网络安全与IDS总结课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《网络安全与IDS总结课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 IDS 总结 课件
- 资源描述:
-
1、网络安全与网络安全与IDS组员:程芸芸 谢瑶瑶 王小雪主讲:谢瑶瑶Company Logo学习导航学习导航v网络安全网络安全 什么是网络安全 影响网络安全的因素 入侵基本流程vIDS(入侵检测系统)(入侵检测系统) 什么是IDS IDS的分类及其布曙 IDS系统组成 IDS工作流程vIDS的未来的未来v IDS存在的不足v IPS(入侵防御系统)Company Logo网络安全与网络安全与IDSIDS的未来的未来 入侵检测系统入侵检测系统IDS 网络安全概述网络安全概述 Company Logo网络安全网络安全网络安全网络安全二二. .影响网络影响网络安全的因素安全的因素一一. .什么是网什么
2、是网络安全络安全三三. .常见的入常见的入侵方法侵方法 Company Logo一一.什么是网络安全什么是网络安全v 网络安全网络安全: 是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统能连续可靠正常地运行,网络服务不中断。v 网络安全应具有以下五个方面的特征:网络安全应具有以下五个方面的特征: 保密性:保密性: 信息不泄露给非授权用户、实体或过程,或供其利用的特性。 完整性:完整性: 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性:可用性: 可被授权实体访问并按需求使用的特性。即当需
3、要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击; 可控性:可控性:对信息的传播及内容具有控制能力。 可审查性:可审查性: 出现安全问题时提供依据与手段构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。Company Logo二二.影响网络安全的因素影响网络安全的因素v网络结构因素网络结构因素 网络基本拓扑结构有3种:星型、总线型和环型。一个单位在建立自己的内部网之前,各部门可能已建 造了自己的局域网,所采用的拓扑结构也可能完全不同。在建造内部网时,为了实
4、现异构网络间信息的通信,往往要牺牲一些安全机制的设置和实现,从而提出更高的网络开放性要求。 v网络协议因素网络协议因素 在建造内部网时,用户为了节省开支,必然会保护原有的网络基础设施。另外,网络公司为生存的需要,对网络协议的兼容性要求越来越高,使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时,也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 v地域因素地域因素 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络,而是一个专用网络),网络往往跨越城际,甚至国际。地理位置复杂,通信线路质量难以保证,这会造成信息在传输过程中
5、的损坏和丢失,也给一些”黑客”造成可乘之机。 v用户因素用户因素 企业建造自己的内部网是为了加快信息交流,更好地适应市场需求。建立之后,用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加,也给网络的安全性带来了威胁,因为这里可能就有商业间谍或“黑客” v主机因素主机因素 建立内部网时,使原来的各局域网、单机互联,增加了主机的种类,如工作站、服务器,甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同,某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户),就可能造成整个网络的大隐患。 Company Logo如何保证网络信息安全如何保证网络信息安全v加密技
6、术加密技术 对称加密 非对称加密v认证技术认证技术 数字签名 数字证书v使用网络安全设备使用网络安全设备 防火墙 IDS IPSCompany Logo常见入侵常见入侵v主要有四种攻击方式中断、截获、修改和伪造。主要有四种攻击方式中断、截获、修改和伪造。 v中断中断 是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。如Dos拒绝服务,synflood、 arp欺骗、land attack、死亡之PING、 v截获截获 是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问。 如sniffer,IDS本身就是一个Snifferv修改修改 是以完整性作为攻击目标,非授权用户不仅获得
