版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络与信息安全技术
第十一讲
入侵检测华中科技大学软件工程硕士课程网络入侵基本步骤
第一步踩点利用经验和工具分析对方的网络结构和组织信息WHOIS查询DNS查询Hosttracerouter
第二步扫描使用端口扫描工具(猜测操作系统类型)NmapSuperScanX-Scan……..漏洞扫描端口CGI漏洞(避开IDS)RPC漏洞SQL-Server漏洞NT弱口令,FTP账户,NETBIOS信息………….
第三步攻击缓冲区溢出输入验证漏洞应用程序漏洞或者配置错误漏洞暴力猜解密码拒绝服务攻击信任关系欺骗攻击(客户机攻击模式)……
第四步清除日志清除系统日志SysLogd(/var/log)%WINNT%\system32\config\….清除应用程序日志${prefix}/logs/%WINNT%\system32\logfiles\…..湮没日志……
第六步隐藏自己隐藏的win32服务NTFS流文件LoadableKernelModulesDLL和动态嵌入技术…..
第七步后门LoginBackdoorBindshellCGIBackdoorPingBackdoorACKBackdoorDatabaseBackdoorAapacheBackdoor……
入侵检测系统IDS为什么需要IDS?Firewall是网络边界的设备,自身可能被攻破不是所有的威胁来自防火墙外部,85%以上的攻击事件来自于内部的攻击,防火墙只能防外,难于防内。IDS的功能检测攻击,包括外部攻击或试探、内部用户的未授权访问、误操作;实现原理:从系统的关键点收集信息,并分析这些信息是否有违反安全策略的行为和遭到攻击的迹象。
入侵检测系统结构数据采集(Sensor)分析器知识库响应/控制响应政策
配置信息告警控制远程管理
主要功能模块信息收集:包括用户在网络、系统、数据库以及应用系统中活动的状态和行为。信息分析:通过模式匹配、统计分析和完整性分析,得到实时检测所必须的信息。安全响应:在发现入侵行为后会及时作出响应,包括中止网络服务、记录事件、报警和阻断等。
入侵检测系统分类基于主机的入侵检测系统Host-BasedIDS(HIDS)通常安装在被保护的主机上,对该主机的网络实时连接以及系统审计日志进行检查和分析;缺点:占用系统资源;事后分析,实时性差;异构平台支持困难基于网络的入侵检测系统Network-BasedIDS(NIDS)安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据包进行分析和检测。缺点:数据量庞大,存在丢包问题;监测范围有限,不能结合操作系统特征分析攻击行为;
基于网络的入侵检测RouterIDSSensorMonitoredServersWANLAN
基于网络的入侵检测HUBIDSSensorMonitoredServersWANLAN
混合分布式入侵检测系统主机主机流量
分析器主机Agent管理器网络Agent流量
分析器主机主机
检测模型1误用检测
根据已知的攻击方法或系统安全缺陷方面的知识,建立特征数据库,然后在收集到的网络活动中寻找匹配的使用模式—特征匹配/检测,准确率高但只能检测已知的攻击。
0050dac6f2d600b0d04dcbaa08004500015731054000800600000a0a0231d850数据包:dac6f2d6攻击特征:发现攻击,报警!特征模式匹配技术缺陷
计算的负载计算量大,消耗系统资源:攻击特征字节数×数据包字节数×每秒的数据包数×数据库的攻击特征数;探测准确性只能探测出明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
误用检测技术2
利用网络协议的高度规则性快速探测攻击的存在。解析命令字符串:在不同的上层应用协议上,对每一个用户命令作出详细分析。探测碎片攻击和协议确认:如果出现IP碎片设置,数据包将首先被重装,然后详细分析来了解潜在的攻击行为。通过重装数据包,系统可以检测到利用IDS逃避技术的攻击手段。协议分析
IDS的评价标准性能测试:衡量IDS在高负荷条件下的运行情况,如数据包截获和过滤的速度,是否丢包,检测引擎的总体吞吐量功能测试:衡量IDS自身功能特征的强大程度,如系统架构是否支持可扩展性,是否支持规则定制,警报系统功能是否强大,是否提供强大友好的报表功能。用户可用性测试:衡量操作界面友好性,如界面设计是否合理、使用是否方便。入侵检测系统举例—Snort系统
免费NIDS基于GPL最新版本
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 护士执业资格考试模拟试卷1
- 2024年DH(DHP)离心压缩机项目建议书
- 2024年家用塑料垫合作协议书
- 2024年工业清洗清理设备:工业吸尘设备合作协议书
- 山东省烟台市2025届高考适应性练习语文试题及答案解析
- 江苏省扬州市(2024年-2025年小学四年级语文)人教版期中考试(上学期)试卷及答案
- 某酒店工程部规章制度
- 新学期的计划范例集合八篇
- 《这里是中国》读后感
- 新学期计划汇编七篇范文
- 2024海南天涯人力资源管理服务限公司招聘30人历年(高频重点提升专题训练)共500题附带答案详解
- 注意力聚焦与人机交互设计
- 新课标PEP小学英语三年级上册全册教案
- 大型设备平移方案
- 学校食堂消毒知识与方法培训
- 2024-2029年结构健康监测行业市场现状供需分析及重点企业投资评估规划分析研究报告
- (正式版)HGT 6313-2024 化工园区智慧化评价导则
- 河北开放大学2024年《应用写作》形考作业1-4答案
- 通信行业服务意识培训课件
- 景德镇研学活动方案
- 北京市海淀区实验中学2023-2024学年七年级上学期月考数学试题含答案
评论
0/150
提交评论