道，防火墙是Internet网络上最有效的安全保护屏障，防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作用，是网络安全的第一道闸门。但防火墙的功能也有局限性，防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。 同时，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为做出相应的反应，及时切断入侵源，保护现场并通过各种途径通知网络管理员，增大保障系统安全。 2.入侵检测系统的工作流程 入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。 (1) 数据收集 入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数据。入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。 (2)数据提取 从收集到的数据中提取有用的数据，以供数据分析之用。 (3)数据分析 对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。 (4)结果处理 记录入侵事件，同时采取报警、中断连接等措施。 入侵检测系统的分类 入侵检测系统(IDS)可以分成3类：基于主机型(Host Based) 入侵检测系统、基于网络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统