06 入侵检测技术-4th-shortPPT课件.ppt

1* 64* 例：IDS与FireWall联动 通过在防火墙中驻留的一个 IDS Agent 对象，以接收来自IDS的控制消息，然后再增加防火墙的过滤规则，最终实现联动 6.1.9 IDS的发展趋势及主要研究方向 6.1 入侵检测技术 65* 免费 Snort SHADOW /ISSEC/CID/ 6.1.10 IDS产品 6.1 入侵检测技术 66* 商业 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I 6.1.10 IDS产品 6.1 入侵检测技术 67* 商业 6.1.10 IDS产品 6.1 入侵检测技术 68* IDS FAQ /pubs/ Focus-IDS Mailinglist /archive/96 Yawl OldHand Sinbad /doc.html?board=IDS 6.1.11 IDS 资源 6.1 入侵检测技术 69* 系统漏洞检测又称为漏洞扫描，就是对重要网络信息系统进行检查，发现其中可被攻击者利用的漏洞。 漏洞扫描技术可以说是网络安全技术中除了防火墙技术、入侵检测技术、加密和鉴别之外的另一项重要的安全技术。 产品：较早出现并产生影响的扫描工具SATAN 主要的扫描器有：NAT的CyberCop Scanner，ISS的Internet Security Scanner，SSS（System Security Scanner），Database Scanner 以及Cisco的 NetSonar 等。 6.2 漏洞检测技术 6.2.1 入侵攻击可利用的系统漏洞的类型 70* 入侵者常常是从收集、发现和利用信息系统的漏洞来发起对系统的攻击，不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同。这些大致上可以分为以下几类。 1.网络传输和协议的漏洞 2.系统的漏洞 3.管理的漏洞 6.2 漏洞检测技术 6.2.1 入侵攻击可利用的系统漏洞的类型 71* 1. 网络传输和协议的漏洞 IP欺骗 ?网络传输时对IP和DNS的信任； 网络嗅探 ?网络信息明文传送 TCP序列号攻击 ?TCP三次握手协议 UDP假冒 ?UDP协议无握手机制、无序列号 6.2 漏洞检测技术 6.2.1 入侵攻击可利用的系统漏洞的类型 72* 2. 系统的漏洞 利用服务进程的BUG、配置错误信息、软件后门等。如：窃取系统口令 窃取口令文件 字典攻击 信道截获 特洛伊木马窃取 其他方式窃取 6.2 漏洞检测技术 6.2.1 入侵攻击可利用的系统漏洞的类型 73* 3. 管理的漏洞 攻击者利用各种方式从系统管理员或用户那里诱骗、套取信息： 通过电话假冒合法用户要求对方提供口令、建立帐号、（按要求）修改口令； 假冒系统管理员或厂家要求用户运行某个测试程序（实际上是个特洛伊木马），要求用户输入口令； 假冒合法用户向管理员发送电子邮件，要求修改口令； 翻检目标站点抛弃的垃圾等。 6.2 漏洞检测技术 6.2.1 入侵攻击可利用的系统漏洞的类型 74* 漏洞检测技术通常采用两种策略，即被动式策略和主动 式策略。 被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查； 主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。 漏洞检测的结果实际上是对系统安全性能的一个评估，指出了这些攻击是可能的，因此成为安全方案的一个重要组 成部分。 6.2.2 漏洞检测技术分类 6.2 漏洞检测技术 75* 根据所采用技术的特点，漏洞检测技术可分为5类： 基于应用的检测技术 基于主机的检测技术 基于目标的检测技术 基于网络的检测技术 综合的技术 6.2.2 漏洞检测技术分类 6.2 漏洞检测技术 76* 基于应用的检测技术 它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。 基于主机的检测技术 它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统存在的问