- 1、本文档共133页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全技术入侵检测技术 信息安全技术入侵检测技术 分布式检测的优缺点 优点: 实时告警 实时响应 缺点: 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据 信息安全技术入侵检测技术 操作模式 操作主机入侵检测系统的方式 警告 监视 毁坏情况评估 遵从性 信息安全技术入侵检测技术 基于主机的技术面临的问题 性能:降低是不可避免的 部署/维护 损害 欺骗 信息安全技术入侵检测技术 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题 信息安全技术入侵检测技术 基于网络的检测威胁 非授权访问 数据/资源的窃取 拒绝服务 信息安全技术入侵检测技术 基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的传感器(Sensor)组成,传感器会向中央控制台报告。传感器通常是独立的检测引擎,能获得网络分组、找寻误用模式,然后告警。 传统的基于传感器的结构 分布式网络节点结构 信息安全技术入侵检测技术 传统的基于传感器的结构 传感器(通常设置为混杂模式)用于嗅探网络上的数据分组,并将分组送往检测引擎 检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上,每个网段一个 信息安全技术入侵检测技术 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器 嗅探器 分析结果 基于网络的入侵检测系统模型 信息安全技术入侵检测技术 分布式网络节点结构 为解决高速网络上的丢包问题,1999年6月,出现的一种新的结构,将传感器分布到网络上的每台计算机上 每个传感器检查流经他的网络分组,然后传感器相互通信,主控制台将所有的告警聚集、关联起来 信息安全技术入侵检测技术 数据采集构件 应急处理构件 通信传输构件 检测分析构件 管理构件 安全知识库 分布式入侵检测系统结构示意图 信息安全技术入侵检测技术 基于网络的入侵检测的好处 威慑外部人员 检测 自动响应及报告 信息安全技术入侵检测技术 基于网络的技术面临的问题 分组重组 高速网络 加密 信息安全技术入侵检测技术 基于异常的入侵检测 思想:任何正常人的行为有一定的规律 需要考虑的问题: (1)选择哪些数据来表现用户的行为 (2)通过以上数据如何有效地表示用户的行为,主要在于学习和检测方法的不同 (3)考虑学习过程的时间长短、用户行为的时效性等问题 信息安全技术入侵检测技术 数据选取的原则 (1)数据能充分反映用户行为特征的全貌 (2) 应使需要的数据量最小 (3) 数据提取难度不应太大 信息安全技术入侵检测技术 NIDS抓包 PF_PACKET 从链路层抓包 libpcap 提供API函数 winpcap Windows下的抓包库 信息安全技术入侵检测技术 分析数据包 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Unicode XML 信息安全技术入侵检测技术 模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....P.b2.A:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http://www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 ./p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 74
文档评论(0)