当前位置:文档之家 › 网络安全技术――C7PPT课件

网络安全技术――C7PPT课件

  • 格式:ppt
  • 大小:454.50 KB
  • 文档页数:18

下载文档原格式

  / 18

合集下载

网络安全技术课件PPT课件

网络安全技术课件PPT课件

THANKS FOR WATCHING
感谢您的观看
《美国计算机欺诈和滥用法》
该法案旨在打击计算机和网络犯罪,保护个人和企业数据安全。
我国网络安全法律法规
要点一
《中华人民共和国网络安全法》
该法规定了网络基础设施、网络信息、网络安全的保护要 求,以及相关法律责任。
要点二
《中华人民共和国计算机信息网 络国际联网管理暂行规定》
该规定规范了计算机信息网络的国际联网行为,保障网络 安全。
定期对网络系统进行安全审计和监控,及时 发现和处置安全威胁。
安全培训与意识提升
加强员工的安全意识和操作技能,预防内部 威胁的发生。
02 网络安全技术基础
加密技术
加密技术概述
加密技术是网络安全的核心,通 过将明文数据转换为难以理解的 密文,保护数据的机密性和完整
性。
加密算法
加密算法分为对称加密和公钥加密 两种,对称加密使用相同的密钥进 行加密和解密,公钥加密使用不同 的密钥进行加密和解密。
防范网络钓鱼
警惕来自不明来源的邮件和链接,避免点击恶意链接或下载可疑附件。
保护个人信息
避免在公共场合透露个人信息,如家庭住址、电话号码等。
04 网络安全法律法规与道德 规范
国际网络安全法律法规
《欧盟网络和信息安全指令》
该指令要求欧盟成员国制定和实施国家网络安全战略,确保关键基础设施和重要信息系统的安全。
加密的应用
加密技术广泛应用于数据传输、存 储和身份认证等领域,如SSL/TLS 协议、WPA2加密等。
防火墙技术
防火墙概述
防火墙类型
防火墙是网络安全的重要组件, 用于隔离内部网络和外部网络, 防止未经授权的访问和数据泄露。

完整版网络安全技术解读PPT课件

完整版网络安全技术解读PPT课件
1999年4月,“CIH”病毒,保守估计全球有6千万部电脑感染。
1999年,北京江民KV300杀毒软件,损失260万元。
2000年2月,“雅虎”、“电子港湾”、亚马孙、微软网络等美国大型国际互联 网网站,损失超过了10亿美元。
2000年4月,闯入电子商务网站的威尔斯葛雷,估计导致的损失可能超过300万美 元。
网络攻击技术
➢ TCP FIN扫描:关闭的端口用正确的RST应答 发送的对方发送的FIN探测数据包,相反,打 开的端口往往忽略这些请求。
➢ Fragmentation扫描:将发送的探测数据包分 成一组很小的IP包,接收方的包过滤程序难以 过滤。
➢ UDP recfrom()和write()扫描
➢ ICMP echo扫描:使用ping命令,得到目标 主机是否正在运行的信息。
定义:是利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的技术。
IP欺骗:选定目标,发现主机间的信任模式,使目标信任的主机丧失工作能力,TCP序列 号的取样和预测,冒充被信任主机进入目标系统,实施破坏并留下后门。 ARP欺骗 对路由器ARP表的欺骗:原理是截获网关数据。 对局域网内个人计算机的网络欺骗:原理是伪造网关。 后果:影响局域网正常运行;泄露用户敏感信息
3 目的地址一致的主机才能接收数据包。若主机工作在监听模式下,则可监听或的连接方式: ,是规范和指导该工程的不同结构的玻璃幕墙系统、石材幕墙系统等的试验、材料采购、制作、贮运、安装、管理、清洁、产品维护、验收、保修、售后服务和现场技术
网络攻击技术
3、网络欺骗技术
网络攻击技术
(2)扫描器
定义
一种自动检测远程或本地主机安全弱点的程序,可以不留痕迹地发现远程服务器的各 种TCP端口的发配及提供的服务。

