设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

网络安全

文档类型：

Microsoft PowerPoint PPT 演示文稿文档大小：488KB

第8章网络安全
8.6 检测技术
8.6.1 检测技术概述
8.6.2 入侵检测技术
8.6.3 漏洞扫描技术
8.6.4 入侵检测和漏洞扫描系统模型
8.6.5 检测产品的布署
8.6.6 入侵检测系统的新发展入侵检测从计算机安全的目标来看,入侵指破坏资源的完整性,保密性,可用性的任何行为、也指违背系统安全策略的任何事件.从入侵策略的角度看,入侵可分为进入,冒充合法用户,成功闯入等方面.入侵者一般称为黑客或解密高手.Anderson把入侵者分为伪装者、违法者和秘密用户3类.
入侵检测指对计算机和网络资源的恶意使用行为进行识别和响应的处理过程.它不仅检测来自外部的入侵行为、同时也能检测出内部用户的未授权活动,是一种增强系统安全的有效方法.入侵检测从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到的迹象,同时做出响应.入侵检测的一般过程包括信息收集,信息预处理,数据检测分析和响应等、如图8.18所示.
图8.18 入侵检测的一般过程入侵检测可分为实时入侵检测和事后入侵检测.实时入侵检测在网络连接过程中进行、系统根据用户的历史行为模型,存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断、一旦发现入侵迹象立即断开入侵者与主机的连接,并收集和实施数据恢复.事后入侵检测由网络管理人员定期或不定期进行、根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为、如果有就断开连接,并记录入侵和进行数据恢复.但是其入侵检测的能力不如实时入侵检测系统.
2. 漏洞检测漏洞是由软件编写不当或软件配置不当造成的.漏洞扫描是网络安全防御中的一项重要技术,其原理是采用模拟的形式对目标可能存在的,已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依据.漏洞扫描也称为事前的检测系统,安全性评估或者脆弱性分析.其作用是在发生网络事件前、通过对整个网络扫描及时发现网络中存在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以进行漏洞的修补.
漏洞检测技术通常采用两种策略,即被动式策略和主动式策略.被动式策略是基于主机的检测,对系统中不合适的设置,脆弱的口令以及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的检测,通过执行一些脚本文件对系统进行,并记录它的反应、从而发现其中的漏洞.
常用的入侵检测技术
入侵检测技术可分为五种:基于应用的监控技术.主要使用监控传感器在应用层收集信息.基于主机的监控技术.主要使用主机传感器监控本系统的信息.基于目标的监控技术.主要针对专有系统属性,文件属性,敏感数据等进行监控.
基于网络的监控技术.主要利用网络监控传感器监控包收集的信息.
综合以上4种方法进行监控.其特点是提高了侦测性能,但会产生非常复杂的网络安全方案.
8.3.2 入侵检测技术
2. 入侵检测技术的选用在使用入侵检测技术时,应该注意具有以下技术特点:信息收集分析时间分析类型侦测系统对和误用的反应侦测系统的管理和安装侦测系统的完整性设置诱骗服务器信息收集分析时间可分为固定时间间隔和实时收集分析两种.分析类型可分为签名分析,统计分析和完整性分析.完整性就是系统自身的安全性.置诱骗服务器的目的就是吸引黑客的注意力、把导向它、从敏感的传感器中发现者的位置,路径和实质,随后把这些信息送到一个安全的地方、供以后查用.
漏洞扫描分类
漏洞扫描技术可分为5种:基于应用的扫描技术.采用被动的,非破坏性的办法检查应用软件包的设置,从而发现安全漏洞.
基于主机的扫描技术.采用被动的,非破坏性的办法对系统进行扫描.它涉及到系统的内核、文件的属性等问题.
基于目标的扫描技术.采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等.
基于网络的扫描技术.它利用一系列的脚本对系统进行,检验系统是否可能被崩溃、然后对结果进行分析的综合技术.
综合利用上述4种方法的技术.集中了以上4种技术的优点、极大地增强了漏洞识别的精度.
2. 漏洞扫描技术的选用在使用漏洞扫描技术时,应该注意以下技术特点:检测分析的位置报表与安装检测后的解决方案检测系统本身的完整性在不同威胁程度的环境下,可以有不同的检测标准.在漏洞扫描中、第一步是收集数据,第二步是数据分析.漏洞扫描系统生成的报表是理解系统安全状况的关键.一旦扫描完毕,如果发现了漏洞,则系统可以有多种反应机制,如预警机制等.检测系统本身就是一种,如果被黑客利用,那么就会产生难以预料的后果.
