安全防护与入侵检测.ppt
《安全防护与入侵检测.ppt》由会员分享,可在线阅读,更多相关《安全防护与入侵检测.ppt(52页珍藏版)》请在沃文网上搜索。
1、第5章 安全防护与入侵检测 Sniffer ProSniffer Pro网络管理与监视网络管理与监视5.1 入侵检测系统入侵检测系统5.2 蜜蜜 罐罐 系系 统统5.35.1 Sniffer Pro网络管理与监视5.1.1 5.1.1 SnifferSniffer Pro Pro的功能的功能 Sniffer Pro支持各种平台(支持各种平台(Windows XP/2000/NT/ME/9X/2003),性能优越,是可视化),性能优越,是可视化的网络分析软件,主要功能有以下几点。的网络分析软件,主要功能有以下几点。实时监测网络活动。实时监测网络活动。数据包捕捉与发送。数据包捕捉与发送。网络测试与
2、性能分析。网络测试与性能分析。利用专家分析系统进行故障诊断。利用专家分析系统进行故障诊断。网络硬件设备测试与管理。网络硬件设备测试与管理。5.1.2 Sniffer Pro的登录与界面的登录与界面1Sniffer Pro的登录(单块网卡时)5.1.2 Sniffer Pro的登录与界面的登录与界面1Sniffer Pro的登录(多块网卡时)5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面菜单栏菜单栏菜单栏菜单栏捕获栏捕获栏捕获栏捕获栏工具栏工具栏工具栏工具栏状态栏状态栏状态栏状态栏5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer
3、 Pro的界面仪表盘:仪表盘:仪表盘:仪表盘:提供实时信息,判断网络是否异常。提供实时信息,判断网络是否异常。提供实时信息,判断网络是否异常。提供实时信息,判断网络是否异常。仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计表格显示网络利用率、数据分布规模、错误详细统计5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer
4、 Pro的界面主机列表:主机列表:主机列表:主机列表:收集发出流量的节点,显示节点的流量统计信息收集发出流量的节点,显示节点的流量统计信息收集发出流量的节点,显示节点的流量统计信息收集发出流量的节点,显示节点的流量统计信息支持支持支持支持4 4种视图:大纲、详细资料、直方图、饼图种视图:大纲、详细资料、直方图、饼图种视图:大纲、详细资料、直方图、饼图种视图:大纲、详细资料、直方图、饼图5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面矩阵:矩阵:矩阵:矩阵:收集网络主机间收集网络主机间收集网络主机间收集网络主机间的会话内容并进的会话内容并进的会话内容并进的
5、会话内容并进行流量统计,根行流量统计,根行流量统计,根行流量统计,根据据据据MACMAC、IPIP地址地址地址地址查看矩阵内容。查看矩阵内容。查看矩阵内容。查看矩阵内容。支持支持支持支持5 5种查看方种查看方种查看方种查看方式:地图、大纲、式:地图、大纲、式:地图、大纲、式:地图、大纲、详细资料、直方详细资料、直方详细资料、直方详细资料、直方图、饼图。图、饼图。图、饼图。图、饼图。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面应用程序响应时间:应用程序响应时间:应用程序响应时间:应用程序响应时间:主要用于对服务器的监控,了解网络应用的响应状主要用于对服
6、务器的监控,了解网络应用的响应状主要用于对服务器的监控,了解网络应用的响应状主要用于对服务器的监控,了解网络应用的响应状况,及时发现服务存在的问题。况,及时发现服务存在的问题。况,及时发现服务存在的问题。况,及时发现服务存在的问题。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面历史抽样:历史抽样:历史抽样:历史抽样:用于确定基准,即网络的正常运行情况。用于确定基准,即网络的正常运行情况。用于确定基准,即网络的正常运行情况。用于确定基准,即网络的正常运行情况。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面协议分布
7、:协议分布:协议分布:协议分布:收集网络上所有可见的协议,查看协议分布情况。收集网络上所有可见的协议,查看协议分布情况。收集网络上所有可见的协议,查看协议分布情况。收集网络上所有可见的协议,查看协议分布情况。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面全局统计:全局统计:全局统计:全局统计:显示捕获过程的整体统计信息。显示捕获过程的整体统计信息。显示捕获过程的整体统计信息。显示捕获过程的整体统计信息。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面警告日志:警告日志:警告日志:警告日志:显示警告信息。显示警告信
