- 1、本文档共47页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息收集 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 * 信息分析 分析得到的数据,并产生分析结果 模式匹配 将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 统计分析 首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生 完整性分析 事后分析 主要关注某个文件或对象是否被更改 在发现被更改的、被安装木马的应用程序方面特别有效 * 结果处理 结果处理,即对分析结果作出反应。 切断连接 改变文件属性 发动对攻击者的反击 报警 …… * IDS的组成 检测引擎 控制中心 HUB 检测引擎 Monitored Servers 控制中心 * 检测引擎的部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网 * 检测引擎的部署位置示意图 Internet 部署二 部署一 部署三 部署四 * 网络入侵技术 * 入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、篡改信息,使系统不可靠或不能使用的行为 破坏计算机或网络资源的完整性、机密性、可用性、可控性 入侵者 可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机 入侵者可以被分为两类: 外部的: 网络外面的侵入者 内部的: 合法使用网络的侵入者,包括滥用权力的人和模仿更改权力的人(比如使用别人的终端) 。80%的安全问题同内部人有关 * 侵入系统的主要途径 物理侵入 侵入者对主机有物理进入权限 方法如移走磁盘并在另外的机器读/写 系统侵入 侵入者已经拥有在系统的较低权限 侵入者可能利用一个知名漏洞获得系统管理员权限的机会 远程侵入 入侵者通过网络远程进入系统,侵入者从无特权开始 入检测系统主要关心远程侵入 * 网络入侵的一般步骤 目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志 * 目标探测和信息收集 利用扫描器软件扫描 端口扫描 漏洞扫描 常用扫描器软件:SATAN,流光,Mscan 利用snmp了解网络结构 搜集网络管理信息 网络管理软件也成为黑客入侵的一直辅助手段 * 自身隐藏 典型的黑客使用如下技术来隐藏IP地址 通过telnet在以前攻克的Unix主机上跳转 通过终端管理器在windows主机上跳转 配置代理服务器 更高级的黑客,精通利用电话交换侵入主机 * 利用漏洞侵入主机 已经利用扫描器发现漏洞 例如CGI/IIS漏洞 充分掌握系统信息 进一步入侵 * 稳固和扩大战果 安装后门 BO,冰河 添加系统账号 添加管理员账号 利用LKM Loadable Kernel Modules 动态加载 无需重新编译内核 利用信任主机 控制了主机以后,可以利用该主机对其它邻近和信任主机进行入侵 控制了代理服务器,可以利用该服务器对内部网络进一步入侵 * 清除日志 清除入侵日志 Windows 清除系统日志 清除IIS日志 清除FTP日志 清除数据库连接日志 Unix 登陆信息 /var/log /home/user/.bash_history lastlog 使管理员无法发现系统已被入侵 * 网络入侵步骤总览 选中攻 击目标 获取普通 用户权限 擦除入 侵痕迹 安装后门 新建帐号 获取超级 用户权限 攻击其它 主机 获取或 修改信息 从事其它 非法活动 扫描 网络 利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令,从而发现突破口。 * IDS工作原理 * 入侵检测引擎工作流程 - 1 *
入侵检测
网络安全的构成 物理安全性 设备的物理安全:防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制,阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输 * 安全的分层结构和主要技术 物理安全层 网络安全层 系统安全层 用户安全层 应用安全层 数据安全层 加密 访问控制
您可能关注的文档
- 试论供应链管理环境下的库存控制(ppt 61页).ppt
- 试论尖山铁矿安全标准化建设(ppt 24页).ppt
- 试论建立安全生产风险管理体系的目的与意义(ppt 101页).ppt
- 试论劳动卫生与安全生产政策(ppt 33页).ppt
- 试论危险化学品管理(ppt 48页).ppt
- 试谈公共安全体系的基本构成(ppt 64页).ppt
- 试谈造纸业的清洁生产(ppt 22页).ppt
- 试议无铅工艺实践(ppt 34页).ppt
- 视频监控系统基本知识课件(PPT 28页).ppt
- 输气管道站场自动控制技术要求(PPT 57页).ppt
- 期末复习课件++专题7+阿基米德原理++2023-2024学年人教版八年级物理下册.pptx
- 4-1电磁振荡(教学课件)高中物理人教版选择性必修第二册.pptx
- 本包含页空白页.pdf
- 【会计实操经验】财务操纵的知识框架.pdf
- 英国b2c电商网站ocado市场前景及投资研究报告-培训课件外文版2024.6,拼多多,阿里巴巴,1688,temu,tiktok.pdf
- 印尼在线约会行业市场前景及投资研究报告-培训课件外文版2024.6,微信,tiktok.pdf
- 印尼物联网IOT行业市场前景及投资研究报告-培训课件外文版2024.5.pdf
- 印尼斋月消费情况分析报告-培训课件外文版2024.6.pdf
- 英国GDP分析报告-培训课件外文版2024.6.pdf
- 印尼铁路行业市场前景及投资研究报告-培训课件外文版2024.6,援建高铁.pdf
最近下载
- 金氏五行升降中医方集.docx
- The Economics of Money- Banking- and Financial Markets- 9e货币银行和金融市场的经济学.doc
- DBJ50T 086-2016 重庆市城市桥梁工程施工质量验收规范.docx
- 通信行业“泽字节”时代投资报告系列一:硅光,“超越摩尔”新路径,厚积薄发大未来.pdf
- T_CNAS11─2020PICC尖端心腔内电图定位技术.pdf VIP
- 如何提高小学语文识字写字教学有效性的实施策略研究.docx VIP
- 隧道式PICC专家共识.pptx VIP
- 商业用中央空调溴化锂直燃机、电制冷机型能耗比较.xls VIP
- 食品工程原理教案.pdf
- 2023五四制人教版六年级全一册道德与法治练习--期末素养综合测试.docx VIP
文档评论(0)