入侵检测和漏洞扫描系统是安全技术的核心.入侵检测和漏洞扫描系统的实现是和具体的网络拓扑密切相关的,不同的网络拓扑对入侵检测和漏洞扫描系统的结构和功能有不同的要求.通常情况下该系统在网络系统中可设计为两个部分:安全服务器和主机代理,如图8.19图所示.
图8.19 入侵检测和漏洞扫描系统示意图
8.6.4 入侵检测和漏洞检测系统模型主机代理中有主机入侵检测代理和主机漏洞扫描代理两种类型.主机入侵检测代理动态地实现探测入侵信号,并做出相应的反应;主机漏洞扫描代理检测系统的配置,日志等、把检测到的信息传给安全服务器和用户.
入侵检测代理在结构上由传感器,分析器,通信管理器等部件组成.漏洞扫描代理在结构上由检测器,检测单元、通信管理器等部件组成.每一个主机代理感受敏感的安全信息,对这些信息进行处理,做出反应、然后把一些信息交给网段代理和安全服务器处理.
安全服务器中包含网络安全数据库,通信管理器,联机信息处理器等部件.其主要功能是和每一个代理进行相互通信,实时处理所有从各代理发来的信息,做出响应的反映,同时对网络的各安全参数进行审计和记录日志,并可以对防火墙实施控制.
这里对检测产品中的IDS探测器和漏洞扫描仪进行简单介绍.从图8.20中看出、IDS探测器可以部署在网络中各个关键节点.比如IDS探测器1部署在防火墙的前面,这样可以侦探各种入侵的,但是这将产生许多不必要的报警.IDS探测器2部署在防火墙的 Zone)区、DMZ区是内部网络对外部提供各种服务的区域,比如Web服务,邮件服务,FTP服务等.由于DMZ区往往是遭受最多的区域,在此部署一台探测器是非常必要.IDS探测器3部署在防火墙与路由器之间,也是部署探测器的最关键的位置,实时监测进入到内部网的数据包.IDS探测器4,5部署在内部各个网段,监测来自内部的违反安全规则的行为.
图8.20 IDS探测仪在网络中的部署示意图目前、漏洞扫描仪在市场上最常见有两种类型,即基于主机型与基于网络型.基于主机的漏洞扫描主要是软件形式.基于网络型漏洞扫描有软件形式,机架式,掌上电脑形式.
图8.21是一个适合内外网安全体系结构的漏洞扫描仪的布署示意图.在该图中扫描仪1对入侵检测系统代理,服务器集群,代理服务器等进行扫描,扫描仪2对各种电脑主机进行扫描,及时发现并解决网络中存在的隐患,就能够使网络受到的风险降到最低,起到一个事先的预防功效,以最小的投入换取最大的安全保障.
图8.21 漏洞扫描仪在内部网中布署示意图随着日益复杂的网络的出现,原有的安全构架面临新的危机、许多入侵可以穿过只有记录和检测功能的传统的网络入侵检测系统.在这一背景下,新的网络安全产品入侵防御系统就出现了.
1. IDS存在如下问题较高的漏报率和误报率.对IDS系统的管理和维护比较难.当IDS系统遭受拒绝服务时,它的失效开放机制使得黑客可以实施而不被发现.
IDS系统是以被动的方式工作,只能检测,不能阻止.
2. IPS的定义与功能IPS又称为入侵检测和防御系统(IDP),它不但能检测入侵的发生,并且能指挥防火墙和其他响应方式,实时终止入侵行为的发生和发展,是实时保护系统不受实质性的智能化的安全产品.
从功能上来看,IPS则是一种主动的,积极的入侵防范、阻止系统,是一种在线的解决方案.它部署在网络的进出口处,当它检测到后,它会自动地将包丢掉或采取措施将源阻断.它可以阻击由防火墙漏掉的或IDS检测到而不能处理的网络,从而减少因网络而受到的损失,增强网络的性能和可用性.
但是,IPS在处理一些比较新的协议和比较少用的协议上面,表现得不尽如人意.另外,一些需要解码的数据报,IPS不能够准确判断.在这方面IPS 还是需要继续改进的.
3. IPS,IDS和防火墙的比较与IDS相比、IPS不但能检测入侵的发生,而且有能力终止入侵活动的进行;而IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种,它的阻断能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止.
与防火墙相比、IPS能够从不断更新的模式库中发现各种各样新的入侵方法,并作出智能的保护性操作;而防火墙只能死板的执行预先设定的简单规则,不能发现规则之外的入侵行为.但是IPS不能完全代替防火墙,因为防火墙除了是粒度比较粗的访问控制产品、它还可以提供网络地址转换,服务代理,流量统计等功能,甚至有的防火墙还能提供VPN功能.另外,IPS的功能比较单一、它只能串联在网络上,类似于通常所说的网桥式防火墙,对防火墙所不能过滤的进行过滤.因此,把IPS与防火墙结合起来,可以最大程度的保护系统的安全.

ppt文档的标签：网络安全

更多推荐标签：三维图形系统合作协议版本网络设备选型库存系统月度工作总结课设心得体会刑法试卷企业策划论文培训方案封面信日語论文工程预算教材女人成大事财经论文范文信息竞赛题中国古代史新财富自然课程标准班级建设材料质量用语调动申请报告作风心得体会论文对比范例高邑物理商场网络清算参考文献请示写法格式咨询项目协议商务工作流程党员推荐书