《网络安全技术》PPT课件

《网络安全技术》PPT课件
优点:对用户透明;对网络的规模没有限制。
缺点:只能进行初步的安全控制;没有用户的访 问记录;设置过滤规则困难
第二十四页,共117页。
包过滤(guòlǜ)路由器
➢ 基本思想很简单
– 对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包 – 往往配置(pèizhì)成双向的
➢ 如何过滤
– 过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地 址、IP协议域、源和目标端口号
信息源
信息(xìnxī)目的地
第五页,共117页。
网络安全的四种(sì zhǒnɡ) 威胁
中断威胁(wēixié):使在用信息系统毁坏或不能使用的攻击, 破坏可用性。如硬盘等一般硬件的毁坏,
通信线路的切断,文件管理系统的瘫痪等。
伪造(wěizào)威胁:一个非授权方将伪造的客体插入系统中的攻击 破坏真实性。包括网络中插入假信件,或者在 文件中追加记录等。
– 过滤器往往建立一组规则,根据IP包是否匹配规则中指定的条件来作出 决定。
如果匹配到一条规则,则根据此规则决定转发或者丢弃 如果所有规则都不匹配,则根据缺省策略
第二十五页,共117页。
安全(ānquán)缺省策略
两种基本策略,或缺省策略
– 没有被拒绝的流量都可以通过 管理员必须针对每一种新出现的攻击, 制定新的规则
来验证用户的身份。
•用户账号的缺省限制检查。
第十一页,共117页。
网络管理员可以控制和限制普通用户的账号使用、访问
网络的时间和方式。用户账号应只有系统管理员才能建立。
用户口令应是每用户访问网络所必须提交的“证件”、用 户可以修改自己的口令,但系统管理员应该可以控制口令的
限制:最小口令长度、强制修改口令的时间间隔、口令的唯 一性、口令过期失效(shī xiào)后允许入网的宽限次数。

网络安全技术.PPT

网络安全技术.PPT
(4)管理不健全造成的安全漏洞。从网络安全的广义角度来看,网络安 全不仅仅是技术问题,更是一个管理问题。它包含管理机构、法律、 技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决 网络安全问题,必须要有综合的解决方案。
网络攻击行为
➢ 常见的攻击措施主要有: 获取网络口令 放置特洛伊木马程序 WWW欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 拒绝服务攻击 网络监听 寻找系统漏洞 利用账号进行攻击 偷取特权
(2)病毒的侵入。Internet开拓性的发展,使病毒传播发展成为灾难。 据美国国家计算机安全协会(NCSA)最近一项调查发现,几乎 100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。
(3)黑客的攻击。得益于Internet的开放性和匿名性,也给Internet应用 造成了很多漏洞,从而给别有用心的人有可乘之机,来自企业网络内 部或者外部的黑客攻击都给目前网络造成了很大的隐患。
影响目标
波及全球网 络基础架构
安全事件对我们的威胁越来越快
分钟
地区网络 多个网络 单个网络 单台计算机


第一代 • 引导性病毒
第二代 • 宏病毒 • DOS • 电子邮件 • 有限的黑
客攻击
1980s
1990s
第三代 • 网络DOS
攻击 • 混合威胁
(蠕虫+ 病毒+特 洛伊) • 广泛的系 统黑客攻 击
第五章 网络安全技术
工程任务:保护园区网络安全
中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合 各分院信息化建设也历经多年,具备完整应用体系和物理架构。但在使用过程中, 网络安全面临很多隐患,需要经行安全规划。新规划学院网络安全的实施整体规划, 通过在交换机设备上增加访问控制列表技术,实现学院内部网络设备之间安全防范, 并增加防火墙设备增加学院网络的整体安全建设规划。

网络安全技术讲义(PPT 39张)

网络安全技术讲义(PPT 39张)



3.4.1 3.4.2 3.4.3 3.4.4 3.4.5 3.4.6 3.4.7 3.4.8 3.4.9
计算机病毒的定义 计算机病毒的特性 计算机病毒的产生背景及主要来源 计算机病毒的类型 计算机病毒的主要危害 计算机病毒的传播途径及症状 计算机病毒的预防 计算机病毒的清除 几种常见的防病毒软件及其安装与维护
5
3.2网络安全研究背景
3.2.1 系统安全漏洞的基本概念 3.2.2 系统安全漏洞的类型 3.2.3系统安全漏洞的利用 3.2.4 系统安全漏洞的解决方案

6
3.2.1系统安全漏洞的基本概念


1. 漏洞的定义 漏洞是在硬件、软件、协议的具体实现或系统安全策略 上存在的缺陷,从而可以使攻击者能够在未授权的情况下 访问或破坏系统。 2.漏洞与具体系统环境、时间之间的关系 一个系统从发布的那一天起,随着用户的深入使用,系 统中存在的漏洞会被不断暴露出来,这些早先被发现的漏 洞也会不断被系统供应商发布的补丁软件修补,或在以后 发布的新版系统中得以纠正。而在新版系统纠正了旧版本 中具有漏洞的同时,也会引入一些新的漏洞和错误。因而 随着时间的推移,旧的漏洞会不断消失,新的漏洞会不断 出现。漏洞问题也会长期存在。
16
3.3.2防火墙的功能




(1)过滤不安全的服务和非法用户。 (2)控制对特殊站点的访问。 (3)供监视Internet安全访问和预警的可靠节点。 (4)实现公司的安全策略。 (5)防止暴露内部网的结构,网络管理员可以在防火墙 上部署NAT,既可以保护内部网,也可以解决地址空间紧 张的问题。 (6)是审计和记录Internet使用费用的一个最佳地点。 (7)在物理上设置一个单独的网段,放置WWW服务器 、FTP服务器和Mail服务器等。

网络安全教育PPT课件

网络安全教育PPT课件
使用电脑的过程中应采取什么措施
计算机中毒有哪些症状
网络安全网络安全
接入移动硬盘或u盘先进行扫描
网络安全网络安全
自觉维护网络安全、共同创建清朗上网环境。
自觉维护网络安全、共同创建清朗上网环境。
自觉维护网络安全、共同创建清朗上网环境。
网络安全网络安全
自觉维护网络安全、共同创建清朗上网环境。
第三章
03
使用电脑的过程中应采取什么措施
05
01
使用电脑的过程中应采取什么措施
使用电脑的过程中应采取什么措施
02
使用电脑的过程中应采取什么措施
04
使用电脑的过程中应采取什么措施
06
使用电脑的过程中应采取什么措施
使用电脑的过程中应采取什么措施
使用电脑的过程中应采取什么措施
使用电脑的过程中应采取什么措施
04
自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。
05
自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。
06
网络安全网络安全
Network security education
提升网络安全意识,养成良好用网习惯
自觉维护网络安全、共同创建清朗上网环境。
自觉维护网络安全、共同创建清朗上网环境。
网络安全网络安全
自觉维护网络安全、共同创建清朗上网环境。
自觉维护网络安全、共同创建清朗上网环境。
自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。自觉维护网络安全、共同创建清朗上网环境。

