返回
高职大赛培训—ids技术

高职大赛培训—ids技术

ID:10835468

大小:3.59 MB

页数:53页

时间:2018-07-08

高职大赛培训—ids技术_第1页
高职大赛培训—ids技术_第2页
高职大赛培训—ids技术_第3页
高职大赛培训—ids技术_第4页
高职大赛培训—ids技术_第5页
资源描述:

《高职大赛培训—ids技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IDS技术本章内容什么是IDSIDS工作原理数据捕获方式IDS、IPS、防火墙的区别课程议题什么是IDS什么是IDS?IDS(IntrusionDetectionSystem)的概念IDS是硬件或软件用于检测对网络的攻击对攻击的积极响应好人坏人什么是IDS?(续)IDS的起源与发展概念的诞生—1980年美国空军做了题为《计算机安全威胁监控与监视》,第一次详细阐述了入侵检测的概念模型的发展—1984~1986年乔治敦大学的DorothyDenning和SRI公司的计算机科学实验室PeterNeumann研究出了一个入侵检测模型,取名为IDES(入侵检测专家系统)。它独立于特定的系统平

2、台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想百花齐放—1990年美国加州大学第一次将网络数据流作为审计来源分析入侵活动,为入侵检测技术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术,并且两种方式不断壮大起来里程碑—2000年分布式IDS出现HIDS(HostIDS)Internet网络服务器1客户端网络服务器2X检测内容:系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDSHIDS(续)在最终目的进行分析对网络的视野有限性能问题部署问题NIDS(NetworkIDS)InternetNIDS网络服务器1数据包=包头信息+有效数据部分客

3、户端网络服务器2X检测内容:包头信息+有效数据部分NIDS(续)视野开阔易于部署带宽、性能问题加密问题课程议题IDS的工作原理IDS警报什么是警报IDS检测到入侵活动时,都必须产生一些警报以发出信号由于IDS没有100%的正确率,所以IDS警报分为两大类错误警报误报漏报正确警报正确命中正确拒绝IDS检测方式异常检测模式匹配(签名匹配)协议分析异常检测概念也称为模型检测,需要为用户习惯建立模型。模型为用户定义了行为特征,以及为用户执行正常任务定义了一个基线优点检测以前未发布的攻击缺点用户习惯改变时,必须更新用户模型很难把特定的攻击与警报相关联模式匹配概念也称为滥用检测,探测与具体特征

4、相匹配的入侵行为,将收集到的信息与特征库匹配优点基于已知的入侵行为安装后立刻就能进行检测缺点需要更新签名库(特征库)有些攻击能绕过IDS无法检测未知攻击模式匹配(续)张三命中协议分析协议分析(续)ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTPHTTP。。。DNS第一步——直接跳到第13个字节,并读取2个字节的协议标识。 如果值是0800,则说明这个以太网帧的数据域携带的是IP包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。第二步——跳到第24个字节处读取1字节的第四层协议标识。 如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包, 入

5、侵检测利用这一信息指示第三步的检测工作。第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080, 则说明这个TCP帧的数据域携带的是HTTP包,基于协议解码的入侵检测利用 这一信息指示第四步的检测工作。第四步——让解析器从第55个字节开始读取URL。URL串将被提交给HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来分析它是否可能会做攻击行为。协议分析(续)0800[13字节]06[24字节]0800[35字节]55字节张三匹配基于状态的检测IDSPC-A1.1.1.1源地址目标地址源端口目标端口初始序列号ACK标记1.1.1.12.2.2.2103

6、380350771syn1.1.1.12.2.2.2103380350772133076syn-ack1.1.1.12.2.2.2103380350773133077ack①②③状态表源地址目标地址源端口目标端口序列号IDS响应技术报警记录日志TCPreset联动SNMPTrap邮件通知IDS逃避技术泛洪使IDS产生大量警报,隐藏真正攻击消耗IDS系统资源分片消耗IDS系统资源加密迷惑使用不同的字符表达方式课程议题数据捕获方式HUB物理层设备将流量向所有端口复制安全问题流量镜像SPAN(SwitchPortAnalyzer)交换机的端口监控功能将一个或多个来自某端口或VLAN的数据

7、镜像到另一个目的端口目的端口常用来连接网络分析仪安全性高配置SPAN配置端口镜像的源端口monitorsessionsession-numbersourceinterfaceinterface{both

8、rx

9、tx}Switch(config)#monitorsessionsession-numberdestinationinterfaceinterfaceSwitch(config)#配置端口镜像的目的端口以太网接口的工作模式正常模式只接收目的MAC与自己MAC匹配

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。