8、息。显示警告信息。显示警告信息。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面捕获面板:捕获面板:捕获面板:捕获面板:显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的显示捕获过程中所捕获数据包的数量和当前缓存的使用情况。使用情况。使用情况。使用情况。5.1.2 Sniffer Pro的登录与界面的登录与界面2Sniffer Pro的界面地址本:地址本:地址本:地址本:保存节点的地址信息,便于管理和分析网络状况。保存节点的地址信息,便于管理和分析网络状况。保存节点的地址信
9、息,便于管理和分析网络状况。保存节点的地址信息,便于管理和分析网络状况。5.1.3 Sniffer Pro报文的捕获与解报文的捕获与解析析 Sniffer Pro是一款比较完备的网络管是一款比较完备的网络管理工具,可以用来捕获流量。对于蠕虫病理工具,可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击,识别它们最毒、广播风暴或者网络攻击,识别它们最好的方法是,分析问题并将之分类,这样好的方法是,分析问题并将之分类,这样就可以全面了解网络的现状,并针对不同就可以全面了解网络的现状,并针对不同的问题采取不同的解决方法。首先了解一的问题采取不同的解决方法。首先了解一下捕获栏的使用,如表下捕获栏的使用
10、,如表5.1所示。所示。捕获栏捕获栏表表5.15.1捕获栏功能介绍捕获栏功能介绍表5.1捕获栏功能介绍名 称图 标功 能开始按钮表示可以开始捕获过程暂停按钮可以在任何时间停止捕获过程,稍后再继续停止按钮可以停止过程来查看信息,或将信息存为一个文件停止并显示按钮以停止捕获并显示捕获的帧显示按钮显示一个已经停止捕获过程的结果定义过滤器按钮定义用来捕获帧的条件选择过滤器以从定义好的条件列表中选择一个用于捕获定义过滤器定义过滤器捕获捕获ARPARP帧的结果帧的结果5.1.4 Sniffer Pro的高级应用的高级应用表5.2 Sniffer Pro高级系统层次与OSI对应关系图 标高级系统层次名称OS
11、I模型的层次服务层(Service)应用层与表示层应用程序层(Application)应用层与表示层会话层(Session)会话层数据链路层(Connection)数据链路层工作站层(Station)网络层DLC数据链路层与物理层入侵检测系统5.2 入侵检测系统5.2.1 入侵检测的概念与原理入侵检测的概念与原理入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。是一种动态的网络安全技术,传统的操作系统加固技术等都是静态安全防御技术。入侵检测被认为是防火墙之后的第二道安全闸门
12、,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。5.2 入侵检测系统5.2.1 入侵检测的概念与原理入侵检测的概念与原理图5.26 通用入侵检测模型入侵检测利用不同的引擎实时或定期地对网络数据源进行分析,并对其中的威胁部分提取出来,触发响应机制。将入侵检测的软件与硬件的组合称为入侵检测系统(IDS)5.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能入侵检测系统一般由入侵检测系统一般由4个部分的组成:事件发生器、个部分的组成:事件发生器、事件分析器、响应单元、事件数据库。事件分析器、响应单元、事件数据库。图5.27 入侵检测系统的组成提供事件
13、记录流的信息源收集信息源的数据对基于分析引擎的数据结果产生反应存放各种中间和最终数据的地方的统称5.2.2 入侵检测系统的构成与功能入侵检测系统的构成与功能入侵检测系统的功能:入侵检测系统的功能:(1)检测和分析用户与系统的活动)检测和分析用户与系统的活动(2)审计系统配置和漏洞)审计系统配置和漏洞(3)评估系统关键资源和数据文件的完整性)评估系统关键资源和数据文件的完整性(4)识别已知攻击)识别已知攻击(5)统计分析异常行为)统计分析异常行为(6)操作系统的审计、跟踪、管理、并识别)操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动违反安全策略的用户活动5.2.3 入侵检测系统的分类入
14、侵检测系统的分类1按照检测类型划分按照检测类型划分(2)特征检测模型()特征检测模型(Signature-based detection)(1)异常检测模型()异常检测模型(Anomaly detection)2按照检测对象划分按照检测对象划分(1)基于主机的入侵检测产品()基于主机的入侵检测产品(HIDS)安装在被检测的主机上,对该主机的安装在被检测的主机上,对该主机的网络进行实时连接以及系统审计日志进行网络进行实时连接以及系统审计日志进行智能分析和判断。智能分析和判断。(2)基于网络的入侵检测产品()基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监放置在比较重要的网段内,
15、不停地监视网段中的各种数据包。视网段中的各种数据包。5.2.3 入侵检测系统的分类入侵检测系统的分类5.2.4 入侵检测系统的部署入侵检测系统的部署一般入侵检测产品都由传感器和控制台两个部分组成。一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确,入侵检测系的部署位置。如果传感
