714第十四章入侵侦测与网路病毒.ppt

上传人：sccc

文档编号：4730532

上传时间：2023-05-12

格式：PPT

页数：28

大小：595.50KB

《714第十四章入侵侦测与网路病毒.ppt》由会员分享，可在线阅读，更多相关《714第十四章入侵侦测与网路病毒.ppt（28页珍藏版）》请在三一办公上搜索。

1、1,第十四章入侵偵測與網路病毒,14-1 入侵偵測簡介14-2 入侵偵測與防火牆14-3 駭客身份14-4 入侵技巧14-5 入侵偵測系統14-6 入侵偵測技術14-7 主機型入侵偵測系統14-8 網路型入侵偵測系統14-9 誘捕型防禦系統14-10 網路病毒,棱脐裳筒迪慌臻认派艺演木庶互摘沸您瘤奏读纬史欣淑细癸忧块贩颠贯攻714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,2,14-1 入侵偵測系統簡介,入侵偵測系統(Intrusion Detection System,IDS)種類主機型入侵偵測系統(Host-based IDS,HIDS)防火牆入侵偵測主機入侵

2、偵測網路型入侵偵測系統(Network-based IDS,NIDS)誘捕防禦系統(Deception Defense System,DDS),茧育姐念阂熊坠木加会依泉七替切川众寓锣困推颇如霄晚结勒伏逢类祖鸿714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,3,14-2 入侵偵測與防火牆(1),入侵偵測與防火牆架設,栓编设应杆鹤罚拂楞战掀塔宣的带膛诺黄恨惕些顽胁儒污茁省鸭郡疫刃趾714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,4,14-2 入侵偵測與防火牆(2),私有網路的安全措施,汪丙完疏鞍冕竖奋角任掷桃傀暗悉导低镑颠坐值肯陌墒讯酱晕计堆擎

3、问贮714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,5,14-3 駭客身份,駭客(Hacker)身份網路安全專家學生犯罪型入侵者商業間諜恐怖份子內部使用者,背撇栈绵累逆侄暗咀恐眺哭囤乌彻敢骨戮人谜娃谢种六拿境睬邯絮笨朋钱714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,6,14-4 入侵技巧,入侵步驟選定入侵目標目標確認攻擊方法選取展開攻擊入侵技巧竊聽與窺視停止服務取代服務扮演中間人,俐恼毋撒稠靴传俗讽淬英嘛得你辣瘪厕欲搀冯翁捶频邹杆典昔号胚琅隔闽714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病

4、毒,7,14-4-1 竊聽與窺視技巧,竊取密碼訊務分析網路位址掃描連接埠口掃描網路命令探索 SNMP 資料蒐集,宵资瑰慕煽丈拥壶宽柠熬嘲牢燎码球值仑秆挛震呈疹镁肯芭恳油语茬哗扬714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,8,14-4-2 阻斷服務技巧,阻斷服務(Denial of Service,DoS)技巧 Ping 到死 SYN 攻擊 ICMP 氾濫弱點攻擊 DNS Cache 污染路由重導,通锣芜舔舰氨馆缸撰胞铣盟烬棠裸否肮舔卷棋袭泵你垢任尾丑币恰疥掷垒714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,9,14-4-3 取

5、代服務,取代服務技巧來源路由替換伺服器取代登入伺服器取代,寻饵章赴萍忿东折吞嘻政苇覆好麻嗡唐爬藕脊毁呻似疚蹭毙扑孙郡午仇穗714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,10,14-4-4 中間人扮演,中間人扮演技巧路由重導 DNS cache 污染,厘四疚臆荡痔味渺禹卒渡逝龙燕烘躇俄煮称乒帚瞥蠕跟悔媳舷赛不制沙科714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,11,14-5 入侵偵測系統,Intrusion Detection System(IDS)監視並分析用戶與系統的活動檢查系統配置與漏洞評估系統關鍵性資源與資料的完整性辨識

6、已知的攻擊行為,沛澡欺程敌肆君另嘘肩谈雍题障闹肥燥胡纶允韶睛温虑蛆战批埠肄搀素罩714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,12,14-5-1 入侵偵測元件,入侵偵測系統之元件事件產生器(Event Generator)事件分析器(Event Analysis)事件資料庫(Event Database)反應元件(Response Units),耽贱黑臀哄惺油箱腕枯睁掇羹须怜辱蒋藏栏肃咏驭税匙姆书墟碌肄魏嚣豹714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,13,14-5-2 入侵事件來源,系統和網路日誌目錄及檔案稽核程式執行稽核訊務收

7、集實體網路架構,椒劣拖匠因喘宇牧挂幼审扎锡稠皮违呻鸵曾霜擎吝样郡点莎嗣账轿湘酪深714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,14,14-6 入侵偵測技術,入侵偵測技術異常偵測(Anomaly Detection)：如果訊息的行為超出正常範圍之外，或出現有不應該出現的動作，則判斷為入侵行為。誤用偵測(Misuse Detection)：如果訊息的行為與其它入侵行為相同(或類似)時，則判斷為入侵行為。,处茅滁澜央尊练错铅署抠净液肥爹苔促脐录毡涣剪骏癌钧盗译裂顺诡淆饿714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,15,14-6-1 特徵型

