入侵檢測(cè)與病毒防范_第1頁
入侵檢測(cè)與病毒防范_第2頁
入侵檢測(cè)與病毒防范_第3頁
入侵檢測(cè)與病毒防范_第4頁
入侵檢測(cè)與病毒防范_第5頁
已閱讀5頁,還剩46頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

入侵檢測(cè)與病毒防范入侵檢測(cè)系統(tǒng)提綱入侵檢測(cè)概述計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的防御措施不是絕對(duì)平安的,IDS作為平安防護(hù)的第二道防線入侵檢測(cè)系統(tǒng)〔IDS〕用來檢測(cè)對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)或者更廣泛的信息系統(tǒng)的攻擊,包括外部非法入侵者的惡意攻擊或試探、內(nèi)部合法用戶的未授權(quán)訪問。對(duì)入侵檢測(cè)系統(tǒng)的需求:實(shí)時(shí)地檢測(cè)如入侵行為有效地阻止入侵或者與其它的控制機(jī)制聯(lián)動(dòng)入侵檢測(cè)概述數(shù)據(jù)的來源主機(jī)的審計(jì)日志,基于主機(jī)的〔Host-Based〕IDS網(wǎng)絡(luò)流量數(shù)據(jù),基于網(wǎng)絡(luò)的〔Network-Based〕IDS分析方法特征匹配,Rule-based,Misuse異常檢測(cè),Abnomal提綱入侵檢測(cè)系統(tǒng)結(jié)構(gòu)入侵檢測(cè)系統(tǒng)的一般結(jié)構(gòu)數(shù)據(jù)采集〔Sensor〕分析器知識(shí)庫響應(yīng)/控制告警控制基于主機(jī)的入侵檢測(cè)信息來源系統(tǒng)狀態(tài)信息〔CPU,Memory,Network〕記賬〔Accounting〕信息審計(jì)信息〔Audit〕,登錄認(rèn)證、操作審計(jì),如syslog等應(yīng)用系統(tǒng)提供的審計(jì)記錄基于主機(jī)的入侵檢測(cè)基于主機(jī)的入侵檢測(cè)的缺點(diǎn)需要在主機(jī)上運(yùn)行,占用系統(tǒng)資源多數(shù)是事后的分析,實(shí)時(shí)性差異構(gòu)的平臺(tái)支持困難基于主機(jī)的分布式入侵檢測(cè)分布式入侵檢測(cè)系統(tǒng)Agent基于網(wǎng)絡(luò)的入侵檢測(cè)信息來源于網(wǎng)絡(luò)上的數(shù)據(jù)包被動(dòng)監(jiān)聽方式工作,不影響網(wǎng)絡(luò)性能分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù),與系統(tǒng)平臺(tái)無關(guān)。HUBIDSSensorMonitoredServers基于網(wǎng)絡(luò)的入侵檢測(cè)FrameHeaderIPDatagramHeaderICMP/UDP/TCPHeaderFrameDataAreaIPDataProtocolDataInterfaceLayerInternetLayerTransportLayer協(xié)議分析基于網(wǎng)絡(luò)的入侵檢測(cè)EthernetIPTCP模式匹配EthernetIPTCP協(xié)議分析HTTPUnicodeXML直接的模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:://www902e616d657269746563682e636f6d2f70.ameritech/pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:amer14069746563682e636f6d0d0a436f6e6e65itech..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....經(jīng)過協(xié)議解碼之后的協(xié)議分析00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer:://www902e616d657269746563682e636f6d2f70.ameritech/pa0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/..Accept-c04c616e67756167653a20656e2d75730dLanguage:en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:amer14069746563682e636f6d0d0a436f6e6e65itech..Conne1506374696f6e3a204b6565702d416c6976ction:Keep-Aliv160650d0a0d0ae....混合型的分布式入侵檢測(cè)系統(tǒng)主機(jī)主機(jī)流量

