第6章网络防护(一) 66入侵检测 6.7 snorts系统
第6章 网络防护(一) 6.6 入侵检测 6.7 snorts系统
主要内容 安全策略与安全网络设计 °路由器 防火墙 虚拟专用网(vPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
6.6入侵检测 操作系统安全增强技术和防火墙技术应运 而生。但这些作为静态的安全防御技术, 对网络环境下日新月异的攻击手段缺乏主 动的反应。因此作为动态的网络安全防御 技术,入侵检测提供了对内部攻击、外部 攻击的实时保护,使得网络系统在受到危 害之前拦截和响应入侵,为网络安全人员 提供了主动的防御手段
6.6 入侵检测 • 操作系统安全增强技术和防火墙技术应运 而生。但这些作为静态的安全防御技术, 对网络环境下日新月异的攻击手段缺乏主 动的反应。因此作为动态的网络安全防御 技术,入侵检测提供了对内部攻击、外部 攻击的实时保护,使得网络系统在受到危 害之前拦截和响应入侵,为网络安全人员 提供了主动的防御手段
661IDS的基本概念 入侵检测是监测计算机网络和系统以发现 违反安全策略事件的过程。入侵检测系统 (IDS, Intrusion Detection Systems)是实现 入侵监测的系统,一般位于内部网的入口 处,安装在防火墙的后面,用于检测外部 入侵者的入侵和内部用户的非法活动 般的入侵检测模型如图6-33所示
6.6.1 IDS的基本概念 • 入侵检测是监测计算机网络和系统以发现 违反安全策略事件的过程。入侵检测系统 (IDS,Intrusion Detection Systems)是实现 入侵监测的系统,一般位于内部网的入口 处,安装在防火墙的后面,用于检测外部 入侵者的入侵和内部用户的非法活动。 • 一般的入侵检测模型]如图6-33所示
图6-33入侵检测模型 审计/网络数据 事件产生器 常记录 活动 Profile 规则集 更新 Profile 更新 更新
图6-33 入侵检测模型 更新Profile 异常记录 更新 更新 审计/网络数据 事件产生器 活动Profile 规则集
662DS检测的活动 般来说,IDS系统检测的各种活动包括: 入侵,包括入侵企图和成功的入侵;伪装; 合法用户的渗透;合法用户的泄露;合法 用户的推断;特洛伊木马;病毒;拒绝服 务
6.6.2 IDS检测的活动 • 一般来说,IDS系统检测的各种活动包括: 入侵,包括入侵企图和成功的入侵;伪装; 合法用户的渗透;合法用户的泄露;合法 用户的推断;特洛伊木马;病毒;拒绝服 务
(1)入侵 它是对计算机系统最常见的威胁,并在各 种新闻媒体中常有黑客对某个计算机系统 或网络入侵的报道。入侵就是非授权用户 通过某种方法获得系统或网络的访问权, 而对系统和网络进行的非法访问。只对审 计文件中针对系统失败的登录企图还是不 够的,因为合法用户也经常出现输入密码 错误而出现登录失败。列出失败的登录企 图只是IDS系统要做第一步
(1)入侵。 • 它是对计算机系统最常见的威胁,并在各 种新闻媒体中常有黑客对某个计算机系统 或网络入侵的报道。入侵就是非授权用户 通过某种方法获得系统或网络的访问权, 而对系统和网络进行的非法访问。只对审 计文件中针对系统失败的登录企图还是不 够的,因为合法用户也经常出现输入密码 错误而出现登录失败。列出失败的登录企 图只是IDS系统要做第一步
(2)伪装 伪装和入侵通常是密不可分的,它常表现 为一个非法用户为了获得某个用户的帐号 而假冒该用户;它也经常表现为假冒另 个用户,对发往某个用户的文件或消息进 行修改。 (3)合法用户的渗透。它与入侵有些类似, 表现为一个系统或网络的合法用户试图获 得超过其本身被授予的权限。例如,一个 用户试图获得系统管理员的权限
(2)伪装。 • 伪装和入侵通常是密不可分的,它常表现 为一个非法用户为了获得某个用户的帐号 而假冒该用户;它也经常表现为假冒另一 个用户,对发往某个用户的文件或消息进 行修改。 • (3)合法用户的渗透。它与入侵有些类似, 表现为一个系统或网络的合法用户试图获 得超过其本身被授予的权限。例如,一个 用户试图获得系统管理员的权限
(4)合法用户的泄漏 这是在多级安全系统中最为令人关注的问 题。例如,拥有对最高密级信息访问权的 用户向只有访问一般保密级别信息的用户 传送文件时,就要受到IDS系统的检测。合 法用户的泄露也常常表现为在没有访问文 件资格的用户的打印机上打印文件,或者 在没有处理文件权利的机器上存储文件等
(4)合法用户的泄漏。 • 这是在多级安全系统中最为令人关注的问 题。例如,拥有对最高密级信息访问权的 用户向只有访问一般保密级别信息的用户 传送文件时,就要受到IDS系统的检测。合 法用户的泄露也常常表现为在没有访问文 件资格的用户的打印机上打印文件,或者 在没有处理文件权利的机器上存储文件等
(5)合法用户的推理 它表现为通过对某些数据的分析而获得真 实信息,而用户原本没有获得这些信息的 权利。这是在多级数据库中常见的问题。 数据库中有的存储数据并不是对所有用户 开放的,然而用户通过从数据库中的其他 条目能够间接地推理出某些信息
(5)合法用户的推理。 • 它表现为通过对某些数据的分析而获得真 实信息,而用户原本没有获得这些信息的 权利。这是在多级数据库中常见的问题。 数据库中有的存储数据并不是对所有用户 开放的,然而用户通过从数据库中的其他 条目能够间接地推理出某些信息