8、偵測技術,誤用偵測(Misuse Detection)或特徵型偵測(Signature-based Detection)可能出現的問題：攻擊特徵的更新可能的規避手法將完整連線分割分割封包淹沒攻擊編碼問題警報誤報問題,橱橡死窘聪皮煌造邯膊下肪钉彻勃拷菲兴喊溃瑞姑古傅簧凄渣存屯瘦供耿714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,16,14-6-2 異常型偵測技術,異常偵測(Anomaly Detection)或異常行為偵測(Behavioral Anomaly Detection)協定異常偵測(Protocol Anomaly Detection)異常範例

9、：使用伺服器不支援之命令伺服器超出協定範位或預期的回應訊息封包重組會造成資料重疊或被覆蓋的現象 ICMP 封包超出正常比率異常封包標頭來源 IP,Port 與目的 IP,Port 相同在 HTTP,POP,IMAP 協定中出現 Shell 命令,彻阳仕农衰弃碉抽序舟配慷户碗描涎谴狐爬棚游最刊若旷涯窜媚役琴顽区714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,17,14-6-3資料引擎(1),檢測與判斷依據誤用偵測：假設所有都是不符合入侵行為，再找出符合入侵行為異常偵測：假設所有都是異常行為，再找出正常行為,害诀偏刮籍庭鸵循嘛蕾掌葵汪带往串应抢镶胶世颤陨柿咸

10、鄂烬最势粪凹文714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,18,14-6-3資料引擎(2),正常與非正常活動資料引擎(Data Engine)專家系統(Export System)有限狀態機(Finite State Machine)統計分析(Statistical Measure)類神經網路(Neural Network)資料探勘(Data Mining),弊哆韵借漠召饺步圭岛洗絮插伺霓好青湛糊兰磁砍财欧紧凉段穷喂瘸喧吼714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,19,14-7 主機型入侵偵測系統,Host-based IDS(H

11、IDS)防火牆入侵偵測伺服主機入侵偵測 14-7-1 防火牆入侵偵測後門(back Door)偵測網路阻斷偵測服務過載訊息洪流阻斷攻擊 14-7-2 伺服主機入侵偵測系統日誌安全稽核主機阻斷偵測,又班缅备金灯雄堰甘糙浮俯倡啤慷帽翟嘉狂乌页战讲爱励茁虞婶谨悄叮要714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,20,14-8 網路型入侵偵測系統(1),Network-based IDS(NIDS)可使用誤用偵測、異常偵測，或混合型偵測系統(Hybrid IDS)獨立系統可能無法偵測之封包：處理能力問題交換器隔離 HIDS 安全性問題,军汉悸涣耸微馋昔橙撬

12、躬幌陨堤号溜筋漳枣靴瘦颂于惺躲虹燎液碎爵疙臣714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,21,14-8 網路型入侵偵測系統(2),NIDS 設備裝置,左朔茁致怯县理冉茹徽粹励诌水窥扬破满罩码亡遏然殷鼎貉挠方喷痪隧宗714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,22,14-8 網路型入侵偵測系統(3),安全性 NIDS 配置,帖薄具茎剐谐叛监徐拙丝迹腐辣化橱昭忿厚男说海听微邻孽演峙伞铣钩惟714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,23,14-9 誘捕型防禦系統,誘捕型防禦系統(Deception Defen

13、se System,DDS)蜜蜂罐(Honeypot)功能：消耗攻擊者時間錯誤安全措施降低被攻擊可能蜜蜂罐的四種型態待宰羔羊(Sacrificial Lamb)偽裝系統(Facade)傀儡系統(Instrumented System)蜜蜂網(Honeynet),栗海睫历晃伤布级壳瓦沙臣齐案部和卤软玩岁冈攘孜搅苏酗陋恋悬掠砂愈714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,24,14-10 網路病毒,網路病毒病毒(Virus)?惡意的程式透過合法的入侵路徑，再從事非法的破壞工作。,副最诵霓铁陋奇护逻菩纳奥推足寒丹蔬殿奶食伯囱闪扫松除扰岭遁祷溺恐714-第十四

14、章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,25,14-10-1 惡意的程式,惡意的程式後門陷阱邏輯炸彈特洛伊木馬(Trojan Horses)電腦病毒(Virus)網路蠕蟲(Worm)電子郵件遠端登入遠端執行程式巨集病毒(Macro Virus),搐翠莱枷封屋专芝臃淮民重恬丸蒙御喉洲蹦方毡谦组搁算菊娠裙骋霸略足714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,26,14-10-2 病毒的生命週期,病毒的生命週期潛伏期(Dormant Phase)散播期(Propagation Phase)觸發期(Triggering Phase)執行期(E

15、xecution Phase),许勘悼把昌豢猴弱甥畴部簧羔蒲拒雅凤话沥陕恬眠苹追袁孕鲁宋涅炙挝瞪714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,27,14-10-3 病毒的類型,寄生病毒(Parasitic Virus)記憶體常駐病毒(Memory-resident Virus)啟動磁區病毒(Boot Sector Virus)隱形病毒(Stealth Virus)多型病毒(Polymorphous Virus),腥瘤忍毗琢聊枷膛析诧帛梁沽黍寂私斡说渝枚冤锥咋逻砧呢嗽倪装使线寿714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,28,14-10-4 防毒的技巧,偵測、辨識、清除等三步驟防毒軟體的功能層次：特徵掃描啟發式掃描行為陷阱整合性防範,水汝舷茫琉拯冻急摇罩萤鹊堡逛驳练滥旗玲沂何娥扔秒蚁侩瞳拓呐烷鸿值714-第十四章入侵侦测与网路病毒714-第十四章入侵侦测与网路病毒,