返回
rcsp_五_(入侵检测技术)new

rcsp_五_(入侵检测技术)new

ID:36003415

大小:31.50 KB

页数:6页

时间:2019-04-29

rcsp_五_(入侵检测技术)new_第1页
rcsp_五_(入侵检测技术)new_第2页
rcsp_五_(入侵检测技术)new_第3页
rcsp_五_(入侵检测技术)new_第4页
rcsp_五_(入侵检测技术)new_第5页
资源描述:

《rcsp_五_(入侵检测技术)new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、本文由Just_互日贡献pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。IDS技术822课程RCSP_T05学习目标通过本章的学习,希望您能够:了解什么是IDS了解IDS的工作原理了解数据捕获方式了解IDS、IPS、防火墙的区别部署与配置RG-IDS本章内容什么是IDSIDS工作原理数据捕获方式IDS、IPS、防火墙的区别课程议题什么是IDS什么是IDS?IDS(IntrusionDetectionSystem)的概念IDS是硬件或软件用于检测对网络的攻击对攻击的积极响应什么是IDS?(续)好人坏人IDS的起源与发展概念的诞生—1980年

2、美国空军做了题为《计算机安全威胁监控与监视》,第一次详细阐述了入侵检测的概念模型的发展—1984~1986年乔治敦大学的DorothyDenning和SRI公司的计算机科学实验室PeterNeumann研究出了一个入侵检测模型,取名为IDES(入侵检测专家系统)。它独立于特定的系统平台、应用环境、应用弱点以及入侵类型真正提出的入侵检测思想百花齐放—1990年美国加州大学第一次将网络数据流作为审计来源分析入侵活动,为入侵检测技术翻开新的一页。从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术,并且两种方式不断壮大起来里程碑—2000年分布式IDS出现HIDS(HostID

3、S)网络服务器1HIDS检测内容:系统调用、端口调用、系统日志、安全审记、应用日志客户端Internet网络服务器2HIDSXXHIDS(续)在最终目的进行分析对网络的视野有限性能问题部署问题NIDS(NetworkIDS)检测内容:包头信息+有效数据部分网络服务器1NIDSX客户端Internet网络服务器2数据包=包头信息+有效数据部分NIDS(续)视野开阔易于部署带宽、性能问题加密问题课程议题IDS的工作原理IDS警报什么是警报IDS检测到入侵活动时,都必须产生一些警报以发出信号由于IDS没有100%的正确率,所以IDS警报分为两大类错误警报误报漏报正确警报正确命中正

4、确拒绝IDS检测方式异常检测模式匹配(签名匹配)协议分析异常检测概念也称为模型检测,需要为用户习惯建立模型。模型为用户定义了行为特征,以及为用户执行正常任务定义了一个基线优点检测以前未发布的攻击缺点用户习惯改变时,必须更新用户模型很难把特定的攻击与警报相关联模式匹配概念也称为滥用检测,探测与具体特征相匹配的入侵行为,将收集到的信息与特征库匹配优点基于已知的入侵行为安装后立刻就能进行检测缺点需要更新签名库(特征库)有些攻击能绕过IDS无法检测未知攻击模式匹配(续)张三命中协议分析协议分析(续)ETHER第一步——直接跳到第13个字节,并读取2个字节的协议标识。如果值是0800

5、,则说明这个以太网帧的数据域携带的是IP包,基于协议解码的入侵检测利用这一信息指示第二步的检测工作。RARPIP第二步——跳到第24个字节处读取1字节的第四层协议标识。如果读取到的值是06,则说明这个IP帧的数据域携带的是TCP包,入侵检测利用这一信息指示第三步的检测工作。ARPICMPIGMPTCP第三步——跳到第35个字节处读取一对端口号。如果有一个端口号是0080,UDP则说明这个TCP帧的数据域携带的是HTTP包,基于协议解码的入侵检测利用这一信息指示第四步的检测工作。POP3FTPHTTP第四步——让解析器从第55个字节开始读取URL。URL串将被提交……DNS给

6、HTTP解析器,在它被允许提交给Web服务器前,由HTTP解析器来分析它是否可能会做攻击行为。协议分析(续)0800[13字节]13字节06[24字节]24字节0800[35字节]35字节匹配55字节张三基于状态的检测源地址目标地址源端口目标端口初始序列号ACK标记1.1.1.12.2.2.2103380350771synIDS状态表源地址目标地址源端口目标端口序列号①③1.1.1.12.2.2.2103380350773133077ack2.2.2.21.1.1.1801033133076350772syn-ack②PC-A1.1.1.1IDS响应技术报警记录日志TCPr

7、eset联动SNMPTrap邮件通知IDS逃避技术泛洪使IDS产生大量警报,隐藏真正攻击消耗IDS系统资源分片消耗IDS系统资源加密迷惑使用不同的字符表达方式课程议题数据捕获方式HUB物理层设备将流量向所有端口复制安全问题流量镜像SPAN(SwitchPortAnalyzer)交换机的端口监控功能将一个或多个来自某端口或VLAN的数据镜像到另一个目的端口目的端口常用来连接网络分析仪安全性高配置SPANSwitch(config)#monitorsessionsession-numbersourceinterface

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。