INFORATION SECURITY COURSE AND LABORATORIES 資訊安全課程.pptx

下载文档 降价啦

3
0
约7.74千字
约 35页
2018-06-26 发布于福建
举报
版权申诉
保障服务

INFORATION SECURITY COURSE AND LABORATORIES 資訊安全課程.pptx

1、本文档共35页，可阅读全部内容。
2、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

INFORATION SECURITY COURSE AND LABORATORIES 資訊安全課程

Information Security Fundamentals and Practices資訊安全概論與實務;入侵偵測與防禦系統;入侵偵測與防禦;比對特徵為主的 (signature-based) 偵測：在資訊流裡比對惡意攻擊的特徵；這些特徵的資料庫需要經常更新。異常狀況為主的 (anomaly-based) 偵測：定義何為異常狀況後，依照定義做資訊流監視。協定狀態分析 (stateful protocol analysis)：依廠商提供的原則進行監視。;已知的威脅能被找到一些固定的特徵 (signatures)。而特徵偵測是將這些特徵與偵測到的事件做比對，以識別可能的安全事故。例如，假設已知一封主題為「生日快樂」且有附檔 gift.exe 的電子郵件為惡意攻擊，IDPS 會過濾接收到的的電子郵件，符合者就予以刪除。特徵偵測對偵測已知的威脅非常有效；但無法偵測原先不瞭解的威脅或是改裝後的已知威脅。上面例子的附檔名若被攻擊者改為 gift2.exe，那麼 IDPS 可能在比對 gift.exe 特徵不符而放這個電子郵件通過。特徵偵測是最簡單的一種方法，因為 IDPS 只是將眼前的一個封包或一筆記錄與資料庫內的特徵做比對，卻不了解網路或應用的協定，也無法追蹤狀態改變。;異常狀況 (anomaly) 為主的偵測是將觀察到的事件與定義中的「正常活動」做比較，以期找出重要的差異。使用者、主機、應用與網路的正常活動都定義在一個描述檔 (profile) 內，它是在監視正常活動一段時間後所記錄下來的系統特性。描述檔裡可以記錄各種有用的正常活動統計數據，像是一段時間內組織發出和接收的電子郵件數目，每台主機的 CPU 平均使用率，以及 VPN 登入失敗的平均次數等。異常偵測最大的好處就是可以偵測原先不瞭解的威脅。例如有一個新型病毒入侵，IDPS 無法做已知病毒的特徵比對，但因為該病毒對外狂發電子郵件造成 CPU 使用率大增，而被偵測到異常狀況。;協定狀態分析 (stateful protocol analysis) 是將觀察到的事件與協定的預先定義之正常狀態做比較，以期找出重要的差異。異常偵測使用自己的主機或網路所產生的特定描述檔；而協定狀態分析則依靠廠商提供的描述檔，說明特定的協定該如何被使用。「狀態的 (stateful) 」表示這種 IDPS 可以瞭解與追蹤網路層、傳輸層、與應用層的各種協定以及它們的各種狀態。例如一位使用者啟動了 FTP。在檢查身分與密碼前，使用者在「未經認證」的狀態，所以許多活動是不被允許的。攻擊者使用各種方法欺騙 FTP 伺服器，但因 IDPS 瞭解使用者還在未經認證的狀態，攻擊者無法得逞。協定狀態分析法的最大缺點是耗費運算資源，因為它需要追蹤狀態並進行複雜的分析。另一個問題是它查不到沒有違背協定的攻擊，例如在很短的時間內進行極大量符合協定的通訊，而造成 DoS。;若 IDPS 將正常的活動誤判為惡意是第一類錯誤，或稱誤殺。若 IDPS 將惡意的活動誤判為正常是第二類錯誤，或稱誤放。調節入侵偵測靈敏度可以改變第一與第二類的錯誤率；最佳靈敏度應該在兩條曲線的交點，稱做交點錯誤率 (crossover error rate, CER) 。;管理員要能夠調節界定正常與異常的門檻值 (threshold)。例如「當流量超過 1 Mbps 且持續了半分鐘，IDPS 就給管理員發出異常警告」這個規則中的「 1 Mbps 」與「半分鐘」都是可以調節的門檻。管理員要能將一些已知有風險的主機、連接埠、應用或使用者記入黑名單 (black list)；已知安全者記入白名單 (white list)。加入已知的訊息可以降低 IDPS 的第一與第二類的錯誤率。管理員要能夠訂定 IDPS 的警示系統。例如可以開啟或關閉警示系統，設定優先順序，與選擇警示方式 (電子郵件通知或收機簡訊等)。管理員最好能夠看到與偵測有關的程式，有助於瞭解為什麼一個事件會被判斷為惡意攻擊。部分 IDPS 允許使用者修改部分的程式，以符合組織的安全政策需求。;阻止攻擊本身：例如，當 IPS 偵測到攻擊後，可以採取以下的步驟。1. 先結束被利用做攻擊的網路連結或使用者會談。2. 阻擋發動攻擊的使用者帳號、IP 位址、或其它屬性，讓攻擊者不能存取攻擊目標。3. 全面阻擋攻擊者，讓他不能存取系統及網路的任何資源。改變安全環境：IPS 可以藉由改變其它安全控制來中斷攻擊；常見的例子是改變防火牆或路由器的設定，來阻擋攻擊者對攻擊目標的存取。當察覺系統沒有安裝補丁時，有的 IPS 還可以啟動系統更新。改變攻擊的內容：有的 IPS 可以刪除攻擊的惡意部分；一個簡單的例子是刪除電子郵件上受病毒感染的附件後，讓乾淨的郵件通過。;IDPS 的