分析器流量

分析器主機(jī)代理管理器AgentAgent主機(jī)代理網(wǎng)絡(luò)代理管理器混合型的分布式入侵檢測(cè)系統(tǒng)分布式入侵檢測(cè)系統(tǒng)需要考慮的主要問題不同的入侵檢測(cè)Agent之間的協(xié)調(diào);不同審計(jì)記錄格式:主機(jī),網(wǎng)絡(luò);網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)量可能會(huì)影響網(wǎng)絡(luò)性能;數(shù)據(jù)傳輸?shù)谋C苄耘c完整性,比方SNMPTrapv2;層次結(jié)構(gòu)提綱入侵檢測(cè)方法入侵檢測(cè)方法異常〔Anomaly〕檢測(cè)非規(guī)那么檢測(cè)建立在如下假設(shè)的根底上:入侵行為與合法用戶或者系統(tǒng)的正?;蛘咂谕男袨橛衅?。正常的行為模式可以從大量歷史活動(dòng)資料的分析統(tǒng)計(jì)中得到。任何不符合以往活動(dòng)規(guī)律的行為都被視為是入侵行為。能夠檢測(cè)出未知的攻擊誤報(bào)率很高提綱入侵檢測(cè)系統(tǒng)舉例SnortIDES(IntrusionDetctionExpertSystem)NFR(NetworkFlightRecorderInc.)IDASnort入侵檢測(cè)系統(tǒng)Snort系統(tǒng)概述MartinRoesch,開放源代碼支持多種平臺(tái):Linux,Solaris,Windows不僅是一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng),還可以作為網(wǎng)絡(luò)信息包的分析器、記錄器基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),利用Libpcap捕獲數(shù)據(jù)包基于規(guī)那么的檢測(cè)方法,可以檢測(cè)出緩存溢出、端口掃描、等多種攻擊,目前有1800多條規(guī)那么Snort入侵檢測(cè)系統(tǒng)Snort系統(tǒng)概述支持多種告警方式:記錄到文件、Syslog、Snmptrap、SMB消息直接記錄到數(shù)據(jù)庫:mySQL://Snort系統(tǒng)結(jié)構(gòu)數(shù)據(jù)包

分析器檢測(cè)引擎日志/告警LibpcapRules數(shù)據(jù)包解碼器〔PacketDecoder〕EthernetIPheaderTCPtelnetnetworkpacket檢測(cè)引擎Snort規(guī)那么形式

規(guī)那么頭 規(guī)那么選項(xiàng)alerttcpanyany->/24111(content:〞|000186a5|〞;msg:〞mountedaccess〞)檢測(cè)引擎規(guī)那么頭規(guī)那么動(dòng)作Alert/Log/Pass協(xié)議目前支持TCP/UDP/ICMP以后支持ARP,RIP,OSPF等IP地址Any匹配任何地址支持CIDR〔classlessInter-DomainRecord〕比方:端口號(hào)Port檢測(cè)引擎規(guī)那么頭方向單向:—>雙向:<>##記錄所有非本網(wǎng)的telnet包Logudpanyany->/241:1024

檢測(cè)引擎規(guī)那么選項(xiàng)選項(xiàng)之間用;分隔msg在告警信息中顯示的消息ttl:IP的TTL選項(xiàng)id:IP分片的dsize:數(shù)據(jù)包的大小content:數(shù)據(jù)包中的內(nèi)容offset:從何處開始檢索contentdepth:在content中檢索的深度檢測(cè)引擎規(guī)那么選項(xiàng)nocaseflagsseqackitypeicodeipoptionresp檢測(cè)引擎Snort規(guī)那么的二維鏈表規(guī)那么鏈表頭源地址目標(biāo)地址源端口

目標(biāo)端口規(guī)那么鏈表頭源地址目標(biāo)地址源端口

目標(biāo)端口規(guī)那么鏈表選項(xiàng)PayloadContentTCPFlagICMPTypeLength規(guī)那么鏈表選項(xiàng)PayloadContentTCPFlagICMPTypeLength檢測(cè)引擎各種監(jiān)測(cè)功能通過各種插件〔Plug-in〕模塊來完成。用戶可以編寫自己的模塊來擴(kuò)展新的功能日志/告警子系統(tǒng)3種日志模式關(guān)閉文本方式二進(jìn)制方式,與tcpdump格式相同4種告警方式SyslogwinPopupSnmptrapMysql數(shù)據(jù)庫IDES(IntrusionDetectionExpertSystem)目標(biāo)系統(tǒng)根據(jù)用戶的活動(dòng)產(chǎn)生審計(jì)數(shù)據(jù),用IDES定義的一種專用的格式。收到審計(jì)數(shù)據(jù)以后,IDES調(diào)用統(tǒng)計(jì)分析和規(guī)那么分析兩個(gè)部件來檢測(cè)是否存在異常。一旦檢測(cè)出異常就通過用戶界面向管理員告警。特點(diǎn):同時(shí)使用了統(tǒng)計(jì)的方法和基于規(guī)那么的方法使用了統(tǒng)計(jì)的記錄格式,獨(dú)立于被監(jiān)控的系統(tǒng)平臺(tái)TargetSystemStatisticalIntrusion

DetectionRule-BasedIntrusion

DetectionAuditRecordsUserInterfaceIDES的統(tǒng)計(jì)入侵檢測(cè)被監(jiān)控對(duì)象主體〔Subject〕:用戶、主機(jī)、組(Group)、整個(gè)系統(tǒng)描述主體行為的尺度〔Metrics〕Metric是描述用戶行為的一個(gè)變量〔參數(shù)〕,比方每次登

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論