返回
《信息对抗技术》PPT课件

《信息对抗技术》PPT课件

ID:36763565

大小:267.25 KB

页数:68页

时间:2019-05-10

《信息对抗技术》PPT课件_第1页
《信息对抗技术》PPT课件_第2页
《信息对抗技术》PPT课件_第3页
《信息对抗技术》PPT课件_第4页
《信息对抗技术》PPT课件_第5页
资源描述:

《《信息对抗技术》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息对抗技术韩宏入侵检测入侵检测系统定义入侵检测系统是通过诸如,数据审计,网络报文分析等手段,检测各种入侵行为,保证网络安全。英文是intrusiondetectionsystem(IDS)。IDS的存在理由网络防护中仅使用防火墙、访问控制、加解密技术并不能彻底解决安全问题。因为首先入侵者可寻找防火墙和访问控制背后敞开的后门;其次防火墙完全不能阻止内部袭击;第三,由于性能限制,防火墙通常不能提供实时入侵检测能力,而访问控制对取得根权限的入侵者束手无策。另外,加解密/认证技术不能完全杜绝IP欺骗、重放

2、攻击(replayattack)等入侵。特别对于危害十分严重的缓冲区溢出(bufferoverflow)攻击,以上传统技术均无有效防护措施。IDS的历史在80年代就开展了早期基础理论研究工作。随着计算机系统软、硬件飞速发展,以及网络技术、分布式计算、系统工程、人工智能等计算机新兴技术与理论的不断完善,入侵检测理论也在发展变化中,至今仍未形成比较成熟的理论体系IDS的分类根据检测原理可分为异常入侵检测,误用入侵检测。根据数据来源和系统结构可分为基于主机的入侵检测和基于网络的入侵检测和分布式入侵检测。误

3、用入侵检测或称为基于特征的入侵检测系统(Signature-basedIDS)必须从一个或多个网络数据包或审计数据中提取出特定模式。如果这些模式与已知入侵模式匹配,系统就能检测出攻击,因此它只能鉴别已知模式,不能检测新型攻击。同时,对特征错误理解将产生误报。获取特征有多种方法,包括手工提取特征和用传感器自动学习等。Snort是误用入侵检测的代表网站:www.snort.org该软件是开源软件。其基本原理是将网卡设定为混杂模式,然后监听网络上的报文,并将报文和用户自定义的规则进行比较,如果满足规则,则

4、会根据用户要求将该次匹配命中的事件纪录到日志。一个简单的规则如下:alerttcpanyany->any7026(msg:“glacier”).这条规则的意思是:凡是从任何机器的任何端口到任何机器的7026端口的tcp访问,就纪录下来,而纪录的名字为glacier.因为后门冰河的缺省端口实7026所以满足该规则的就可能是冰河纪录下来的日志具有如下格式:[**][1:0:0]glacier[**][Priority:0]02/14-09:32:25.367646202.115.14.111123->2

5、02.115.14.1477026TCPTTL:255TOS:0x0ID:46482IpLen:20DgmLen:60Snort的规则中还有一个重要的选项,就是content,它指出如果报文中包含指定的字符串就告警。alerttcpanyany->anyany(content:“hell”).比如上面的规则就表明,如果报文中包含hell字符串就告警。很明显,snort的准确率依赖规则的准确性,更为重要的是,其判断依据往往会造成虚假告警或遗漏。Snort也对其加以改进。比如,它增加了一中规则叫动态规则

6、,就是,当一个规则满足后,检测另外一条规则。这里有一定专家系统的影子。Snort在网络抓包方面,使用了一种libpcap库,这是unix上的一个抓包库,再linux和windows上都有相关的版本,windows上叫winpcap。可以在winpcap网站上下载到相关软件。异常入侵检测基于异常的入侵检测系统(Anomaly-basedIDS),其思路如下:正常系统有一“正常基准”,如CPU利用率、磁盘活动、用户注册、文件活动等等。一旦偏离这一“正常基准”,检测系统将触发。基于异常检测的主要优点是能识

7、别新型攻击。但正常操作产生变化时会导致误报,而入侵行为表现为正常又将导致漏报,且系统很难确定攻击类型。检测用户行为模式是一种异常入侵检测。H.S.JavitzandA.Valdes.TheSRIIDESstatisticalanomalydetector.InProceedingsofthe1991IEEESymposiumonSecurityandPrivacy,pages316¨C326,Oakland,California,May20¨C22,1991.IEEEComputerSocietyP

8、ress.基于系统调用序列的免疫系统该系统认为,对任何系统而言,存在一个基因库,该库中的基因是如下定义的:即一组系统调用序列,比如长度为4~5个系统调用。例如:socket—bind—listen—accept.就是一个基因。通过在正常无攻击环境下运行一个网络服务程序,可以得到其基因库。然后在检测时,比较这些库,如果基因出现偏差,就意味着异常或攻击发生。参见相关文章StephanieForrest,StevenHofmeyer,AsenseofselfforUNXIp

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。