返回
solaris网络环境部署hids配置实战(上)

solaris网络环境部署hids配置实战(上)

ID:22377396

大小:61.50 KB

页数:8页

时间:2018-10-28

solaris网络环境部署hids配置实战(上)_第1页
solaris网络环境部署hids配置实战(上)_第2页
solaris网络环境部署hids配置实战(上)_第3页
solaris网络环境部署hids配置实战(上)_第4页
solaris网络环境部署hids配置实战(上)_第5页
资源描述:

《solaris网络环境部署hids配置实战(上)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Solaris网络环境部署HIDS配置实战(上)~教育资源库  一、IDS种类  1、NIDS-基于网络的IDS  基于网络的入侵检测系统(Net,NIDS)一般由两部分组成:网络流量传感器和入侵检测系统控制台。网络流量传感器一般被部署在网络中心的核心交换机或部门交换机的镜象端口(SPAN)上。在网络安全管理员的工作站上,通过入侵检测系统控制台来接收、分析网络传感器传来的日志来做报警处理。也可以将网络流量传感器和入侵检测系统控制台集成在同一台主机上同时进行检测和分析的工作。  优点:  成本较低。  可监测到主机级IDS监测不到的活动。  黑客消除入侵证据较困难。  可

2、监测到未成功或恶意的入侵攻击。  与操作系统无关。  缺陷:  若网络的规模过大,IDS往往会丢失許多包,无法完全监控网络上所有的数据。  若要采集大型网络上的流量并加以分析,往往需要更有效率的CPU处理速度,以及更大的内存空間。  2、HIDS-基于主机的IDS  基于主机的入侵检测系统(HostIntrusionDetectionSystem,HIDS)通常是安装在被重点监测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果被监视的某个对象活动十分可疑,如具有某种特征或违反日常统计基线,入侵检测系统就会采取相应措施。  优点:  可以确

3、认黑客是否成功入侵  监测特定主机系统的活动  弥补网络级IDS错失监测的入侵事件  较适合有加密及交换机﹝Se)的监测与反应  不需另外增加硬件设备  缺陷:  所有的主机可能安裝不同版本或完全不同的操作系统,而这些操作系统有各种不同的审核记录,因此必須针对各不同主机安裝各种HIDS。  入侵者可能经由其他的系统漏洞入侵并得到系统管理员权限,那么將会导致HIDS失去其效用。  Host-basedIDSs可能会因为denial-of-service而失去作用。  二、IDS和其他安全工具的关系  1.IDS和防火墙的关系  防火墙是网络安全的重要工具,不过它也存在权限

4、:  防火墙只能抵挡外部來的入侵行为。  防火墙本身可能也存在弱点,以及其他安全性的设定错误。  即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限。  防火墙仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知。  IDS对于防火墙的作用如下:  防止防火墙和操作系统与应用程序的设定不当  监测某些被防火墙认为是正常连接的外部入侵  了解和观察入侵的行为意图,并收集其入侵方式的资料  监测內部使用者的不当行为  及时阻止恶意的网络行为  IDS和防火墙的关系应当如下:  功能互补,通过合理搭配部署和联动提升网络安全级别:  检测来自外部和内

5、部的入侵行为和资源滥用  在关键边界点进行访问控制  攻击检测更新迅速,实时的发现和阻断  二者应当相辅相成,在网络安全解决方案中承担不同的角色。如图1。    图1IDS和防火墙的关系  三、OSSEC  1.简介  OSSEC属于基于主机和应用的入侵检测系统,通过监视企业重要服务器和各种应用以避免企业资源被攻击、滥用和误用。在前文的介绍中,我们把基于主机和基于应用的入侵检测系统分成了两大类,不过在实际环境中,往往会将二者结合在一起使用。这是因为二者采集信息的相同,都是那些被监视保护的主机,而且黑客对主机进行侵入时,往往会同时攻击操作系统和应用服务上的漏洞。OSSEC

6、目前的最新版本是1.5。OSSEC是一个非常典型的主机型入侵检测系统,我们可以通过了解它的体系结构与工作原理来了解这一类型的入侵检测技术。  OSSEC是一款开源的多平台的入侵检测系统,可以运行于:SecurityInformationManagement))解决方案中。因其强大的日志分析引擎,ISP(Interserviceprovider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。OSSEC的逻辑结构如图2。    图2OSSEC的逻辑结构  OSSEC的逻辑结构比较抽象,我们看看它的三层体系结构,如图3

7、。    2.工作原理  (1123下一页友情提醒:,特别!)Administrator。是一个Unix和linux平台下的命令行的用户接口(GUI),主要起管理维护作用,对OSSEC的大部分管理、配置工作都在这里进行。它的主要作用为建立和断开和Manager的连接、组织和配置代理(Agent)、创建和管理各种类型策略、管理OSSEC用户和用户优先级、在需要的时候更新Manager的许可证优先级等等。  (2)EventVieinistrator安装到一个管理工作台上,这样即可以显示报警,也可以配置策略。此外,EventVieinistr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。