返回
《组网补充知识》ppt课件

《组网补充知识》ppt课件

ID:40097676

大小:232.50 KB

页数:42页

时间:2019-07-21

《组网补充知识》ppt课件_第1页
《组网补充知识》ppt课件_第2页
《组网补充知识》ppt课件_第3页
《组网补充知识》ppt课件_第4页
《组网补充知识》ppt课件_第5页
资源描述:

《《组网补充知识》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、补充:组网补充知识9/4/20211上海交通大学计算机系目录一、入侵检测和入侵响应二、容灾方案三、网络存储技术9/4/20212上海交通大学计算机系一、入侵检测和入侵响应防范入侵的几种方法:入侵预防利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。入侵检测容忍入侵当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。入侵响应9/4/20213上海交通大学计算机系入侵检测系统(IDS)入侵(Intrusion):企图进入或滥用计算机系统的行为。入侵检测(IntrusionDetection):对系统的运行状态进行监视,发现各种攻击企图、攻击行

2、为或者攻击结果,以保证系统资源的机密性、完整性和可用性。入侵检测系统(IntrusionDetectionSystem)进行入侵检测的软件与硬件的组合便是入侵检测系统9/4/20214上海交通大学计算机系入侵检测的分类(1)按照分析方法(检测方法)异常检测(AnomalyDetection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵误用检测(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵9/4/20215上海

3、交通大学计算机系入侵检测的分类(2)按照数据来源:基于主机(Host-basedIDS简称HIDS):HIDS从主机/服务器上采集数据,包括操作系统日志、系统进程、文件访问和注册表访问等信息,系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。HIDS的检测引擎被称为主机代理。基于网络(Network-basedIDS,简称NIDS):系统获取的数据是网络传输的数据包,保护整个网段,保证网络的运行。NIDS的检测引擎被称为网络引擎。NIDS的网络引擎放置在需要保护的网段内,不占用网络资源,保护整个网段。混合型(HybridIDS):目

4、前主流IDS产品都采用HIDS和NIDS有机结合,既可以发现网络中的攻击信息,也能从主机中发现异常情况。9/4/20216上海交通大学计算机系HIDS的主要优点:误报率低;监视特定的系统活动,HIDS既可以监视用户在系统上的活动,也可以监视只有管理员才能实施的非正常行为;适合加密和交换的环境;能够检查到NIDS检查不出的攻击;确定攻击是否成功,HIDS使用含有已发生事件的信息,准确判断攻击是否成功;不需要额外的硬件设备。NIDS的优点:成本较低,无需在被保护的主机上安装软件,将安全策略配置在几个关键访问点上就可以保护大量主机/服务器;可检测到HIDS漏掉的

5、攻击,通过检查分组的头部和数据内容,识别来自网络层的攻击;便于取证,NIDS利用正在发生的网络通信进行攻击的实时检测,攻击者无法转移证据;实时检测和响应,能检测未成功的攻击和企图。9/4/20217上海交通大学计算机系入侵检测的分类(3)按系统各模块的运行方式集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行分布式:系统的各个模块分布在不同的计算机和设备上9/4/20218上海交通大学计算机系入侵检测的分类(4)根据时效性脱机分析:行为发生后,对产生的数据进行分析联机分析:在数据产生的同时或者发生改变时进行分析9/4/20219上海交通大学计算机

6、系IDS能做什么?监控网络和系统发现入侵企图或异常现象实时报警主动响应(非常有限)9/4/202110上海交通大学计算机系入侵检测技术1、模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。一种进攻模式可以利用一个过程或一个输出来表示。这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。但是,该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。9/4/202111上海交通大学计算机系2、异

7、常检测异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较,当观察值在正常值范围之外时,IDS就会判断有入侵发生。异常检测的优点是可以检测到未知入侵和复杂的入侵,缺点是误报、漏报率高。9/4/202112上海交通大学计算机系3、完整性分析完整性分析关注文件或对象是否被篡改,主要根据文件和目录的内容及属性进行判断,这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。完整性分析利用消息摘要函数的加密机制,能够识别微小变化

8、。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要攻击导致

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。