入侵检测培训

入侵检测培训

ID:46849553

大小:1.68 MB

页数:29页

时间:2019-11-28

入侵检测培训_第1页
入侵检测培训_第2页
入侵检测培训_第3页
入侵检测培训_第4页
入侵检测培训_第5页
资源描述:

《入侵检测培训》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、入侵检测基础培训培训内容第一部分入侵检测技术原理第二部分组件简介第一部分入侵检测技术原理什么是入侵检测入侵检测(IntrusionDetection),顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。入侵检测系统能帮助您做什么监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报

2、警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为为什么需要入侵检测网络攻击的破坏性、损失的严重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击入侵检测存在的必然性关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得网络攻击事件成倍增长网络安全工具的特点名称优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,对新的攻击模式需要反应时间Sca

3、nner简单可操作,帮助系统管理员和安全服务人员解决实际问题功能单一VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一入侵检测系统的分类一般来说,入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。通常是将一台机子的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断

4、。一般网络型入侵检测系统担负着保护整个网段的任务。注明:以下本文提到的“入侵检测系统”专指基于网络的入侵检测系统。基于网络的入侵检测系统InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-basedIDSNetwork-basedIDSNetwork-basedIDS基于网络的入侵检测系统(NIDS)的工作原理NIDS在网络上被动的、无声的收集它所关心的报文。对收集来的报文,入侵检测系统提取相应的流量

5、统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是攻击或者网络的滥用和误用行为,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。NIDS工作原理示意图InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容:包头信息+有效数据部分NIDS的系统结构一般来说,NIDS有两大部分组成入侵检测引擎管理控制台NIDS的检测技术模式匹配异常检测协议分析NIDS的检测技术模式匹配模式匹配就是将收集到的信息与已知的网络入侵和

6、系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该过程可以很简单,也可以很复杂。优点:这种检测方法只需收集相关的数据集合就能进行判断,能减少系统占用,并且技术已相当成熟,检测准确率和效率也相当高。缺点:随着攻击签名库的不断增大运算量越来越大;该技术需要不断进行升级以对付不断出现的攻击手法,并且不能检测未知攻击手段。NIDS的检测技术异常检测异常检测首先给系统对象(用户、文件、目录和设备等)创建一个统计描述,包括统计正常使用时的测量属性,如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较

7、,当观察值在正常值范围之外时,IDS就会判断有入侵发生。优点:可以检测到未知入侵和复杂的入侵。缺点:误报、漏报率高。NIDS的检测技术协议分析协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测技术。它充分利用了网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在,这种技术正逐渐进入成熟应用阶段。优点:协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有的数据包。第二部分组件简介NIDS产品组件的组成控制台(Console)EventCollector(事件

8、收集器)LogServerSensor(传感器)Report(报表查询工具)DB(数据库)NIDS产品组件的组成NetworkDefendersConsoleAsset fileConsoleEnterpriseDatabaseSensoradaptorsAPPserverr

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。