返回
《ids技术与方案》ppt课件

《ids技术与方案》ppt课件

ID:40060400

大小:2.53 MB

页数:55页

时间:2019-07-18

《ids技术与方案》ppt课件_第1页
《ids技术与方案》ppt课件_第2页
《ids技术与方案》ppt课件_第3页
《ids技术与方案》ppt课件_第4页
《ids技术与方案》ppt课件_第5页
资源描述:

《《ids技术与方案》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测(IDS)技术与方案李明柱博士mingzhu.li@siemens.com内容基本概念技术分类实现原理部署方案测试方案产品介绍内容基本概念技术分类实现原理部署方案测试方案产品介绍什么是入侵检测?入侵检测系统(IntrusionDetectionSystem或者称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。入侵检测系统作为主动保护自己免受攻击的网络安全技术,处于防火墙之后,在不影响网络性能的情况下对网络和系统进行实时监测,可以有效地防止或减轻上述的网

2、络威胁,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。因此IDS成为防火墙之后的第二道安全闸门,不仅愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥关键作用。IDS能做什么?监控网络和系统发现入侵企图或异常现象实时报警主动响应常见安全产品身份认证加密防病毒防火墙入侵检测IDS与防火墙的关系?有的防火墙能够检测到一些类型的攻击,例如SubSeven后门程序所使用的27374端口。当检测到攻击者利用特殊的数据包对网络渗透时,防火墙还能报警。从严格的意义上来说,这是IDS的功能。然而,防火墙使用的检测技

3、术仅仅是简单的决定什么样的数据包能够或不能够进出网络,而不能期望它去分析每个数据包中的内容。甚至连代理型的防火墙都不能去检测每个数据包中的所有内容,因为这样做非常耗CPU的资源。防火墙检查数据包的包头部分,决定是否放行或丢弃。IDS检查数据包的包头和数据部分,发现有恶意攻击的内容要发出警报。不同的网络位置(并行和串行)防内和防外IDS与防病毒产品的关系?IDS只能检测出一些病毒,主要是基于某些漏洞传播的蠕虫。只有专业的防病毒软件能抵御所有的病毒。不同的网络位置(并行和串行)IDS作用很多机器被攻击的理由仅仅是被用来做DDOS攻击的跳板。互联网上的盗版者使用网络中容易被攻击的WEB站点存

4、放盗版信息,散布盗版软件和色情内容。不经过我们的同意,我们的系统被用来作为邪恶的,不合法的活动的跳板。IDS的日志记录是重要的攻击证据IDS能让我们了解我们的网络的健康和安全IDS能发现失败的以管理员身份登陆的企图和密码猜测程序。内置式IDS能够在发现攻击时及时阻止攻击并通知管理员。IDS能够发现攻击并弥补其他网络设备的不足,例如防火墙和路由器。IDS的日志信息能作为加强公司安全策略的参考。防火墙的规则和路由器的访问列表能够执行特定的功能。缓冲区溢出攻击在现在的攻击中类型中占了很大的百分比,Snort内置了很多检测缓冲区溢出攻击的规则。后门和木马是带有恶意代码的远程控制程序,目的是为了

5、控制我们的机器。Snort能够检测这些木马的通讯,从而在后门和木马活动时报警。邮件服务器是攻击者的主要目标。因为这些服务器必须在互联网上进行访问,所以很容易遭到攻击。Snort有很多规则可以检测对邮件服务器的攻击,还能够检测邮件病毒。除了检测入侵,IDS还能做很多其他工作,包括监视数据库的访问,监视DNS服务,保护邮件服务器,监督公司的安全策略等。内容基本概念技术分类实现原理部署方案测试方案产品介绍IDS的分类主机入侵检测(HIDS)网络入侵检测(NIDS)分布式入侵检测(DIDS)资源IDSFAQhttp://www.robertgraham.com/pubs/Focus-IDSMa

6、ilinglisthttp://online.securityfocus.com/archive/96Yawlhttp://www.docshow.netOldHandhttp://www.oldhand.orgSinbadhttp://sinbad.dhs.org/doc.html?board=IDS产品举例产品功能攻击检测状态维护和重组应用层协议解码非法外联检测地址欺骗检测策略编辑和策略模板多种响应方式网络流量统计内容检测回话回放远程管理远程升级用户管理审计和报表数据库管理攻击检测★检测多种攻击行为检测1400多种攻击细粒度检测技术细粒度检测模式匹配协议解码异常检测★IP碎片重组防

7、止IP碎片类型的攻击防止IP碎片欺骗★TCP状态跟踪和流重组协议异常检测防范针对IDS的DoS攻击增强应用层检测能力网络层状态维护和重组★应用层协议解码理解网络行为进一步分析的基础基于应用层解码的自定义规则高精度模式匹配会话记录异常行为记录应用层协议解码★非法外联检测检测网络中的非法拨号和入侵检测无缝集成,无需客户端代理★防IP地址欺骗受护网络中主机的IP—MAC的纪录跟踪检测非法外联、地址欺骗★策略模板定制预定义模板:Windows系统Uni

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。