网络安全技术概述ppt

网络安全技术概述ppt

网络安全技术概述ppt网络安全技术概述网络安全技术是指用于保护计算机网络、系统和数据资源免遭非法访问、使用、破坏和泄露的技术手段。

随着互联网和信息化的快速发展,网络安全问题日益突出,各种网络攻击手段层出不穷,因此网络安全技术显得尤为重要。

常见的网络安全技术包括:1. 防火墙技术:防火墙是一种位于计算机网络和外部网络之间的安全设备,通过监控和过滤网络流量,防止非法访问和攻击。

防火墙技术可以实现入侵检测和入侵防御,保护企业网络的安全。

2. 入侵检测和入侵防御技术:入侵检测系统(IDS)可以实时监控网络流量和系统日志,识别潜在的攻击行为,提供及时警报和通知。

入侵防御系统(IPS)则可以实施主动的防御措施,如封锁攻击来源的IP地址、屏蔽攻击流量等。

3. 数据加密技术:数据加密是指将原始数据使用加密算法转换为密文,并通过密钥将其还原为明文的过程。

数据加密技术可以保护数据在传输、存储和处理过程中的安全性,防止未经授权的访问和篡改。

4. 虚拟专用网络(VPN)技术:VPN技术可以通过在公共网络上建立加密隧道,实现远程用户对私有网络的访问。

VPN技术可以提供安全的远程访问和数据传输,保护用户隐私和数据安全。

5. 电子邮件过滤技术:电子邮件是网络通信的重要方式,也是网络攻击的重点目标。

电子邮件过滤技术可以识别和拦截含有恶意软件、垃圾邮件和网络钓鱼等内容的邮件,保护用户账号和计算机系统的安全。

6. 身份认证技术:身份认证是指确认用户身份的过程。

常见的身份认证技术包括口令认证、指纹认证、刷卡认证等。

身份认证技术可以防止非法用户冒充合法用户进入系统,保护系统和数据的安全。

7. 无线网络安全技术:随着无线网络的普及,无线网络安全问题愈发突出。

无线网络安全技术包括无线网络加密、身份认证、无线勒索等,可以保护无线网络不受未经授权的访问和攻击。

综上所述,网络安全技术是不可或缺的,必须与计算机网络和系统一起发展。

通过使用安全设备、加密技术、身份认证和网络隔离等技术手段,可以提高网络安全水平,保护计算机网络和系统的安全。

网络安全基础PPT完整全套教学课件

网络安全基础PPT完整全套教学课件

网络防御策略与技术
防火墙技术:通过设置访 问控制规则,阻止未经授 权的访问和数据传输。
入侵检测系统(IDS/IPS ):实时监测网络流量和 事件,发现异常行为并及 时处置。
加密技术:对数据进行加 密处理,确保数据传输和 存储过程中的机密性和完 整性。
身份认证与访问控制:验 证用户身份并授权访问特 定资源,防止非法访问和 数据泄露。
网络安全基础PPT完 整全套教学课件
目录
• 网络安全概述 • 网络安全技术基础 • 网络攻击与防御 • 身份认证与访问控制 • 数据安全与隐私保护 • 网络安全管理与运维
01
网络安全概述
网络安全的定义与重要性
网络安全的定义
网络安全是指通过采取各种技术和管理措施,保护计算机网络系统免受未经授 权的访问、攻击、破坏或篡改,确保网络系统的机密性、完整性和可用性。
安全审计与日志分析:记 录并分析系统和网络活动 ,以便发现潜在的安全威 胁和漏洞。
应急响应与处置流程
识别攻击 评估影响 隔离与处置 收集证据 报告与总结
通过监控和日志分析等手段及时发现网络攻 击事件。
评估攻击对系统和数据的影响程度,确定应 急响应的优先级和范围。
将受影响的系统与网络隔离,采取相应措施 消除攻击影响并恢复系统正常运行。
网络安全的重要性
随着互联网的普及和数字化进程的加速,网络安全问题日益突出,已经成为国 家安全、社会稳定和经济发展的重要保障。网络安全不仅关系到个人隐私和企 业机密,还涉及到国家安全和社会稳定。
网络安全威胁与风险
01
常见的网络安全威胁
网络攻击、恶意软件、钓鱼攻击、勒索软件、数据泄露 等。
02
网络安全风险
03
网络攻击与防御

《网络安全技术》课件

《网络安全技术》课件

勒索软件
攻击者通过加密文件来勒索用户,要求支付赎金以 恢复访问。
恶意软件
广泛存在的安全威胁,包括病毒、间谍软件、广告 软件等。
社交工程
利用对人的欺骗来获取信息和访问权限。
网络攻击和防御方法
1
攻击方法
攻击者使用各种技术进行攻击,比如密码破解、软件漏洞、中间人攻击等。
2
防御方法
使用强密码、加密通信、强化网络安全措施等可以有效地防御攻击。
2 区块链技术
区块链技术的引入可以提 高数据交换的安全性和可 靠性。
3 云安全
随着云计算技术的发展, 云安全将逐渐成为重要的 研究方向。
3
网络安全测试
介绍如何进行网络安全测试以及测试中常用的工具和技术。
保护个人隐私的网络安全措施
加密通信
使用安全 Socket Layer(SSL) 等技术加密通信,以避免敏感 信息被窃听。
升级软件和系统
定期升级系统、浏览器、杀毒 软件等以修补已知漏洞。
保护密码
使用不易猜测的复杂密码,并 定期更改密码。
网络安全技术
网络安全是我们数字化时代面临的一个重大问题。本PPT将介绍网络安全及其 重要性、防御方法、保护个人隐私、企业网络安全管理以及未来的发展。
课程介绍
课程目的
课程收益
介绍网络安全的基本概念、原理及常见的攻击方式。
能够有效地保护自己的电子设备和信息免受网络攻 击。
适合人群
任何对网络安全有兴趣的人都能受源自,并可以了解 更多有关信息的保护措施。
企业网络安全管理
1
意识培训
通过人员培训、告知风险和责任等方式提高员工自我保护意识。
2
安全政策
制定企业安全政策、建立安全制度、加强权限管理以及调查意外事件和潜在的安全问题。

