信息安全技术基础第9章.pptVIP

  1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
9.4.1 入侵检测系统概述 入侵检测系统应包括以下主要功能: 监测、记录并分析用户和系统的活动; 核查系统配置和漏洞; 评估系统关键资源和数据文件的完整性; 识别已知的攻击行为; 统计分析异常行为; 管理操作系统日志,识别违反安全策略的用户活动。 * 9.4.1 入侵检测系统概述 入侵检测系统一般包括以下组件: 事件产生器(Event generators) 事件分析器(Event analyzers) 响应单元(Response units) 事件数据库(Event databases) * 为事件(event),它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。 9.4.2 IDS类型与部署 * 1.网络IDS 9.4.2 IDS类型与部署 * 基于数据模式判断IDS 9.4.2 IDS类型与部署 网络IDS分类: 基于知识的数据模式判断方法:分析建立网络中非法使用者(入侵者)的工作方法——数据模型,在实时检测网络流量时,将网络中读取的数据与数据模型比对,匹配成功则报告事件。 基于行为的行为判断方法: 统计行为判断:根据上面模式匹配的事件,在进行事后统计分析时,根据已知非法行为的规则,判断出非法行为。 异常行为判断:根据平时统计的各种信息,得出正常网络行为准则,当遇到违背这种准则的事件发生时,报告非法行为事件。 * 9.4.2 IDS类型与部署 以主机系统日志、应用程序日志等作为数据源,也可以包括其他资源(如网络、文件、进程),从所在当然也的主机上收集信息并进行分析,通过查询、监听当前系统的各种资源的使用、运行状态,发现系统资源被非法使用或修改的事件,并进行上报和处理。 截获本地主机系统的网络数据 扫描、监听本地磁盘文件操作,检查文件的操作状态和内容 轮询等方式监听系统的进程及其参数 查询系统各种日志文件 * 2.主机IDS 第9章 网络安全技术 学习目标 网络安全包括哪些常用技术和手段 网络扫描技术作用和实施 网络防火墙的作用和工作机理 入侵检测系统的作用和工作机理 使用蜜罐技术有效发现网络入侵行为 本章主要讲解网络环境下安全防范技术: * 如何保护网络免遭入侵? * 目 录 9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术 * 9.1 网络安全技术概述 由于网络的存在,攻击者更容易通过网络非法入侵他人网络系统、计算机系统,非法访问网络上的资源,非法窃取终端系统中的数据。 网络通常分为内部网络和外部网络(也称公共网络,如Internet),对安全边界的监控是网络安全的重要内容。 构建网络安全防御体系,除了必要的人、制度、机制、管理等方面保障,还要依赖于各种网络安全技术。 * 9.1 网络安全技术概述 扫描技术:发现内部网络安全薄弱环节,进行完善保护。 防火墙技术:在内部与外部网络衔接处,阻止外部对内部网络的访问,限制内部对外部网络的访问等。 入侵检测系统:发现非正常的外部对内部网络的入侵行为,报警并阻止入侵行为和影响的进一步扩大。 隔离网闸技术:在物理隔离的两个网络之间进行安全数据交换。 * 如何探测网络拓扑结构及网络中系统存在的安全弱点? * 目 录 9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术 * 9.2 网络扫描技术 发现网络中设备及系统是否存在漏洞。 主机扫描: 确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。 防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,攻击者通常利用ICMP协议提供的错误消息机制,例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片,以及通过超长包探测内部路由器和反向映射探测等。 * 9.2 网络扫描技术 端口扫描 发现目标主机的开放端口,包括网络协议和各种应用监听的端口。 TCP Connect 扫描和TCP反向ident 扫描口。 TCP Xmas 和TCP Null 扫描是FIN 扫描的两个变种。 TCP FTP 代理扫描。 分段扫描,将数据包分为两个较小的IP 段。 TCP SYN 扫描和TCP 间接扫描,两种半开放扫描。 * 9.2 网络扫描技术 发现网络中设备及系统是否存在漏洞。 主机扫描: 确定在目标网络上的主机是否可达,常用的扫描手段如ICMP Echo 扫描、Broadcast ICMP 扫描等。 防火墙和网络过滤设备常常导致传统的探测手段变得无效。为了突破这种限制,攻击者通常利用ICMP协议提供的错误消息机制,例如发送异常的IP 包头、在IP头中设置无效的字段值、错误的数据分片,以及通过超长包探测内部路由器

文档评论(0)

158****9949 + 关注
官方认证
文档贡献者

该用户很懒,什么也没介绍

认证主体成都林辰禄信息科技有限公司
IP属地四川
统一社会信用代码/组织机构代码
91510104MA64LRAJ9H

1亿VIP精品文档

相关文档