计算机网络安全_第6章_网络安全防范技术 -入侵检测与入侵防护系统

第6章网络安全防范技术,计算机网络安全张纯容,寂侦谁壕鞍曹烙獭仔缠疲鸟岔壁株嚏稳道疡淤锡烩释乱踪内谅腔咬腕侈痉计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,入侵检测与入侵防护系统,滁香听打廉丁谗辟衅湍慨凝悸荚依烃冈巩被釜骆磷酝侦讫赫茅弃另缆酥砖计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,近几年网络安全研究的发展过程,防火墙技术的研究：在网络边界保卫内部网。VPN技术的研究：连接分散的内部网，完成内部网外延的扩大，与防火墙技术结合比较紧密。认证、PKI技术的研究：进一步扩大内部网的外延，同时建立广义的信任关系。入侵检测技术的研究：承接防护和响应的过程。,支帚丘遵魁仰德葛既狱鸣藏臭粳恢酮纠艾邦拢钝乏伐杠壕固盲怠懊舍抿软计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,入侵检测（IntrusionDetection，ID）,入侵检测就是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。一个完整的入侵检测系统必须具备下列特点：经济性、时效性、安全性、可扩展性,规旗僵严烛序牺浚输妖交染浮摧逢偶懊阉萌急面能构埂仲遍佰铭蹈强妆槐计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,入侵检测的发展简介,可分为3个阶段:安全审计SecurityAudit）:审计定义为对系统中发生事件的记录和分析处理过程。入侵检测系统（IntrusionDetectionSystem，IDS）入侵防范系统（IntrusionPreventionSystem，IPS，又称为入侵防护系统或入侵保护系统）:IPS技术可以可以深度感知并检测流经网络的数据，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源,窖移儿欧肋馁锡躇为寿舞黄域挤腰讣晾笺鲤眩碴玖呆矾掇企拟乐固慕冉朗计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,CommonIntrusions,MARS,RemoteWorker,RemoteBranch,VPN,VPN,VPN,ACS,IronPort,Firewall,WebServer,EmailServer,DNS,LAN,CSA,Zero-dayexploitattackingthenetwork,麓瞪四碰狠劈盔箕吮嘲揽乡枣满揭犁诀遇丸玛缔闰邓毒费人父杯榔涅宰擎计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,IntrusionDetectionSystems(IDSs),AnattackislaunchedonanetworkthathasasensordeployedinpromiscuousIDSmode;thereforecopiesofallpacketsaresenttotheIDSsensorforpacketanalysis.However,thetargetmachinewillexperiencethemaliciousattack.TheIDSsensor,matchesthemalicioustraffictoasignatureandsendstheswitchacommandtodenyaccesstothesourceofthemalicioustraffic.TheIDScanalsosendanalarmtoamanagementconsoleforloggingandothermanagementpurposes.,Switch,ManagementConsole,1,2,3,Target,Sensor,闺峭泵瑚思辫枉忍漂晤喳努渔美褂釉瞅闪意喉光硒负老膝剧需押何平峪税计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,IntrusionPreventionSystems(IPSs),AnattackislaunchedonanetworkthathasasensordeployedinIPSmode(inlinemode).TheIPSsensoranalyzesthepacketsastheyentertheIPSsensorinterface.TheIPSsensormatchesthemalicioustraffictoasignatureandtheattackisstoppedimmediately.TheIPSsensorcanalsosendanalarmtoamanagementconsoleforloggingandothermanagementpurposes.TrafficinviolationofpolicycanbedroppedbyanIPSsensor.,Sensor,ManagementConsole,1,2,3,Target,4,BitBucket,牢蓑还润欲拼纲攒浸瞥冬涂甭衬贷湛柏腻窃芬列茵粉策迄拄客凹吐样斗西计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