欢迎来到天天文库
浏览记录
ID:40344553
大小:1.71 MB
页数:28页
时间:2019-07-31
《计算机网络安全 沈鑫剡 第8章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、计算机网络安全第八章第8章入侵防御系统入侵防御系统概述;网络入侵防御系统;主机入侵防御系统。入侵防御系统的作用是检测网络中可能存在的攻击行为,并对攻击行为进行反制。由于攻击手段的多样性和不断翻新,采用单一技术和手段是无法检测出所有攻击行为的,因此,入侵防御系统也是多个系统的有机集合,每一个系统各司其职。8.1入侵防御系统概述入侵防御系统分类;入侵防御系统工作过程;入侵防御系统不足;入侵防御系统发展趋势。入侵防御系统和防火墙是抵御黑客攻击的两面盾牌,防火墙通过控制信息在各个网络间的传输,防止攻击信息到达攻击目标。入侵防御系统通过
2、检测流经各个网段的信息流,监测对主机资源的访问过程,发现并反制可能存在的攻击行为。入侵防御系统分类入侵防御系统分为主机入侵防御系统和网络入侵防御系统;主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程,以此发现攻击行为、管制流出主机的信息流,保护主机资源;网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施反制过程,以此保护重要网络资源;主机入侵防御系统和网络入侵防御系统相辅相成,构成有机的防御体系。入侵防御系统工作过程网络入侵防御系统工作过程捕获信息;检测异常信息;反制异常信息;报警;登记。得到流经关
3、键网段的信息流。异常指包含非法代码,包含非法字段值,与已知攻击特征匹配等。反制是丢弃与异常信息具有相同源IP地址,或者相同目的IP地址的IP分组,释放传输异常信息的TCP连接等。向网络安全管理员报告检测到异常信息流的情况,异常信息流的特征、源和目的IP地址,可能实施的攻击等。记录下有关异常信息流的一切信息,以便对其进行分析。主机入侵防御系统工作过程拦截主机资源访问操作请求和网络信息流;采集相应数据;确定操作请求和网络信息流的合法性;反制动作;登记和分析。主机攻击行为的最终目标是非法访问网络资源,或者感染病毒,这些操作的实施一般
4、都需要调用操作系统提供的服务,因此,首要任务是对调用操作系统服务的请求进行检测,根据调用发起进程,调用进程所属用户,需要访问的主机资源等信息确定调用的合法性。同时,需要对进出主机的信息进行检测,发现非法代码和敏感信息。入侵防御系统工作过程入侵防御系统的不足主机入侵防御系统是被动防御,主动防御是在攻击信息到达主机前予以干预,并查出攻击源,予以反制。另外,每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足;网络入侵防御系统能够实现主动防御,但只保护部分网络资源,另外对未知攻击行为的检测存在一定的难
5、度。入侵防御系统发展趋势融合到操作系统中主机入侵防御系统的主要功能是监测对主机资源的访问过程,对访问资源的合法性进行判别,这是操作系统应该集成的功能。集成到网络转发设备中所有信息流都需经过转发设备进行转发,因此,转发设备是检测信息流的合适之处。8.2网络入侵防御系统系统结构;信息捕获机制;入侵检测机制;安全策略。网络入侵防御系统首先是捕获流经网络的信息流,然后对其进行检测,并根据检测结果确定反制动作,检测机制、攻击特征库和反制动作由安全策略确定。系统结构探测器1处于探测模式,需要采用相应捕获机制才能捕获信息流,探测器2处于转发
6、模式;探测器1只能使用释放TCP连接的反制动作,探测器2可以使用其他反制动作;为了安全起见,探测器和管理服务器用专用网络实现互连。信息捕获机制利用集线器的广播传输功能,从集线器任何端口进入的信息流,将广播到所有其他端口。利用集线器捕获信息机制端口境像功能是将交换机某个端口(如图中的端口2)作为另一个端口(如图中的端口1)的境像,这样,所有从该端口输出的信息流,都被复制到境像端口,由于境像端口和其他交换机端口之间的境像关系是动态的,因此,连接在端口2的探测器,可以捕获从交换机任意端口输出的信息流。信息捕获机制利用端口境像捕获信息
7、机制跨交换机端口境像功能是将需要检测的端口和连接探测模式的探测器端口之间交换路径所经过交换机端口划分为一个特定的VLAN;从检测端口进入的信息除了正常转发外,在该特定VLAN内广播。信息捕获机制利用跨交换机端口境像捕获信息机制通过分类器鉴别出具有指定源和目的IP地址、源和目的端口号等属性参数的IP分组;为这些IP分组选择特定的传输路径;虚拟访问控制列表允许这些IP分组既正常转发,又从特定传输路径转发;通过特定传输路径转发的IP分组到达探测器。信息捕获机制虚拟访问控制列表入侵检测机制攻击特征检测从已知的攻击信息流中提取出有别于正
8、常信息流的特征信息;特征信息分为元攻击特征和有状态攻击特征;元攻击特征是单个独立的攻击特征,只要信息流中出现和元攻击特征相同的位流或字节流模式,即可断定发现攻击;有状态攻击特征是将整个会话分成若干阶段,攻击特征分散出现在多个阶段对应的信息流中,只有按照阶段顺序,在每一个检测到
此文档下载收益归作者所有