网络安全技术――C7PPT课件

  • 格式:ppt
  • 大小:454.50 KB
  • 文档页数:18

下载文档原格式

  / 18
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需要解释的是该专家系统也具有一定的局限性,因 为这类推理规则的基础是根据已知的漏洞和攻击进行规 则的定义的,而实际上最危险的攻击是来自未知的漏洞 或者攻击类型。
专家系统的功能需要随着经验和知识的积累逐步扩 充和修正。完备的推理系统有能力对新的入侵和网络攻 击进行检测,因此,和普通的统计方法相比,依赖历史 数据较少,可以用于广普的安全策略和检测需求
第七章 入侵检测技术
网络“黑客”越来越猖獗,攻击手段越
来越先进,“杀伤力”越来越大。为了对 付“黑客”们层出不穷的攻击,人们采取 了各种各样的反攻击手段,在这些手段中, 入侵检测被认为是防火墙之后的第二道安 全闸门,在网络系统受到危害之前拦截和 响应入侵。
24.11.2020
1
一、入侵检测的概念
入侵检测是主动保护自己免受攻击的一种 网络安全技术,它从计算机网络系统中的若干 关键点收集信息,并分析这些信息,从而发现 网络系统中是否有违反安全策略的行为和被攻 击的迹象,从而提供对内部攻击、外部攻击和 误操作的实时保护,作为防火墙的合理补充, 入侵检测技术能够帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力,提高了信息 安全基础结构的完整性。
•难于建立确切的统计分布,统计方法依赖于有用户行为的主 观建设
•难于实现方法的普遍适应性:适用于一类用户的检测措施无 法适用于另一类用户
•系统臃肿难于裁减
24.11.2020
9
专家系统:就是基于一套由专家经验事先定义的规
则的推理系统,它根据一定的推理规则对所涉及的攻击 进行分析和推理,如对密码的试探性攻击。
响应单元
事件分析器
事件数据库
事件收集器
各种级别的事件
24.11.2020
5
பைடு நூலகம்
五、入侵检测分类
1、根据检测方式:入侵检测系统大体可以分为 三类:基于行为的入侵监测系统(异常检测) 和基于入侵知识的入侵检测系统(滥用检测) 和混合检测
异常检测:假定所有的入侵活动都是异常活动
滥用检测:攻击或入侵总能表示成模式或者特 征的形式,因此可以通过匹配该模式或特征来 检测入侵及其变种。
2、根据数据来源的不同:基于主机的入侵检测 系统和基于网络的入侵检测系统。前者适用于 主机环境,后者适用于网络环境。
24.11.2020
6
3、根据入侵检测系统的分析数据来源划分:
(1)网络入侵检测系统:可以通过对网络中传 输的数据包的分析和统计,检测到可能发生的 恶意攻击
(2)系统完整性校验系统:主要是用来检验系 统文件,从而确定系统是否被黑客进行了攻击。 (3)日志文件分析系统:通过分析网络服务产 生的日志文件来获得潜在的恶意攻击企图。
24.11.2020
10
六、入侵响应 1. 准备工作 ❖ 提前制定一份应急响应计划
❖如果资金允许,可以申请获得外部的技术支持 ❖组建一个事故响应小组并分配给成员不同责任 ❖准备大量的备份介质 ❖预先对系统环境进行文档化工作 ❖具备一个有效的通讯计划
24.11.2020
11
2. 入侵检测
(1) 重要的日志文件
24.11.2020
2
二、入侵检测可以实现的功能如下
1、监控和分析用户以及系统的活动 2、核查系统配置和漏洞 3、统计分析异常活动 4、评估关键系统和数据文件的完整性 5、识别攻击的活动模式冰箱网管人员报警
24.11.2020
3
三、入侵检测原理
入侵者进行攻击的时候总会留下痕迹,这些痕迹
和系统正常运行的时候产生的数据混在一起。入侵检 测系统就是从这些混合数据中找出是否有入侵的痕迹, 如果有就报警提示有入侵事件发生。
(4)欺骗系统:通过模拟一些著名的漏洞并提 供虚假服务来欺骗入侵者
24.11.2020
7
4、根据检测系统对入侵攻击的响应方式:
(1)主动的入侵检测系统(实时入侵检测系统)
在检测出入侵后,可以自动地对目标系统中的漏 洞采取修补,强制可疑用户退出系统以及关闭 相关服务等对策和响应措施。
(2)被动的入侵检测系统(事后入侵检测系统)
入侵检测系统有两个重要部分:数据的取得和数 据的检测。入侵检测系统取得的数据一般是系统和网 络运行的时候产生的数据,入侵检测系统研究者的主 要工作是研究哪些数据最有可能反应入侵事件的发生 和哪些检测技术最适应于这些数据。
从一组数据中检测出入侵事件的数据,实际上就 是对一组数据进行分类。如果只是简单地检测出系统 是否发生入侵,那么这个过程就是把数据分为两类: 有入侵的数据和无入侵的数据。如果复杂一些就是, 不仅要检测出入侵,还得说明是什么入侵。
及跟踪指定用户的活动非常有用。
(4) 以太网窥探器 利用网络窥探工具如snoop等可以记录网络
的特定网段上的活动
3. 入侵响应
遇到网络遭到攻击,首先要做到两条:保持冷静, 其次是对做的每件事情要有记录。建议以下七个步骤
24.11.2020
13
1) 估计形式并决定需要作出哪些响应 2) 如果有必要就要断开连接或关闭资源 3) 事故分析和响应 4) 根据响应决策向其他人报警 5) 保存系统状态 6) 恢复遭到攻击的系统 7) 记录所发生的一切。
在检测出系统攻击后只是产生报警信息通知系统 安全管理员,至于之后的处理工作由系统管理 员完成。
24.11.2020
8
5、其他一些入侵检测技术:
神经网络:由于用户行为的复杂性,所以要想准
确匹配一个用户的历史行为和当前行为是非常困难的, 误报的原因往往来自对审计数据的统计算法基于不确定 的假设,所以目前采用神经网络技术进行入侵检测,该 方法可能用于检测下面的难题:
LASTLOG: 每个用户最近一次登陆时间和源
UTMP:记录以前登陆到系统中的所有用户。
WTMP:记录用户登陆和退出事件
SYSLOG:消息日志工具。
(2) 利用系统命令检测入侵动作 一些系统命令,如find和secure等称之为检查程序
可以用来搜索文件系统
24.11.2020
12
(3) 日志审核 ps 命令对于找出入侵者的进程,连接时间以
24.11.2020
4
四、入侵检测系统的结构
入侵检测系统至少应该包含三个功能模块:提供事件记 录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的相 应部件。以下介绍参照美国国防部高级计划局提出的公共入侵 检测框架CIDF的一个入侵检测系统的通用模型。它们在入侵 检测系统中的位置和关系如下图所示: