书签 分享 收藏 举报 版权申诉 / 12
上传文档赚钱
当前位置: 首页 > 办公、行业 > 各类PPT课件(模板) > 入侵检测典型应用和问题瓶颈课件.pptx

类型入侵检测典型应用和问题瓶颈课件.pptx

  • 上传人(卖家):晟晟文业
  • 文档编号:4259983
  • 上传时间:2022-11-24
  • 格式:PPTX
  • 页数:12
  • 大小:367.40KB
    • 【下载声明】
    1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
    2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
    3. 本页资料《入侵检测典型应用和问题瓶颈课件.pptx》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
    4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
    5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
    配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    入侵 检测 典型 应用 问题 瓶颈 课件
    资源描述:

    1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院|路亚信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇现今基于网络的入侵检测系统是为主流,我们在这里就着重介绍NIDS的部署方式。(以下所指的入侵检测若未特殊说明,都是NIDS)IDS由两部分组成,IDS引擎和IDS控制中心。引擎采用旁路方式全面侦听网上信息流,实时分析,然后将分析结果与探测器上运行的

    2、策略集相匹配。执行报警、阻断、日志等功能,完成对控制中心指令的接收和响应工作。它是由策略驱动的网络监听和分析系统。控制中心提供报警显示以及预警信息的记录和检索、统计功能制定入侵监测的策略。控制探测器系统的运行状态,收集来自多台引擎的上报事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 那么IDS的引擎部署在网络旁路,将入侵检测引擎的抓包口接到监测网络中去,一般是接到交换机的镜像端口上(或者是HUB上),管理口则接到入侵检测的控制中心上。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测

    3、篇信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇入侵检测系统的弱点1体系结构弱点;集中式IDS存在单点失效;漏报;大量日志和报警信息耗费磁盘空间,导致文件系统和数据库系统不稳定。而分布式IDS存在大量报警信息消耗网络带宽;误报警信息流会产生倍数效应;控制台和探测器的通信交换信息占有网络带宽、干扰网络通信等弱点。2互动协议弱点;当与防火墙做联动时,存在一个虚假报警信息,它会导致其它安全系统错误配置,造成防火墙性能下降等问题。3数据源与采集方法弱点 必须要求数据包传

    4、输的是明文,若是经过加密的数据包,无法进行解密。而且在交换网络中IDS运行开销会大大增加。4检测算法弱点;无法根治的漏报、误报问题,异常检测需要保持较多网络状态信息,导致IDS开销增大。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇针对入侵检测系统的攻击直接攻击直接攻击smurf、synflood等拒绝服务攻击利用装IDS的主机操作系统本身存在漏洞进行攻击应对:IDS的无IP技术 双网卡配置:一个网卡绑定IP,用来与console(控制台)通信 一个网卡无IP,用来收集网络数据包 连在网络中的是无IP的网卡,因为没有IP,所以不能直接攻击信息安全产品配置与应用信息

    5、安全产品配置与应用课程之入侵检测篇课程之入侵检测篇间接攻击利用IDS的响应进行间接攻击,使入侵日志迅速增加,塞满硬盘;发送大量的警告信息,使管理员无法发现真正的攻击者,并占用大量的cpu资源;发送大量的告警邮件,占满告警信箱或硬盘,并占用接收警告邮件服务器的系统资源发送虚假的警告信息,使防火墙错误配置,造成正常的IP无法访问等 举例Stick攻击在2秒内模拟450次攻击,快速的告警信息的产生会让IDS反应不过来、产生失去反应甚至死机针对入侵检测系统的攻击间接攻击信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇针对入侵检测系统的攻击躲避检测Whisker一个web/c

    6、gi扫描器,具有大量特殊的扫描编码,使提交的报文Web服务器可理解而与IDS的规则不匹配URL编码 如“cgi-bin”可以表示成“%63%67%69%2d%62%69%6e”,WEB服务器可解析,而IDS不识别“/”问题(路径欺骗)在HTTP的提交的请求中把/转换成/,如“/cgi-bin/test.cgi”转换成“/cgi-bin/test.cgi”,而IDS只对前者进行匹配“”问题 Microsoft用来分隔目录,Unix用/来分隔,而HTTP RFC规定用/,发送“/cgi-bintest.cgi”之类的命令,IIS可以正确识别,但IDS不会匹配“/cgi-bin/test.cgi”命令匹配 GET/cgi-bin/test.cgi 命令的客户请求用HEAD命令也能实现 HEAD/cgi-bin/test.cgi 依靠get方法匹配的IDS系统就不会检测到这个扫描 信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇解决办法:协议分析在规则匹配前使用与WEB服务器相同的分析器对URL内容的%u编码进行解码,然后进行URL分析发现攻击URL标准化信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇

    展开阅读全文
    提示  163文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:入侵检测典型应用和问题瓶颈课件.pptx
    链接地址:https://www.163wenku.com/p-4259983.html

    Copyright@ 2017-2037 Www.163WenKu.Com  网站版权所有  |  资源地图   
    IPC备案号:蜀ICP备2021032737号  | 川公网安备 51099002000191号


    侵权投诉QQ:3464097650  资料上传QQ:3464097650
       


    【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。

    163文库

    联系客服