《网络安全技术 》课件

《网络安全技术 》课件

三、常见网络安全攻击方式
网络钓鱼
攻击者通过伪造合法的通信,诱骗用户揭示 敏感信息。
拒绝服务攻击
攻击者通过发送大量请求使网络资源超载, 导致服务不可用。
勒索软件
加密用户数据并要求赎金,以解密数据。
缓冲区溢出
攻击者利用软件漏洞,将超出缓冲区大小的 数据注入到程序中。
四、网络安全技术简介
1 防火墙技术
哈希加密
将数据转换为固定长度的哈希 值,验证数据完整性。
八、访问控制技术
类别 基于角色的访问控制(RBAC) 强制访问控制(MAC) 自主访问控制(DAC)
描述
根据用户角色和权限进行访问控制,授权灵活 高效。
根据固定的安全级别进行访问控制,全面保护 系统资源。
根据用户自主控制访问权限,便于管理和灵活 授权。
《网络安全技术》PPT课 件
网络安全技术课件将深入介绍网络安全的各个方面,包括网络安全的基本概 念、威胁、攻击方式、技术简介以及最新发展动态。
一、网络安全介绍
网络安全是保护计算机网络及其使用的数据不受未经授权访问、破坏或更改 的技术和措施。
二、网络安全威胁
网络安全面临的威胁包括恶意软件、黑客攻击、数据泄露以及社交工程等。
• 软件防火墙 • 硬件防火墙 • 应用级网关
功能
• 过滤网络流量 • 监控网络通信 • 控制访问权限
实现
• 包过滤(Packet Filtering) • 应用代理
(Application Proxy) • 状态检测(Stateful
Inspection)
六、入侵检测技术
1
网络入侵检测系统(NIDS)
十六、网络安全政策与规范
网络安全政策和规范用于指导和规范组织的网络安全行为。

《网络安全技术 》课件

《网络安全技术 》课件

勒索软件攻击案例
01
勒索软件概述
勒索软件是一种恶意软件,通过加密用户文件来实施勒索行为。
02 03
WannaCry攻击事件
WannaCry是一种在全球范围内传播的勒索软件,利用Windows系统 的漏洞进行传播,并对重要文件进行加密,要求受害者支付赎金以解密 文件。
防御措施
针对勒索软件的攻击,应加强网络安全防护措施,定期更新系统和软件 补丁,使用可靠的杀毒软件,并建立数据备份和恢复计划。
APT攻击案例研究
APT攻击概述
APT攻击是一种高度复杂的网络攻击,通常由国家支持的恶意组织发起,针对特定目标进行长期、持续的网络入侵活 动。
SolarWinds攻击事件
SolarWinds是一家提供IT管理软件的美国公司,2020年被曝出遭到APT攻击,攻击者利用SolarWinds软件中的后门 进行网络入侵活动。
加密算法
介绍对称加密算法和非对称加密算法,以及常见的加密算法如AES 、RSA等。
加密技术的应用
加密技术在数据传输、存储、身份认证等方面都有广泛应用。
防火墙技术
防火墙概述
防火墙是网络安全的重要组件,用于隔离内部网 络和外部网络,防止未经授权的访问。
防火墙类型
介绍包过滤防火墙、代理服务器防火墙和有状态 检测防火墙等类型。
区块链技术与网络安全
1 2 3
分布式账本
区块链技术通过去中心化的分布式账本,确保数 据的安全性和不可篡改性,降低信息被篡改和伪 造的风险。
智能合约安全
智能合约是区块链上的自动执行合约,其安全性 和可靠性对于区块链应用至关重要,需要加强安 全审计和验证。
区块链安全应用场景
区块链技术在数字货币、供应链管理、版权保护 等领域有广泛的应用前景,有助于提高数据安全 性和透明度。