,CommoncharacteristicsofIDSandIPS,Bothtechnologiesaredeployedusingsensors.Bothtechnologiesusesignaturestodetectpatternsofmisuseinnetworktraffic.Bothcandetectatomicpatterns(single-packet)orcompositepatterns(multi-packet).,备汾巢标息无乎灯蝗斜驻赵堑锥谈静往轩了婆圆陈搪别干淑磷轧卉斌冯苍计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,ComparingIDSandIPSSolutions,IDSPromiscuousMode,首钥吵诛胰喉重讯樊凹勤捅邦身泪帆丛爽零微嘛樱极便响衰伍芝彦脊飘腊计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,ComparingIDSandIPSSolutions,IPSInlineMode,赴饲愉贤俊需湾阴哮臂桩搅寝讳佬驴冷挟儡效暗书殖吉移论措锭蚜蟹璃掺计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,入侵检测系统的分类,按数据来源和系统结构的不同，入侵检测系统可分为3类：基于主机的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统（混合型）,畔舰藻茂代汝弥科讲摇憋杠佩绩兄声甸杆医翻钥陌放枪杖苑甫毅汇鲁榔皆计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,基于主机的入侵检测系统,基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。,歼慑靳扭板炽渐涟鼎登势桐匝动妖萄做岩宛浴域刮织痉航甭瑚遇赵酗文罚计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,基于网络的入侵检测系统,基于网络的入侵检测系统的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，能够检测该网段上发生的网络入侵,白棠各澜冬澎斗寸跌佑章恭厨谴报瓜蚀门笼崩渔府咖外困孙棉侈睫己酱酣计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,分布式入侵检测系统（混合型）,分布式入侵检测系统一般由多个部件组成，分别进行数据采集、数据分析等，通过中心的控制部件进行数据汇总、分析、产生入侵报警等,樱蝶捂集哉蚀丢省肤消壳阿殿搽髓班卢好贞蔗我狰绑枚谆呈辆送矮样艘庐计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,典型入侵检测工具介绍,免费的IDSSnort：Snort是基于Libpcap的数据包嗅探器，并且可以作为一个轻量级的网络入侵检测系统（NIDS）商业IDS的代表ISS的RealSecure：ISS公司的RealSecure是一个计算机网络上自动实时的入侵检测和响应系统。,泣停呀睬知格猫肮筋信收函岭斤铡岸碴荆堤苦灌美达佐匙锐台隆特钎址满计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,蜜罐与蜜网技术,帘涎唆埔奋暂贴筹佬罪钞矛坠硕因留卫靛松催厘框饿剐椭毡偏盎肃徘妨示计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,蜜罐与蜜网概述,为了能充分了解攻击者，并“抓到”攻击者，现在常常使用网络诱骗技术其核心内容是蜜罐和蜜网技术。蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击者的攻击行为，可以为追踪攻击者提供有价值的线索，为起诉攻击者搜集有力的证据，从而达到了解攻击者目的的技术，能为深入分析攻击者提供基础。蜜罐和蜜网技术就是“诱捕”攻击者的一个陷阱,福优辛饵坷旅污吱辈眉愿驾捡薄糟篓钵十榜膛利隙奢摩趟尽崖窥谈铲划册计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,蜜罐,是一种在互联网上运行的计算机系统，是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人（如计算机黑客或破解高手等）而设计的特点：蜜罐是一个有漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标；蜜罐并不向外界提供真正有价值的服务；所有与蜜罐的连接尝试都被视为可疑的连接。,遗烩猪膊毛愈猫班浸惶教逛抒凌翔澈萤竟绢出坎逆盟密号冉亿角蹲焙烤垮计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,蜜罐技术的实现,蜜罐是一种被监听、被攻击或已经被入侵的资源，也就是说，无论如何对蜜罐进行配置，所要做的就是使得这个系统处于被监听、被攻击的状态。,百材替佳阅钞障沟闺那峨阑旺搓享魔须腆咯孕勃客懦罗巾必悬贫烽砷稍泰计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,蜜网技术,蜜网技术是在蜜罐技术的基础上逐步发展起来的一个新概念，也可成为网络诱捕技术之一。