特征检测系统.ppt

《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 第10章 内容概要 10.1 基本概念 10.2 网检和机检 10.3 特征检测 10.4 统计分析 10.5 行为推理 10.6 蜜罐系统 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 蜜罐系统 定义: 用设备，系统，目录或文件作为诱饵，引诱攻击者，使真正重要的主机和系统免于攻击，并收集入侵者行为 帮助用户找到敌人 牺牲自己，保全真正主机系统不受攻击 IDS = 守卫 Decoy System = 蜜罐 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 蜜罐系统种类 1990开发出来 连在局域网内的主机，有真正的 IP 地址 需要与操作系统进行高层互动并且用相当的精力去维护 1990’s后期，软件技术逐渐成熟， 容易配置 需要低层互动 常用的虚拟蜜罐系统Honeyd, KFSensor, CyberCop Sting … 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 互动层次 低层互动： 运行蜜罐主机的服务端程序只能往主机的硬盘上写入信息 中层互动： 运行蜜罐主机的服务端程序只能往主机的硬盘上读出和写入信息 高层互动： 运行蜜罐主机的服务端程序可以和主机的操作系统互动，并通过操作系统与主机硬盘和其他系统资源互动 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 蜜罐系统的功能和刻画 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 Honeyd 是并行运行虚拟IP协议集合的软件引擎 在网络层上建构虚拟蜜罐系统提供了结构简易的框架 能够模拟标准网络服务在不同的虚拟主机系统上运行不同的操作系统 能检测并清除蠕虫， 分散入侵者注意力，阻止垃圾邮件的传播 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 Honeyd 结构示意图 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 Honeyd 个性化引擎 A block diagram of Honeyd architecture 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 其它系统 MWCollect 计划 Honeynet计划 Honeywall CDROM Sebek 高层互动分析工具包 (HIHAT) HoneyBow 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 第10章 入侵检测系统 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 第10章 内容概要 10.1 基本概念 10.2 网检和机检 10.3 特征检测 10.4 统计分析 10.5 行为推理 10.6 蜜罐系统 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 入侵检测系统基本概念 什么是入侵? 例如，入侵者获取Alice的用户名和密码来假冒 Alice 入侵者为黑客，获取合法用户登录信息并且假冒他们 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 观测 (始于1980’s中期) 入侵者行为与合法用户具有不同的行为 这些行为可以通过定量的方法测量出来 入侵检测: 尽快的识别出已发生或正在发生的入侵者行为 收集入侵证据 常用手段: 检测不正常行为 怎样构造一个自动检测工具去发现这些入侵行为? ? 入侵检测系统(IDS) 入侵检测系统基本概念 《计算机网络安全的理论与实践（第3版）》. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年 基本方法 设立系统日志并分析之 如果日志文件较小