《网络安全技术概述》PPT课件

《网络安全技术概述》PPT课件
Hfnetchk是一个用来帮助网络管理员 判断系统所打补丁情况的工具。
Page 16
精选PPT
10.10.2020
(2)ISAPI缓冲区溢出
在安装IIS的时候,多个ISAPI被自动安装。 ISAPI允许开发人员使用多种动态链接库 DLLs来扩展IIS服务器的性能。如果安装了 IIS服务器,并没有打过补丁,那么该系统 可能会受到控制IIS服务器的这种攻击。
Page 17
精选PPT
10.10.2020
1.1.3 网络协议的安全缺陷
网络系统都使用的TCP/IP协议、FTP、 E-mail、NFS等都包含着许多影响网络安全 的因素,存在许多漏洞。 1.TCP序列号预计 2.路由协议缺陷 3.网络监听
Page 18
精选PPT
10.10.2020
典型的TCP协议攻击 /安全缺陷
(2)用户知道的信息,如密码。
(3)用户特有的特征,如指纹、声音和视网 膜扫描等。
Page 38
精选PPT
10.10.2020
授权主要是为特许用户提供合适的访问权限, 并监控用户的活动,使其不越权使用。
加密主要满足如下的需求。
(1)认证。识别用户身份,提供访问许可。
(2)一致性。保证数据不被非法篡改。
(3)隐密性。保证数据不被非法用户查看。
(4)不可抵赖。使信息接收者无法否认曾经 收到的信息。
审计与监控,这是系统安全的最后一道防线, 它包括数据的备份。当系统一旦出现了问题, 审计与监控可以提供问题的再现、责任追查 和重要数据恢复等保障。
Page 39
精选PPT
10.10.2020
网络安全解决方案
<============== 服Ack=1002+1=1003
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
并提 供虚假服务来欺骗入侵者
24.11.2020
7
4、根据检测系统对入侵攻击的响应方式:
(1)主动的入侵检测系统(实时入侵检测系统)
在检测出入侵后,可以自动地对目标系统中的漏 洞采取修补,强制可疑用户退出系统以及关闭 相关服务等对策和响应措施。
(2)被动的入侵检测系统(事后入侵检测系统)
24.11.2020
10
六、入侵响应 1. 准备工作 ❖ 提前制定一份应急响应计划
❖如果资金允许,可以申请获得外部的技术支持 ❖组建一个事故响应小组并分配给成员不同责任 ❖准备大量的备份介质 ❖预先对系统环境进行文档化工作 ❖具备一个有效的通讯计划
24.11.2020
11
2. 入侵检测
(1) 重要的日志文件
入侵检测系统有两个重要部分:数据的取得和数 据的检测。入侵检测系统取得的数据一般是系统和网 络运行的时候产生的数据,入侵检测系统研究者的主 要工作是研究哪些数据最有可能反应入侵事件的发生 和哪些检测技术最适应于这些数据。
从一组数据中检测出入侵事件的数据,实际上就 是对一组数据进行分类。如果只是简单地检测出系统 是否发生入侵,那么这个过程就是把数据分为两类: 有入侵的数据和无入侵的数据。如果复杂一些就是, 不仅要检测出入侵,还得说明是什么入侵。
第七章 入侵检测技术
网络“黑客”越来越猖獗,攻击手段越
来越先进,“杀伤力”越来越大。为了对 付“黑客”们层出不穷的攻击,人们采取 了各种各样的反攻击手段,在这些手段中, 入侵检测被认为是防火墙之后的第二道安 全闸门,在网络系统受到危害之前拦截和 响应入侵。
24.11.2020
1
一、入侵检测的概念
入侵检测是主动保护自己免受攻击的一种 网络安全技术,它从计算机网络系统中的若干 关键点收集信息,并分析这些信息,从而发现 网络系统中是否有违反安全策略的行为和被攻 击的迹象,从而提供对内部攻击、外部攻击和 误操作的实时保护,作为防火墙的合理补充, 入侵检测技术能够帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力,提高了信息 安全基础结构的完整性。
在检测出系统攻击后只是产生报警信息通知系统 安全管理员,至于之后的处理工作由系统管理 员完成。