7、访问而且对数据进行修改。 如Tcp会话劫持v伪造伪造 是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常传输的数据中。Company Logo基本入侵流程基本入侵流程发现漏洞实施攻击收集目标机信息清理痕迹留下后门社会工程学主机扫描缓冲区溢出DoS存在什么漏洞替换系统文件安装木马或远程控制软件更改防火墙设置清理系统日志Company Logo缓冲区溢出缓冲区溢出Company Logo缓冲区溢出缓冲区溢出Company Logo网络安全与网络安全与IDSIDS的未来的未来 入侵检测系统入侵检测系统IDS 网络安全概述网络安全概述 Company Logo网络安全网络安全IDS(入侵检测系统
8、)(入侵检测系统)二二. IDS的分的分类及布曙类及布曙一一. . IDSIDS简介简介三三. . IDS系统系统组成组成四四. . IDS工作工作流程流程Company Logo一、什么是一、什么是IDSv入侵检测:(Intrusion DetectionIntrusion Detection)通过从计算机网络或计算机系统中的若干关键点收集信)通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络系统中是否有违反安全策略的行为和遭到袭击息并对其进行分析,从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。的迹象的一种安全技术。v入侵检测系统的发展
9、概况19801980年,年,James P. AndersonJames P. Anderson的的计算机安全威胁监控与监视计算机安全威胁监控与监视第一次详细阐述了第一次详细阐述了入侵检测的概念入侵检测的概念1990年,加州大学戴维斯分校的年,加州大学戴维斯分校的L.T.Heberlein等人开发出了等人开发出了NSM,入侵检测系统,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基主机的和基主机的IDS从从20世纪世纪90年代到年代到21世纪初,入侵监测系统的研发呈现出百家争鸣的繁荣局面,世纪初,入侵监测系统的研发呈现出
10、百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。并在智能化和分布式两个方向取得了长足的进展。Company LogoInternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器Company Logo二二. IDS的分类及布曙的分类及布曙v根据检测对象的不同:根据检测对象的不同: 基于主机的入侵检测系统 基于网络入侵检测 分布式的入侵检测系统v按照其采用的方法:按照其采用的方法: 基于行为的入侵检测系统 基于模型推理的入侵检测系统v按照检测时间分为:按照检测时间分为: 实时入侵检测系统 事
11、后入侵检测系统Company Logo基于主机的入侵检测系统基于主机的入侵检测系统v以系统日志、应以系统日志、应用程序日志等作用程序日志等作为数据源为数据源 v主机型入侵检测主机型入侵检测系统保护的一般系统保护的一般是所在的系统是所在的系统 Company Logo基于主机的入侵检测系统基于主机的入侵检测系统v网络监测:网络监测: 即在数据包真正抵达主机之前对试图进入主机的数据包进行监测,以避免其进入系统后可能造成的损害。这点与基于网络的ID不同,因为它仅仅对已经抵达主机的数据进行监测,而后者则是对网络上的流量进行监控。如次一来就不需要把网卡设置成混杂模式了。v主机监测:主机监测: 任何入侵企
12、图都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹,系统管理员们可以从这些文件中找到相关痕迹。因此可以通过监测文件系统的变化来发现入侵。一旦系统被攻陷,入侵者就会立即开始更改系统的文件,或者更改一些设置以废掉IDS的功能。Company Logo一个基于主机的入侵检测系统一个基于主机的入侵检测系统 LIDSv文件保护:文件保护: 保护硬盘上任何类型的重要文件和目录,如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其下的文件,以及系统中的敏感文件,如passwd和shadow文件,v检测:检测: LIDS能检测到扫描并报告系统管理员。 LID
13、S还可以检测到系统上任何违反规则的进程。 v响应:响应: 来自内核的安全警告,当有人违反规则时, LIDS会在控制台显示警告信息,将非法的活动细节记录到受LIDS保护的系统log文件中。 LIDS还可以将log信息发到你的信箱中。LIDS还可以马上关闭与用户的会话。Company Logo基于网络的入侵检测系统基于网络的入侵检测系统v 数据源是网络上的数据包数据源是网络上的数据包 v 根据网络的拓扑结构的不同,入侵根据网络的拓扑结构的不同,入侵检测系统的监听端口可以接在共享检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口媒质的集线器或交换机的镜像端口(SpanPortSpanPor
展开阅读全文