主要内容 安全策略与安全网络设计 °路由器 防火墙 虚拟专用网(vPN) ·蜜罐技术 入侵检测 snort系统介绍
主要内容 • 安全策略与安全网络设计 • 路由器 • 防火墙 • 虚拟专用网(VPN) • 蜜罐技术 • 入侵检测 • snort系统介绍
6.6入侵检测 操作系统安全增强技术和防火墙技术应运 而生。但这些作为静态的安全防御技术, 对网络环境下日新月异的攻击手段缺乏主 动的反应。因此作为动态的网络安全防御 技术,入侵检测提供了对内部攻击、外部 攻击的实时保护,使得网络系统在受到危 害之前拦截和响应入侵,为网络安全人员 提供了主动的防御手段
6.6 入侵检测 • 操作系统安全增强技术和防火墙技术应运 而生。但这些作为静态的安全防御技术, 对网络环境下日新月异的攻击手段缺乏主 动的反应。因此作为动态的网络安全防御 技术,入侵检测提供了对内部攻击、外部 攻击的实时保护,使得网络系统在受到危 害之前拦截和响应入侵,为网络安全人员 提供了主动的防御手段
661IDS的基本概念 入侵检测是监测计算机网络和系统以发现 违反安全策略事件的过程。入侵检测系统 (IDS, Intrusion Detection Systems)是实现 入侵监测的系统,一般位于内部网的入口 处,安装在防火墙的后面,用于检测外部 入侵者的入侵和内部用户的非法活动 般的入侵检测模型如图6-33所示
6.6.1 IDS的基本概念 • 入侵检测是监测计算机网络和系统以发现 违反安全策略事件的过程。入侵检测系统 (IDS,Intrusion Detection Systems)是实现 入侵监测的系统,一般位于内部网的入口 处,安装在防火墙的后面,用于检测外部 入侵者的入侵和内部用户的非法活动。 • 一般的入侵检测模型]如图6-33所示
图6-33入侵检测模型 审计/网络数据 事件产生器 常记录 活动 Profile 规则集 更新 Profile 更新 更新
图6-33 入侵检测模型 更新Profile 异常记录 更新 更新 审计/网络数据 事件产生器 活动Profile 规则集
662DS检测的活动 般来说,IDS系统检测的各种活动包括: 入侵,包括入侵企图和成功的入侵;伪装; 合法用户的渗透;合法用户的泄露;合法 用户的推断;特洛伊木马;病毒;拒绝服 务
6.6.2 IDS检测的活动 • 一般来说,IDS系统检测的各种活动包括: 入侵,包括入侵企图和成功的入侵;伪装; 合法用户的渗透;合法用户的泄露;合法 用户的推断;特洛伊木马;病毒;拒绝服 务
(1)入侵 它是对计算机系统最常见的威胁,并在各 种新闻媒体中常有黑客对某个计算机系统 或网络入侵的报道。入侵就是非授权用户 通过某种方法获得系统或网络的访问权, 而对系统和网络进行的非法访问。只对审 计文件中针对系统失败的登录企图还是不 够的,因为合法用户也经常出现输入密码 错误而出现登录失败。列出失败的登录企 图只是IDS系统要做第一步
(1)入侵。 • 它是对计算机系统最常见的威胁,并在各 种新闻媒体中常有黑客对某个计算机系统 或网络入侵的报道。入侵就是非授权用户 通过某种方法获得系统或网络的访问权, 而对系统和网络进行的非法访问。只对审 计文件中针对系统失败的登录企图还是不 够的,因为合法用户也经常出现输入密码 错误而出现登录失败。列出失败的登录企 图只是IDS系统要做第一步
(2)伪装 伪装和入侵通常是密不可分的,它常表现 为一个非法用户为了获得某个用户的帐号 而假冒该用户;它也经常表现为假冒另 个用户,对发往某个用户的文件或消息进 行修改。 (3)合法用户的渗透。它与入侵有些类似, 表现为一个系统或网络的合法用户试图获 得超过其本身被授予的权限。例如,一个 用户试图获得系统管理员的权限
(2)伪装。 • 伪装和入侵通常是密不可分的,它常表现 为一个非法用户为了获得某个用户的帐号 而假冒该用户;它也经常表现为假冒另一 个用户,对发往某个用户的文件或消息进 行修改。 • (3)合法用户的渗透。它与入侵有些类似, 表现为一个系统或网络的合法用户试图获 得超过其本身被授予的权限。例如,一个 用户试图获得系统管理员的权限