24.11.2020
8
5、其他一些入侵检测技术:
神经网络:由于用户行为的复杂性,所以要想准
确匹配一个用户的历史行为和当前行为是非常困难的, 误报的原因往往来自对审计数据的统计算法基于不确定 的假设,所以目前采用神经网络技术进行入侵检测,该 方法可能用于检测下面的难题:
响应单元
事件分析器
事件数据库
事件收集器
各种级别的事件
24.11.2020
5
五、入侵检测分类
1、根据检测方式:入侵检测系统大体可以分为 三类:基于行为的入侵监测系统(异常检测) 和基于入侵知识的入侵检测系统(滥用检测) 和混合检测
异常检测:假定所有的入侵活动都是异常活动
滥用检测:攻击或入侵总能表示成模式或者特 征的形式,因此可以通过匹配该模式或特征来 检测入侵及其变种。
24.11.2020
2
二、入侵检测可以实现的功能如下
1、监控和分析用户以及系统的活动 2、核查系统配置和漏洞 3、统计分析异常活动 4、评估关键系统和数据文件的完整性 5、识别攻击的活动模式冰箱网管人员报警
24.11.2020
3
三、入侵检测原理
入侵者进行攻击的时候总会留下痕迹,这些痕迹
和系统正常运行的时候产生的数据混在一起。入侵检 测系统就是从这些混合数据中找出是否有入侵的痕迹, 如果有就报警提示有入侵事件发生。
24.11.2020
4
四、入侵检测系统的结构
入侵检测系统至少应该包含三个功能模块:提供事件记 录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的相 应部件。以下介绍参照美国国防部高级计划局提出的公共入侵 检测框架CIDF的一个入侵检测系统的通用模型。它们在入侵 检测系统中的位置和关系如下图所示:
2、根据数据来源的不同:基于主机的入侵检测 系统和基于网络的入侵检测系统。前者适用于 主机环境,后者适用于网络环境。
24.11.2020
6
3、根据入侵检测系统的分析数据来源划分:
(1)网络入侵检测系统:可以通过对网络中传 输的数据包的分析和统计,检测到可能发生的 恶意攻击
(2)系统完整性校验系统:主要是用来检验系 统文件,从而确定系统是否被黑客进行了攻击。 (3)日志文件分析系统:通过分析网络服务产 生的日志文件来获得潜在的恶意攻击企图。
•难于建立确切的统计分布,统计方法依赖于有用户行为的主 观建设
•难于实现方法的普遍适应性:适用于一类用户的检测措施无 法适用于另一类用户
•系统臃肿难于裁减
24.11.2020
9
专家系统:就是基于一套由专家经验事先定义的规
则的推理系统,它根据一定的推理规则对所涉及的攻击 进行分析和推理,如对密码的试探性攻击。
LASTLOG: 每个用户最近一次登陆时间和源
UTMP:记录以前登陆到系统中的所有用户。
WTMP:记录用户登陆和退出事件
SYSLOG:消息日志工具。
(2) 利用系统命令检测入侵动作 一些系统命令,如find和secure等称之为检查程序
可以用来搜索文件系统
24.11.2020
12
(3) 日志审核 ps 命令对于找出入侵者的进程,连接时间以
及跟踪指定用户的活动非常有用。
(4) 以太网窥探器 利用网络窥探工具如snoop等可以记录网络
的特定网段上的活动
3. 入侵响应
遇到网络遭到攻击,首先要做到两条:保持冷静, 其次是对做的每件事情要有记录。建议以下七个步骤
24.11.2020
13
1) 估计形式并决定需要作出哪些响应 2) 如果有必要就要断开连接或关闭资源 3) 事故分析和响应 4) 根据响应决策向其他人报警 5) 保存系统状态 6) 恢复遭到攻击的系统 7) 记录所发生的一切。
需要解释的是该专家系统也具有一定的局限性,因 为这类推理规则的基础是根据已知的漏洞和攻击进行规 则的定义的,而实际上最危险的攻击是来自未知的漏洞 或者攻击类型。
专家系统的功能需要随着经验和知识的积累逐步扩 充和修正。完备的推理系统有能力对新的入侵和网络攻 击进行检测,因此,和普通的统计方法相比,依赖历史 数据较少,可以用于广普的安全策略和检测需求