16、器放的位置不正确,入侵检测系统也无法工作在最佳状态,一般可以采取以下统也无法工作在最佳状态,一般可以采取以下4个选择:个选择:放在边界防火墙之内放在边界防火墙之内放在边界防火墙之内放在边界防火墙之内,传感器可以发现所有来自,传感器可以发现所有来自Internet 的攻击,然而如果攻击类型是的攻击,然而如果攻击类型是TCP攻击,而防火攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系统可墙或过滤路由器能封锁这种攻击,那么入侵检测系统可能就检测不到这种攻击的发生。能就检测不到这种攻击的发生。放在边界防火墙之外放在边界防火墙之外放在边界防火墙之外放在边界防火墙之外,可以检测所有对保护网络的攻击
17、,可以检测所有对保护网络的攻击事件,包括数目和类型。但是这样部署会使传感器彻底事件,包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。地暴露在黑客之下。5.2.4 入侵检测系统的部署入侵检测系统的部署 放在主要的网络中枢中放在主要的网络中枢中放在主要的网络中枢中放在主要的网络中枢中,传感器可以监控大量的网络,传感器可以监控大量的网络数据,可提高检测黑客攻击的可能性,可通过授权用户数据,可提高检测黑客攻击的可能性,可通过授权用户的权利周界来发现未授权用户的行为。的权利周界来发现未授权用户的行为。放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中放在一些安全级别需求高的子网中放
18、在一些安全级别需求高的子网中,对非常重要的系,对非常重要的系统和资源的入侵检测,比如一个公司的财务部门,这个统和资源的入侵检测,比如一个公司的财务部门,这个网段安全级别需求非常高,因此可以对财务部门单独放网段安全级别需求非常高,因此可以对财务部门单独放置一个检测器系统。置一个检测器系统。5.2.5 入侵检测系统的选型入侵检测系统的选型表5.5入侵检测系统选择标准产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理该产品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试,明确测试步骤和内容,主要关注本产品抵抗拒绝服务攻击的能力产品支持的入
19、侵特征数不同厂商对检测特征库大小的计算方法都不一样,尽量参考国际标准特征库升级与维护的周期、方式、费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方法最大可处理流量一般有百兆、千兆、万兆之分是否通过了国家权威机构的测评主要的权威测评机构有:国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例,有必要进行实地考察和测试使用系统的价格性能价格比,以要保护系统的价值为主要的因素5.2.5 入侵检测系统的选型入侵检测系统的选型Axent Technologies公司网址公司网址:http:/Cisco Systems公司网址公司网址:ht
20、tp:/Internet Security Systems公司网址公司网址:http:/Intrusion Detection公司网址公司网址:http:/Network Associates公司网址公司网址:http:/http:/Computer Associates公司网址公司网址:http:/ Information Systems公司网址公司网址:http:/Network Security Wizards公司网址公司网址:http:/Network Ice公司网址公司网址:http:/NFR公司网址公司网址:http:/ BlackICE Server Protection 软件软
21、件n 萨客嘶入侵检测系统萨客嘶入侵检测系统入侵检测系统入侵检测系统BlackICE BlackICE BlackICE Server Protection 软件(以下简称软件(以下简称BlackICE)是由是由ISS安全公司出品的一款著名的入侵检测系统。该软安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了件在九九年曾获得了PC Magazine的技术卓越大奖。专家的技术卓越大奖。专家对它的评语是:对它的评语是:“对于没有防火墙的家庭用户来说,对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它是一道不可缺少的防线;而对于企业网络,它又增加了一层保护
22、措施又增加了一层保护措施它并不是要取代防火墙,而是它并不是要取代防火墙,而是阻止企图穿过防火墙的入侵者。阻止企图穿过防火墙的入侵者。BlackICE集成有非常强集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。度及准确率高,稳定性出色,系统资源占用率极少的特点。软件版本:软件版本:3.6、软件大小:、软件大小:6.11 M、软件语言:英文、软、软件语言:英文、软件类别:国外软件件类别
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 防护 入侵 检测