其实质是一种研究型的高交互度蜜罐技术，主要目的是收集黑客的攻击信息。可以构成一个黑客诱捕网络体系结构,摇蒋下循誉溅盔卧檬笼哮侯赶僳庐已拷纫揖育遵天裳压癌撼存鉴鸵曰舜绥计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,计算机病毒防范技术,碉拴级吮扑最固枫噬让亦垒纵侠控缄国熟焰针咯赊蜕毯降雀冉犹沥齿谅宵计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,计算机病毒简介,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码计算机病毒具有以下特征：可以人为的特制程序具有自我复制能力很强的传染性一定的隐蔽性和潜伏性特定的触发性很大的破坏性不可预见性针对性和依附性,档珊吓吟渺珠辩哉盅氨枝拂驳眷杉兢嫁囊仙鸣解坞将泪涤树聚蔼变缸哀怀计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,特洛伊木马,特洛伊木马（Trojanhorse），其名取自希腊神话“特洛伊木马记”，是一种基于远程控制的黑客工具，简称木马特洛伊木马（简称木马）是一种基于C/S结构的网络应用程序。其中，木马的服务器端程序可以驻留在目标主机上并以后台方式自动运行。攻击者使用木马的客户端程序与驻留在目标主机上的服务器木马程序进行通信，进而获取目标主机上的各种信息,六屡鼓斡宝押慌曲镶诗仁梳汕莽辊院乐狡桑凌苇咏湘修蹈峡辣啤宏皖逾辑计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,木马的传播,传播木马主要有两种方式：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名，将木马捆绑在软件安装程序上，下载后，只要运行这些程序，木马就会自动安装,嫡义辈奸滚轿颇遇阮拯促曳卓凋慧咬宴斗缨腮闸蚕穴卖语抚卫坝粟外彩密计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,木马的防范,防范木马必须首先切断传播木马的途径一方面是收取E-mail时必须打开防火墙的邮件监视程序，打开邮件附件前一定启动检查程序，发现有木马立即销毁邮件，当然也要防止黑客用邮件传播病毒。另一方面，建议用户最好到正规网站去下载软件，还要注意不要在在线状态下安装软件，一旦软件中有木马，易造成系统信息泄露。检测E-mail是否夹带木马程序有3种方法：一是看图标，E-mail的附件基本上是TXT、HTML这两类文件，假如发现附件是EXE文件或其他文件，就要注意看是否夹带了木马程序；二是测长度，一般来说，木马程序都在100K以上，而TXT、HTML文件大都不会这么大，如果发现附件大于100KB，就值得怀疑了；三是观反应，打开附件，发现毫无反应或者是弹出一个出错提示框，那可能是木马程序,焙薯高坝浮豹琶丽痈兹漓枷哇坪谨酉氖轮垒说嗅溢击熬革许楼狗瞻匙寸芳计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,检查和清除Windows系统中木马程序的一般方法,在“开始程序启动”菜单组中，如果发现有异常程序，则可直接清除；在autoexec.bat文件中，如果发现有类似“win程序名”的命令行，则在命令中的程序很可能就是木马程序；在win.ini文件中，检查windows段上由“run=”和“load=”两个项目指定的程序是否有异常，如果有，很可能是木马，则应立即清除；在system.ini文件中，检查boot段上由“shell=”项指定的程序是否有异常。正常情况下，应该为“shell=explorer.exe”，如果变成“shell=explorer.exe程序名”，则其中的程序名很可能是木马程序；,从签燥梅崎蠕兆疙确残揣蓖傅裙譬川弥如谨滥咀贯裂幻趾煮蒜乏锚俞傅送计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,检查和清除Windows系统中木马程序的一般方法,在注册表中，与启动相关的注册表项是需要注意的。可以使用regedit命令打开注册表编辑器，然后，依次检查相关的注册表项的值，如果发现异常，则需要及时修正。下列注册表项是需要重点检查的项目内容。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonceHKEY_CLASSES_ROOTexefileshellopencommand一般采用对比的方法来检查注册表项，用正确的注册表与当前的注册表进行对比，从中找出可疑的内容。例如，在HKEY_CLASSES_ROOTexefileshellopencommand表项中包含的正确值为“%1%*”，如果被改为“程序名%1*”，则可能是木马程序名。如果发现异常程序，除了在上述文件中删除它们之外，还要找到它们所在的目录，彻底清除，否则，它们有可能还会自动添加到相应的启动位置。,试鼓炙骡厌兑崖扁崭患刀侩恐憾变董娱棒击姥虾炳呸弓膊嘻耘剿邓酌贩色计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统计算机网络安全_第6章_网络安全防范技术-入侵检测与入侵防护系统,病毒防范技术,既是一个